Informationssicherheit für mobile Geräte

Transkript

1 Informationssicherheit für mobile Geräte Dr. Andreas Gabriel Ethon GmbH Handwerkskammer Chemnitz 22. Januar 2015 Konsortium: Agenda Kurze Vorstellung Mobile Endgeräte Was ist das? Vorstellung ausgewählter Nutzungs-Szenarien aus der Praxis Schutzmaßnahmen Was Sie mindestens beachten müssen Exkurs: BYOD = Bring Your Own Device Fazit und Zusammenfassung 2 1

2 VORSTELLUNG ETHON UND A. GABRIEL 3 Über die Ethon GmbH 2003: Gründung Ethon Technologies GmbH als IT-Dienstleister mit Schwerpunkt Automobilindustrie Bald erste IT-Sicherheits- und Voice over IP- Projekte 2009: Ausgliederung des Sicherheits- und VoIP- Geschäftes in die Ethon GmbH Struktur Eigentümergeführte Gesellschaft Größe Derzeit ca. 45 Mitarbeiter Standorte Ulm, München, Wolfsburg und Chernihiv 4 2

3 Unser Profil Informationssicherheit Sicherheitsaudits u. a. nach ISO 27001, Erstellung von Sicherheits-Konzepten, Auditvorbereitung, IT-Forensik VoIP & Crypto etasuite: Sichere (mobile) Sprachkommunikation, ZRTP- Verschlüsselung, Client- und Serverprodukte 5 Was Sie über mich wissen sollten Dr. Andreas Gabriel Ausbildung BWL-Studium und an der Universität Würzburg Promotion Im Bereich der Informationssicherheit 2006 Ausbildung zum Certified Lead Auditor ISO/IEC Ausbildung zum Selbstverteidigungs- und Selbstbehauptungstrainer 2009 Ausbildung zum Betrieblicher Datenschutzbeauftragten Seit 2012 Leiter des Geschäftsbereichs Informationssicherheit bei der Ethon GmbH, Ulm 6 3

4 MOBILE ENDGERÄTE WAS IST DAS? 7 Mobile Endgeräte und was verstehen Sie darunter? Cloud- Computing Quellen: de.wikipedia.org,

5 Definition ANGEMESSEN Frist Vergütung Entschädigung gerecht notwendig richtig Preis ANGE- MESSEN Verhältnis würdig ANGE- MESSEN bestimmt Reaktion Umfang Weise weise vorteilhaft einzig Quelle: 9 Verlust von Hardware ein altes Problem Nov 2012 Datenschutzpanne bei der NASA Aus dem Auto eines NASA-Mitarbeiters wurde ein Notebook gestohlen, auf dem tausende Daten von Mitarbeitern und Zulieferern gespeichert sind. Die Weltraumbehörde hat laut Reuters mitgeteilt, dass der geklaute Rechner zwar mit einem Passwort geschützt, die Festplatte jedoch nicht verschlüsselt war. Tatsache in den Jahren 2009 bis 2011: 48 Rechner gingen verloren Direkte Folge: Verlust von tausenden (vertraulichen) Datensätzen Schutzmaßnahme: Festplattenverschlüsselung 10 5

6 Was sagt das BSI zu mobilen Datenträgern? Höhere Gewalt G1.9 Datenverlust durch starke Magnetfelder G1.15 Beeinträchtigung durch wechselnde Einsatzumgebungen Organisatorische Mängel G2.2 Unzureichende Kenntnis über Regelungen G2.10 Nicht fristgerecht verfügbare Datenträger Gefährdungslage Menschliche Fehlhandlungen G3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten G3.3 Nichtbeachtung von Sicherheitsmaßnahmen G3.44 Sorglosigkeit im Umgang mit Informationen Technisches Versagen G4.7 Defekte Datenträger G4.52 Datenverlust bei mobilem Einsatz Vorsätzliche Handlungen G5.1 Manipulation oder Zerstörung von Geräten oder Zubehör G5.2 Manipulation an Informationen oder Software G5.4 Diebstahl G5.23 Schadprogramme G5.9 Unberechtigte IT-Nutzung G5.141 Datendiebstahl über mob. Datenträger G5.142 Verbreitung von Schadprogrammen über mobile Datenträger Quelle: 11 NUTZUNGS-SZENARIEN (AUSWAHL) 12 6

