Mobile Security. Webinar. Oktober 2014

Transkript

1 Mobile Security Webinar Oktober 2014

2 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 2

3 Agenda Mobile Sicherheit Motivationsfaktoren Unternehmensinteressen Mitarbeiterinteressen Interessen Dritter Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 3

4 Mobile Sicherheit - Motivationsfaktoren Unternehmensinteressen - auszugsweise Bereitstellung einer flexiblen ITK-Infrastruktur für Mitarbeiter: zum flexiblen und nicht ortsgebundenen Arbeiten (Management, Außendienst, Projektmitarbeiter, Servicetechniker, etc.) zum flexiblen und nicht gerätegebundenen Arbeiten (Smartphones, Phablets, Tablets, Notebooks, etc.) für Kunden / Lieferanten / Partner, beispielsweise: zur Verbesserung von Informationsangebot (on demand everywhere), Zusammenarbeit, Kommunikationsmöglichkeiten Proaktiver Schutz der ITK-Infrastruktur vor beispielsweise Daten- und Informationsverlust (Spionage, Diebstahl von Mobilgeräten, etc.) unerlaubten / nicht autorisierten Zugriffen Malware (Viren, Trojaner, Spam, Phishing, etc.) Kontrolle der Unternehmensressourcen, beispielsweise zu statistischen Zwecken (wer, wie, wann, von wo) Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) zur Erkennung von Missbrauch (eindeutige Zuordnung von User und Geräten) zur Kapazitäts- und Serviceplanung (Updates, Bandbreiten, Verfügbarkeiten, etc.) zur Umsetzung rechtlicher Anforderungen (Datenschutz, Policies, etc.) Client Name here 4

5 Mobile Sicherheit - Motivationsfaktoren Mitarbeiterinteressen - auszugsweise Schutz der persönlichen Interessen, Informationen. Daten, wie personenbezogener privater Daten auf dem mobilen Gerät Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes Ausübung persönlicher Freiheiten, wie bedarfsgerechte Konfiguration der Geräte (z.b. Installation von Apps) 24/7 Nutzungsmöglichkeit ein und dasselbe Gerät (inkl. Software) zur Nutzung für Arbeit und Privatbereich keine restriktive Begrenzung auf ausschließlich vom Unternehmen freigegebene Software / Apps für die tägliche Arbeit Nutzung externer Ressourcen (z.b. Webangebote) zur Arbeitserfüllung Flexible Arbeitsmodelle Arbeiten, wann, wo und wie man möchte (soweit es die Arbeit zulässt) Ohne zeitraubende Anreise, schnell auf Arbeitsanfragen reagieren können Optimierung der individuellen Work-Life-Balance Client Name here 5

6 Mobile Sicherheit - Motivationsfaktoren Interessen Dritter (z.b. Geschäftspartner) - auszugsweise Schutz der persönlichen Interessen, Informationen. Daten, wie eigene Unternehmensdaten oder Daten weiterer Kunden auf dem mobilen Gerät personenbezogener privater Daten auf dem mobilen Gerät Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes Verbesserung der Zusammenarbeit durch gemeinsame Nutzung relevanter Daten (z.b. über Portale) des Datenaustausches durch sichere (verschlüsselte) Übertragungsmöglichkeiten der Kommunikation durch Nutzung gemeinsamer Kontaktdatenbanken zeitlicher und örtlicher Aspekte der Zusammenarbeit (on-demand, in-time, everywhere) Client Name here 6

7 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 7

8 Mobile Sicherheit Bedrohungen und Gefahren Malware (Viren, Trojaner, Phishing, etc.) Mithören, Mitlesen durch unbeteiligte Dritte bei Nutzung in der Öffentlichkeit Datendiebstahl, -verlust Unbewusstes Speichern vertraulicher Daten in einer Cloud (z.b. icloud, GoogleDrive, MS OneDrive, etc.) Gerätediebstahl Bedrohungen Gefahren Schwachstellen in Betriebssystem und Apps Veraltete Versionen von Betriebssystemen und Apps Unverschlüsselte Geräte Geräte nicht hinreichend durch PIN gesichert keine regelmäßigen Passwortänderungen ios-malware stiehlt Passwörter Quelle: Erpresser-Malware Cryptolocker für Android entdeckt Quelle: ios Malware-Prototyp überträgt Daten durch unhörbare Audiosignale Quelle: ios Malware Spad leitet Werbeeinnahmen an Hacker weiter Quelle: Russischer Android SMS Trojaner verschickt SMS an Mehrwertdienstnummern Quelle: Bösartige Apps können unberechtigt telefonieren Quelle: bösartige Apps im Play Store Mitte 2012 Quelle: Fake ID Exploit ermöglicht Komprommitierung von Android Apps und Endgeräten Quelle: Windows Phone Trojaner zeichnet Anrufe auf und ermittelt aktuelle Position des Smartphones Quelle: Chinesische ios Malware stiehlt Apple IDs und Passwörter Quelle: Client Name here 8

9 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.b. keine BYOD) Zugriff nur nach spezieller Authentifizierung Zugriff nur über bestimmte technische Lösungen Zugriff über kombinierte Lösungen Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 9

10 Lösungsansätze für mobile Sicherheit Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten Vorteile Nachteile Keine unkontrollierten Zugangspfade durch mobile Geräte Keine zusätzlichen technischen Maßnahmen nötig Keine zusätzlichen Risiken für die bestehende ITK- Infrastruktur Möglicherweise zunehmender Imageverlust ggü. Mitbewerbern, welche die Technologien nutzen Entstehung möglicher Wettbewerbsnachteile Mögliche negative Auswirkung auf Mitarbeiterzufriedenheit Geringstmöglicher Aufwand bzgl. zusätzlicher rechtlicher Regelungen (Verbotspolicy) Client Name here 10

11 Lösungsansätze für mobile Sicherheit Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.b. kein BYOD) Unternehmen gibt gezielt vor von welchen mobilen Geräten auf die Unternehmensdaten zugegriffen werden darf, z.b. Geräte aus einem firmeneigenen Gerätepool Dedizierte Geräte für die Mitarbeiter (z.b. durch geeignete Rahmenverträge mit Providern) Eigene oder individuelle Geräte der Mitarbeiter (BYOD = Bring your own device) werden nicht gestattet Vorteile Nachteile Kontrollierbare Zugangspfade für mobile Geräte (z.b. durch Gerätekennung IMSI) Rechtlicher Regelungsaufwand (Policy) bleibt überschaubar Kontrolle der Geräte bleibt in der Hand des Unternehmens Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards zusätzliche technische Maßnahmen für Umsetzung nötig Risiken für die bestehende ITK-Infrastruktur erhöhen sich technischer Aufwand fast derselbe, wie bei BYOD Kostenintensiv durch Vorhalten des Gerätepools Lange Reaktionszeiten bzgl. Etablierung neuer Technologien (z.b. durch Vertragslaufzeiten) Client Name here 11

12 Lösungsansätze für mobile Sicherheit Zugriff nur nach spezieller Authentifizierung Grundsätzlich alle mobilen Geräte zugelassen Unternehmen macht Vorgaben hinsichtlich Authentifizierungsverfahren, z.b. Username, Passwort, OneTimePassword, etc. Aufruf einer speziellen Webseite zur Authentifizierung VPN-Verbindung mit speziellem Zertifikat Vorteile Nachteile Für bestehende User i.d.r. einfache Integrationsmöglichkeit in bestehende ITK Infrastrukturen über z.b. Directory Services wie MS Active Directory Freie Gerätewahl durch User zusätzliche technische Maßnahmen für Umsetzung nötig Hohes Sicherheitsrisiko mangels Möglichkeiten die Geräte selbst zu kontrollieren Sicherheitsstandards auf den Geräten zu erzwingen Unbekannter Gerätezoo Hoher juristischer Regelungsaufwand Client Name here 12