7 Szenario 1: Mobiltelefone/SmartPhones (Auswahl) Bedrohung/Schwachstelle Verlust/Diebstahl Technischer Defekt (Ausfall) Kein Netz Abhören der Gespräche (falscher Ort/Hacking) Zugriff (Nutzung) durch einen Dritten Sensible Daten auf dem SmartPhone ( ) Lösung/Schutzmaßnahmen Fernlöschung ( Wipen ) Ersatzgerät & -karte (Interner Beschaffungsprozess) Mailbox/Weiterleitung Sensibilität des Nutzers; Technische Kontrollen (Audits) PIN, PUK, Löschen der Daten bei mehrfacher Falscheingabe Datenklassifikation, Verschlüsselung (der Daten) Sensibilisierung (der Anwender) 13 Szenario 2: Laptops (Auswahl) Bedrohung/Schwachstelle Verlust/Diebstahl Ausfall/technischer Defekt Nutzung fremder Netze (WLAN, Hotel) Zugriff (Nutzung) durch einen Dritten Schädlinge werden ins Unternehmens-LAN eingeschleppt Lösung/Schutzmaßnahmen Verschlüsselung der Festplatte Ersatzgerät (Beschaffungsprozess) VPN bei Fremdnetzen Nutzungsbedingungen Schutz-Software, auch wenn sich das Laptop nicht im Firmennetz befindet Incident-Management 14 7

8 Szenario 3: Tablet-PCs (Auswahl) Bedrohung/Schwachstelle Verlust/Diebstahl Unberechtigter Zugriff Schädlingsbefall Hacking Nutzung fremder (unsicherer) Netze (WLAN, Hotel) Speicherung sensibler/ unternehmenskritischer Daten Archivierung Lösung/Schutzmaßnahmen PIN/Verschlüsselung Fernlöschung VPN Anti-Malware-Software (Updateprozess!) Sensibilisierung der Nutzer Organisatorische Richtlinien Zentrale Lösung/Umsetzung für eine Archivierung 15 Szenario 4: USB-Speichermedien (Auswahl) Bedrohung/Schwachstelle Verlust/Diebstahl Datendiebstahl (Spionage) Daten kommen in die falsche Hände Berechtigungskonzept wird umgangen Schädlingsbefall Schädlinge werden ins Firmen-LAN eingeschleust (Firewall wird umgangen) Lösung/Schutzmaßnahmen Verschlüsselung erzwingen Es werden ausschließlich Firmen-USB-Medien erlaubt USB-Anschlüsse werden generell deaktiviert Sensibilisierung der Anwender Verlustmeldung (Workflow) Datenklassifikation Aufbewahrung muss geregelt werden 16 8

9 Szenario 5: Backup-Speichermedien (Auswahl) Bedrohung/Schwachstelle Verlust/Diebstahl Datendiebstahl (Spionage) Defekt der Speichermedien ( Altersschwäche ) Archivierung, z. B. mehr als zehn Jahre Bandlaufwerk defekt Lösung/Schutzmaßnahmen Sichere Aufbewahrung (z. B. in einem Safe) Zugriff gewissenhaft regeln Transport muss geregelt werden Das Wiedereinspielen testen Im Notfallplan muss die Beschaffung eines Bandlaufwerks geregelt werden 17 Szenario 6: Es gibt keine App, die ich nicht besitze Auslesen von Daten Übertragung an Dritte (ggf. ins Ausland) Lokalisierung durch Einchecken Quelle: Umgang mit mobilen Datenträgern Zentrale Administration Zentrale Freigabe der Apps 18 9