13 Lösungsansätze für mobile Sicherheit Zugriff nur über bestimmte technische Lösungen Grundsätzlich alle mobilen Geräte zugelassen Unternehmen macht Vorgaben bzgl. Zugriffsverfahren und Anwendungen wie, z.b. Benutzerauthentifizierung (Username, Passwort, OneTimePassword, etc.) Zugriff nur über Webaccess auf bestimmte Portalserver und dedizierte Applikationen Zugriff nur über Virtual Desktop Infrastrukturen (z.b. Microsoft VDI, Citrix-VDI, etc.) Vorteile Nachteile Kontrollierbare Zugangspfade für mobile Geräte Zugriff nur auf freigegebene Applikationen möglich Rechtlicher Regelungsaufwand auf Standard-Policies begrenzbar Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards Wie bei Zugriff nur nach spezieller Authentifizierung Zusätzlich Einschränkung der MA-Flexibilität ausschließlich auf die vom Unternehmen freigegebenen Unternehmensanwendungen Freigabeprozess für Unternehmensanwendungen möglicherweise aufwändig Client Name here 13

14 Lösungsansätze für mobile Sicherheit Enterprise Mobility Management (EMM) MDM Mobile Device Management Full-Device Ansatz um mobile Endgeräte zu kontrollieren IT sichert Zugang, Daten etc. auf den Endgeräten beispielsweise über Passwörter, Remote Wipe Funktionalitäten etc. Typische MDM Tools: Einführen von Policies, Tracken des Inventars, Real-Time Monitoring und Reporting Funktionalitäten Vorteile Nachteile Hoher Grad an Kontrolle und Steuerung Hoher Grad Sicherheit Z. Zt. bestmöglicher Kompromiss zwischen Unternehmens- und Individualinteressen Strenger regulatorischer Ansatz kann User insbesondere bei BYOD Ansätzen abschrecken ( Warum muss ich jedes mal wenn ich mein Handy benutzen will ein Passwort eingeben, ändern etc.? ) und motiviert bei ihm u.u. Aktivitäten das System zu umgehen Client Name here 14

15 Lösungsansätze für mobile Sicherheit Enterprise Mobility Management (EMM) MAM Mobile Application Management Im Gegensatz zu MDM ein granularerer Ansatz um mobile Endgeräte zu kontrollieren Betrifft Software, Lizensierung, Sicherheit, Benutzer Policies, Zugangs- und User Authentifizierung, Konfiguration, Updates, Maintenance, Reporting, Tracking und Applikationslebenszyklus Vorteile Nachteile Ermöglicht komfortablere User Experience (Bsp. IT kann einen Remote Wipe auf dem Gerät des Users durchführen ohne das seine persönlichen Applikationen davon betroffen sind) Höhere Kosten durch Entwicklung, Maintenance, Upgrade etc. von spezieller Enterprise Software Client Name here 15

16 Lösungsansätze für mobile Sicherheit I Produktüberblick Markt- und Performance*-Führer AirWatch Citrix Good Technology IBM MobileIron Markt- und Performance*-Folger Absolute Software BlackBerry Globo Landesk SAP Sophos Soti Symantec Tangoe Enterprise Mobility Management (EMM) Suites mit Multiplattform-Support *Performance inkludiert hier: Produkt/Service, allgemeine Unternehmensviabilität, Preispolitik, Marktresonanz, Marketing, Benutzererfahrung, Unternehmensbetrieb, Marktverständnis, Marketingstrategie, Verkaufsstrategie, Produktstrategie, Industriestrategie, Innovation, geographische Strategie Client Name here 16

17 Lösungsansätze für mobile Sicherheit II Die besten Performer hinsichtlich kritischer kundenseitiger EMM Funktionalitäten Globales Enterprise Deployment AirWatch IBM MobileIron Shared general-purpose Devices MobileIron AirWatch IBM Regulierte Industrien Good Technology Citrix IBM EMM Funktionalitäten SaaS Deployments IBM AirWatch MobileIron Unified Endpoint Management IBM AirWatch MobileIron Special-Purpose Device Support Soti AirWatch Citrix Client Name here 17

18 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 18

19 Nutzen von mobiler Sicherheit Beispiele Direkter Nutzen Hoher Schutz von Unternehmensinteressen Sicherstellung der Erfüllung von Compliance Vorgaben Sicherstellung der Handlungsfähigkeit bei Gerätediebstahl Möglichkeit zur Installation von Zertifikaten (Push-Prinzip) Gezielte Sperrmöglichkeit von mobilen Geräten/Accounts für Zugriffe auf Unternehmensressourcen Ortungsmöglichkeit für vermisste Geräten (unter bestimmten Bedingungen) Möglichkeit zur Bereitstellung von Apps Messbarkeit Erkennen von kompromittierten Geräten Erkennen von Geräten, die die Compliance Vorgaben nicht erfüllen Erkennen der Anzahl von Gerätetypen, -klassen, - herstellern Möglichkeit zur gezielten Bereitstellung von Supportprozessen für häufig genutzte Gerätetypen Indirekter Nutzen Schärfung des Sicherheitsbewusstseins bei Mitarbeitern im Umgang mit mobilen Geräten Nutzbarkeit für Eigenwerbung bei Kunden Client Name here 19

20 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Richtlinien / Policies Technische Maßnahmen Personelle Maßnahmen (Team, Admins, etc.) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 20

21 Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Richtlinien / Policies für mobile Kommunikation / Sicherheit müssen definiert werden müssen darstellen, welche MDM Strategie das Unternehmen möchte und welche Technologien unterstützt werden -> erfordert aktive Einbindung der Geschäftsführung müssen juristische Aspekte (Haftung, etc.) möglichst lückenlos abdecken -> sehr hoher Aufwand müssen den Mitarbeitern kommuniziert / bekannt sein dürfen nicht in einer allgemeinen Überwachungsmentalität enden müssen die Schutzinteressen der Mitarbeiter, des Unternehmens und der Kunden bestmöglich berücksichtigen Technische Maßnahmen Geeignete Zugriffs-/Übergabepunkte müssen definiert sein Geeignete Hardware-/Software-Lösungen müssen evaluiert und implementiert sein Sicherheitsprofile für mobile Geräte unterliegen anderen, i.d.r. höheren, Anforderungen als Sicherheitprofile von Notebooks, Desktops Berechtigungskonzepte für mobile Daten erfordern höheren Detailierungs-/Unterscheidungs-/Reifegrad als für PC-Anwendungen üblich Verschlüsselung der Daten muss eine zentrale Forderung sein Konzepte zurverwaltung unterschiedlicher Technologiebasen (Android, iphone, Windows 8) müssen etabliert sein Personelle und organisatorische Maßnahmen (Team, Admins, Mitarbeiter, Provider) Awareness-Schulungen für alle Mitarbeiter müssen verfügbar sein HelpDesk- und Adminstratorschulungen für die neuen Technologien müssen etabliert sein Support muss vor dem eigentlichen Rollout etabliert und geschult sein Flexiblere Arbeitsmöglichkeiten erfordern höhere Flexibilität beim Support (evtl. 24*7 Support, statt bislang nur 5*(8-18 Uhr) Support) Verantwortlichkeiten und Eskalationsstufen zwischen ITK-Providern, interner IT und Support-Teams müssen geregelt sein Client Name here 21

22 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Privatsphäre Rechtliche Hürden (Haftungsfragen?) Datenschutz Betriebsrat Mitarbeiter- versus Unternehmensinteressen Praxisbeispiel BearingPoint Client Name here 22

23 Konfliktpotenziale bei Einführung mobiler Sicherheit Privatsphäre Gefühlte Verletzung der Privatsphäre von Anwendern Durch unklare Information / Kommunikation an die Anwender Durch unzureichende eigene Eingriffs-/Kontroll-/Steuerungsmöglichkeiten der Anwender Tatsächliche Verletzung der Privatsphäre von Anwendern Durch Missbrauch von Berechtigungen, Kompetenzen (z.b. Adminrechte, Anweisung durch Vorgesetzte) Durch technische Mängel oder fehlerhafte Konfigurationen Abhilfe: Aufklärungsmöglichkeiten, Schulungen, FAQs für Anwender bereitstellen Lückenlose Aufklärung von Missbrauchsfällen und zusammenfassende Kommunikation / Aufklärung an die Anwender Beseitigung technischer Mängel / Fehler und zusammenfassende Kommunikation / Aufklärung an die Anwender Wo immer unter Sicherheitsgesichtspunkten möglich, die Einflussnahme der Anwender aktiv einfordern, wie z.b: Sicherheitsprofile werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt, Geschäftsrelevante Apps werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt, Optionale Apps werden Anwendern nur vorgeschlagen/angeboten, die Entscheidung zur Installation wird Ihnen überlassen und die Installation machen sie selbst Die Aktivierung von besonders kritischen Diensten (z.b. GPS-Ortung) kann immer nur der jeweilige Anwender veranlassen (ggf. sogar mit automatischer Zwangs-Deaktivierung durch das Unternehmen nach einer vorgegeben Zeit) Client Name here 23

24 Konfliktpotenziale bei Einführung mobiler Sicherheit Rechtliche Hürden Datenschutzrechtliche Haftungsfragen: Ist die private Datennutzung gestattet (z.b. private s)? Abgrenzung Unternehmensdaten versus private Daten? Abgrenzung geschäftliche Nutzung versus private Nutzung? Was darf das Unternehmen unter welchen Bedingungen monitoren, was nicht? Umgang und Haftung bzgl. Kundendaten auf den Geräten? Bei legalem / illegalem Datenaustausch zwischen Apps? Beim Nutzen von Diensten wie Apple icloud, Microsoft Skydrive? Wer haftet wann wofür? Providerhaftung: Tritt das Unternehmen durch die Bereitstellung der ausgewählten EMM-Lösung bereits als Diensteanbieter nach TMG auf? Tritt das Unternehmen durch die Bereitstellung ausgewählter Apps bereits als Content Provider nach TMG auf? Haftung von Vertragsparteien: Welche Rolle/Verantwortung hat ein involvierter TK Service Provider bei der Gerätebereitstellung (vgl. 24 Monatsverträge)? Wer ist Geräteeigentümer, wer nur Gerätenutzer? Welche Zusatzvereinbarungen können die Vertragsparteien in ihrer besonderen Situation miteinander treffen? Client Name here 24

25 Konfliktpotenziale bei Einführung mobiler Sicherheit Datenschutz (Bundesdatenschutzgesetz BDSG) BDSG 1: (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. BDSG 3: (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). BDSG 3a: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten [ ] sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. [ ] personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist [ ]. Datenschutzrelevante Problemstellungen bei mobilen Geräten: Persönliche s fallen bereits unter 3 das BDSG GPS-Ortungsdaten von einem mobilen Gerät sind personenbezogene Daten nach 3 BDSG Darf / Will man diese als Arbeitgeber haben? Unter welchen Umständen? Wie kann man es vermeiden? Personenbezogene Daten (z.b. Religionszugehörigkeit, Familienstand) in Dateianhängen von geschäftlichen s: Werden bei Öffnen des Anhangs auf dem Gerät gecached (=dupliziert) -> Verletzung von BDSG 3a? Abhilfe? Können beim Bearbeiten der z.b. im ÖPNV Dritten zu Kenntnis gelangen -> Verletzung von BDSG 1 / 3a? Abhilfe? Wer ist Eigentümer / Verantwortlicher von auf dem mobilen Gerät gecachten Daten: Geräteeigentümer (z.b. Provider), Gerätenutzer (User), Diensteanbieter? Client Name here 25

26 Konfliktpotenziale bei Einführung mobiler Sicherheit Betriebsrat (Betriebsverfassungsgesetz BetrVG und Arbeitsschutzgesetze) BetrVG 80: (1) Der Betriebsrat hat folgende allgemeine Aufgaben: 1. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden; [ ] (2) Zur Durchführung seiner Aufgaben nach diesem Gesetz ist der Betriebsrat rechtzeitig und umfassend vom Arbeitgeber zu unterrichten BetrVG 87: (1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: 1. Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb; -> Auswirkung auf Policies [ ] 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; -> Auswirkung auf jede Art von IT Lösung 7. Regelungen über die Verhütung von Arbeitsunfällen und Berufskrankheiten sowie über den Gesundheitsschutz im Rahmen der gesetzlichen Vorschriften oder der Unfallverhütungsvorschriften; -> Möglichkeit zur Erzwingung von Lösungen unter Berücksichtung neuester arbeitsmedizinischer Erkenntnisse (z.b. strahlungsarm, Displaygröße, Dockingstations) Problemstellungen mit Betriebsrat (BR) beim Einsatz von mobilen Geräten und verbundenen Sicherheitslösungen: Der BR kann wegen BetrVG 80 (1) Ziff. 1 und BetrVG 87 (1) Ziff. 1 Regelwerke (Policies) blockieren, Änderungen zu selbigen erzwingen oder auch die Ausserkraftsetzung fordern Ein Ignorieren des BR kann wegen BetrVG 87 (1) Ziff. 6 zur gerichtlich durchsetzbaren Blockade beim Einsatz von mobilen Geräten und mobiler Sicherheit führen Der BR kann über BetrVG 80 (1) Ziff. 1 und BetrVG 87 (1) Ziff. 6 u. 7 bestimmte (alternative) Lösungen erzwingen Lösung Frühzeitige Einbeziehung des Betriebsrates in: die Planung, die Definition der Richtlinien, den Technologieauswahl- und Implementierungsprozess (am besten als Mitglied eines Steering Commitees). Client Name here 26

27 Konfliktpotenziale bei Einführung mobiler Sicherheit Mitarbeiter- versus Unternehmensinteressen Mitarbeiterinteressen Unternehmensinteressen Schutz der Privatsphäre Schutz von Unternehmens- und Kundendaten Schutz personenbezogener Daten Flexibles und individuelles Arbeiten Einhalten von Arbeitsschutzgesetzen (z.b. ArbZG) Versicherungsrechtliche Fragen (z.b. BG Unfallversicherung) Zugriff auf die für die Arbeit relevante Daten jederzeit und überall Zugriff auf Unternehmensdaten nur von vermeintlich sicheren Orten (z.b. nicht aus ÖPNV) Möglichst keinerlei Beschränkungen Einhaltung von Compliance Vorgaben (z.b. keine gesetzeswidrigen Daten auf den für Unternehmenszwecke genutzten Geräten) Komfort vor Sicherheit Einhaltung von unternehmenseigenen Sicherheitsstandards Schnelle Reaktionsmöglichkeiten auf Sicherheitsvorfälle Erkennen von Missbrauchsfällen Datenkommunikation einfach, schnell und zuverlässig Gewährleistung einer sicheren Datenkommunikation Möglichst neueste Technologieplattform Mitarbeiter wollen gut funktionierende, leicht bedienbare Anwendungen und Geräte Höhere Bereitschaft für coole Gadgets wie Design, Hippiness und Marken, Geld auszugeben Beherrschbare und bewährte Technologieplattformen Zentrale Administrationsmöglichkeiten Einfache und zentrale Softwareverteilung Wirtschaftlichkeit (Kosten- / Nutzenanalysen) steht im Vordergrund Client Name here 27

28 Agenda Mobile Sicherheit - Motivationsfaktoren Bedrohungen und Gefahren (aktuelle Meldungen) Lösungsansätze für mobile Sicherheit Nutzen von mobiler Sicherheit Voraussetzungen für mobile Sicherheit (mobile Security Readiness) Konfliktpotenziale bei Einführung mobiler Sicherheit Praxisbeispiel BearingPoint Client Name here 28

29 BearingPoint - Europäische Wurzeln mit globaler Reichweite 32 BearingPoint Büros in 20 Ländern und Betreuung von Kunden in mehr als 70 Ländern gemeinsam mit unseren globalen Allianzpartnern Client Name here 29

30 BearingPoint extreme Herausforderungen an ein mobiles Gerätemanagement und die zugehörige Sicherheit Ausgangssituation 20 Ländervertretungen 32 Niederlassungen / Büros ca Mitarbeiter, davon >= 75% Berater 20 länderspezifische Rechtssysteme (neben EU auch USA, China, Russland) >= 20 länderspezifische Verträge mit Mobilfunkprovidern, da hier im Gegensatz zu Festnetz-/Datennetzwerken z.zt. nur wenige Provider länderübergreifende Optionen bieten >= 50 verschiedene Gerätetypen aufgrund von Länderhoheiten, Providerspezifika Alle Betriebssystemplattformen bei mobilen Geräte vorhanden 4 länderspezifische Betriebsräte (D, F, NL, A), kein Konzernbetriebsrat unternehmensweite Wissensdatenbank Zentrale -Server Berater greifen mehr oder weniger über Mobilgeräte auf die Wissensdatenbank zu und benötigen dies für die Beratertätigkeit Austausch von Kundendaten über mobile Geräte kann im Sinne von Geschäfts-/Kundeninteresse nicht grundsätzlich ausgeschlossen werden Ziel (Auszug des Kriterienkataloges) Weltweit einheitlich: Management aller mobilen Geräte Regelwerke für alle mobile Geräte höchste Sicherheitsstandards für mobile Geräte nötig Etablierung von Datenschutzstandards mindestens nach EU- Recht, wo möglich direkt nach BDSG Kontrolle und Erkennung von Missbrauch / Verstössen Kontrolle über Compliance-Vorgaben Berücksichtigung nationaler Organisationsstrukturen / Spezifika Berücksichtigung nationaler Gesetze Berücksichtigung von Kundenanforderungen an die Sicherheit ihrer Daten Einfache Implementierung, Betrieb, Wartung des MDM-Systems Einfache Nutzungsmöglichkeit durch Anwender Einfache (länderspezifische) Bereitstellung von Apps Einfache (länderspezifische) Bereitstellung von Benutzer- / Securityrollen oder Profilen Client Name here 30

31 BearingPoint extreme Herausforderungen ein Lösungsansatz Phase I Vorbereitung Phase II Design Phase III Implementierung Phase IV Betrieb Analyse der Unternehmenssituation Festlegung eines unternehmensspezfischen Kriterienkataloges Marktanalyse der technischen Lösungen in Bezug auf Kriterienkatalog, mit Ergebnis einer Shortlist Aufbau Testumgebung Test der Systeme aus Shortlist Auswahl des finalen Systems Entwicklung und Abstimmung Policy Entwicklung und Abstimmung firmen- und gerätespezifischer Sicherheitsprofile Implementierung Serversystem, Test und Inbetriebnahme Entwicklung Support- Konzept / Trainings Schulung Support-Personal Anwendungstests durch Support-Personal Festlegung länderspezifischer Support-Strukturen Einbeziehung der verantwortlichen länderspezifischen Ansprechpartner in Rollout-Planung Rollout Training der in den Ländern verantwortlichen Ansprechpartner Information der betroffenen Anwender und länderspezifischer Rollout Evaluierung von Apps Entwicklung von Apps Test von Apps Bereitstellung von Apps Regelmäßiger Review und Anpassung von Policy (jährlich) Sicherheitsprofilen (monatlich bzw. bei Bedarf) Gerätepark (jährlich bzw. bei Bedarf) 11/ / / / / /2014 Umfangreiche Abstimmungsrunden zwecks Rollout auf Länder- Erfüllung von länderspezifischen / Standortbasis Anforderungen an Policy und Securityprofile verzögerten den Rollout Start Client Name here 31 Seit 04/2014

32 Service Desk: 1 st level Support Fleet Manager: Monitoring, Support Admin: 3 rd level Support BearingPoint MDM Technische Umsetzung Produkt auswahl Installation AW-Server im BE Rechenzentrum Definition, Implementierung, Wartung von Berechtigungen, Auswertungen für Admin, Fleet Manager & Service Desk in Abstimmung mit Stakeholdern (z.b. Betriebsrat etc.) 5 Active Directory Server Profile Zertifikate Regeln Updates 3 4 Desktop Admin 6 5 Synchronisation von Benutzeraccounts / Berechtigungen zwischen Active Directory und Airwatch Server (Push-Prinzip AD -> AW) 6 Definition, Implementierung und Bereitstellung der Sicherheitsprofile für Mobile Sicherheit auf AirWatch Server Airwatch- BearingPoint Server DataCenter 1 2 Intranet Internet 8a 8 8b Anwender installiert AW-App auf dem mobilen 7a Gerät Internet Firewall & Gateway 8b 9 Systemzugriff verweigert Anwender installiert Sicherheitszertifikate und 7b AW-Profile auf dem mobilen Gerät AirWatch Client prüft Sicherheitseinstellungen des mobilen Gerätes bei jedem Verbindungsaufbau 7c und meldet Konformität mit Richtlinien Nein 8 Konformität erfüllt? Ja 8a Zugriff auf Systeme gemäß Policy gewährt Service Desk Ticketing 1st Level Support InCountry Contract monitoring & Support Fleet Manager 9 Anwender 7a AW- Client 7b 7c Client Name here 32

33 BearingPoint MDM Lehren aus der Praxis für die Praxis Fallstricke 1. Genehmigung zur Nutzung privater Geräte restriktiv handhaben oder klar und eindeutig regeln 2. Unklare Eigentumsregelung bzgl. der Geräte (Provider, Unternehmen, Mitarbeiter) in Planung einbeziehen 3. Unklare Regelung der Vertragspartnerschaft (z.b. Service) für die Geräte (Provider, Unternehmen, Mitarbeiter, Hersteller) in Planung einbeziehen 4. Haftungsfragen bei Rechtsverstößen erst klären, dann handeln (z.b. Policy) 5. Vielzahl unterschiedlicher Geräteklassen (inkl. Betriebssysteme und Betriebssystemversionen) vermeiden 6. Unklare Abgrenzung für die Erbringung von Supportleistungen (Help Desk / Service Desk, Provider, App-Anbieter) 7. Keine Vermischung von privaten und geschäftlichen Daten (ggf. über Policy regeln) 8. Unmündigkeit der Anwender bzgl. Mobilen Geräten nicht unterschätzen und rechtzeitig und geeignet aufklären (z.b. Trennung von APP-/Provider-/MDM-Support für Anwender meist nicht selbstverständlich) 9. Mitarbeiterschulungen und Mitarbeitersensibilisierung frühzeitig durchführen Client Name here 33

34 BearingPoint MDM Lehren aus der Praxis für die Praxis Tipps 1. Frühzeitige Einbindung ALLER betroffenen Interessengruppen (Management, HR, BR, Legal, IT) 2. Erstellung einer Mobile Device Strategie als erster Schritt 3. Erstellung der Mobile Device Policy basierend auf der Strategie als zweiter Schritt 4. Ausreichend Zeit für die Entwicklung, Abstimmung und Finalisierung der Mobile Device Strategie und Policy einplanen (ca. 20% - 30% der Gesamtlaufzeit des Gesamtprojektes dafür veranschlagen) 5. Produktauswahl, Projektplanung, System-Setup, Rollout erst nach dem zweitem Schritt vornehmen 6. Leistungserbringer für unterschiedliche Supportleistungen klar abgrenzen, definieren und an die Mitarbeiter kommunizieren 7. Mitarbeiterschulungen und Mitarbeitersensibilisierung verständlich aufbereiten und evtl. als Webinar anbieten 8. Regelmäßige Awareness-Trainings zur IT Sicherheit und Sicherheit für mobile Geräte etablieren und anbieten 9. Rollout nicht als Big Bang planen, um die notwendigen unternehmensspezifische Erfahrungen einarbeiten zu können Client Name here 34

35 Client Name here 35

36 Business card Ihre Ansprechpartner Caroline Neufert Dietrich Heusel BearingPoint Kurfürstendamm T M BearingPoint Erika-Mann-Strasse 9 T M Berlin Germany München Germany Caroline.neufert@bearingpoint.com Dietrich.heusel@bearingpoint.com Client Name here 36

37