10 SCHUTZMAßNAHMEN 19 Technische Maßnahmen Anti-Malware Anti-Malware auf allen mobilen Datenträgern Zwingende Aktualisierung bevor der Zugriff auf das Firmen-LAN erfolgen kann Update auch auf (längeren) Dienstreisen sicherstellen Anti-Malware auch für SmartPhones, Tablet-PCs Vor der Nutzung von USB-Speichermedien einen Viren-Scan verpflichtend einrichten/vorschreiben 20 10

11 Technische Maßnahmen Verschlüsselung Festplattenverschlüsselung pre boot Authentifikation mit einem gesonderten Passwort o. ä. 2-Faktor-Authentifikation Bitte regeln Sie: Ruhezustand des Laptops?! Schlüsselverwaltung?! Zugriff auf das BIOS?! 21 Technische Maßnahmen Fernlöschung Sofortige Meldung eines Sicherheitsverstoßes notwendig ( Incident Management ) Unverzügliche Reaktion der (IT-) Verantwortlichen Bitte regeln Sie: Umgang mit (lokalen) Backups?! Wie motiviere ich einen Angestellten, den Verlust zu melden?! Umgang mit privater Infrastruktur?! Quelle:

12 Technische Maßnahmen VPN Heimarbeitsplatz o. ä. Mobiltelefon Tablet-PC WWW Verschlüsselter Kanal (VPN) VPN- Gateway Firmen-LAN Firmen-Laptop; Einwahl über Hotel-WLAN o. ä. Verbindungsaufbau in das Firmen-LAN darf NUR per VPN erfolgen Für einen (unbedarfter) Anwender/Nutzer muss der sichere Verbindungsaufbau automatisiert erfolgen 23 Technische Maßnahmen getrennte Netze Sobald ein Mobiles Endgerät auf das Firmen-LAN zugreifen darf, muss dies in einem eigenen Subnetz erfolgen. Eine gleichzeitige Online-Verbindung eines Rechners ins Firmen-LAN und über ein SmartPhones ins WWW MUSS verboten werden

13 Organisatorische Maßnahmen Übersicht (IT-) Sicherheitsrichtlinie Datenklassifikation zzgl. Vorgaben für den Austausch von Daten Umfassende Datenträgerverwaltung Prozess Umgang mit Sicherheitsvorfällen (Incident Management) Interne Vorgabe Umgang mit mobilen Datenträgern (Richtlinie, Verordnung ) Überprüfung der Einhaltung z. B. durch interne Sicherheits-Audits (Nachweis führen!) Schulung/Sensibilisierung ALLER Anwender 25 Organisatorische Maßnahmen Sicherheitsrichtlinie 1. Allgemeine Vorgaben 2. Nutzung der firmeneigenen IT-Infrastruktur 3. Passwortvorgaben (User, Administratoren, System-Accounts) 4. Erweiterung für Laptop-Nutzer 5. Erweiterung SmartPhones 6. Erweiterung Tablet-PCs 7. Erweiterung für das Arbeiten im Home-Office 8. Umgang mit dem eigenen WLAN 9. Umgang mit firmenfremden W-LANs 10. Sicherstellung der Urheberrechte 11. Meldung von Sicherheitsvorfällen 26 13

14 Organisatorische Maßnahmen Datenklassifikation Datenart Streng vertraulich Vertraulich Intern Offen Personaldaten Geschäftsbriefe Etc. X X Datenart Streng vertraulich Vertraulich Intern Offen Brief Nach Freigabe Nach Freigabe Nach Freigabe Nach Freigabe Nach Freigabe FTP Nach Freigabe Etc. Datenart Streng vertraulich Vertraulich Intern Offen File-Server (Abteilungslaufwerk) Laptop (unverschlüsselt) Nach Freigabe Nach Freigabe Etc. 27 Maßnahmenempfehlung des BSI Quelle: Schutzmaßnahmen Planung und Konzeption M2.3 Datenträgerverwaltung M2.218 Regelung der Mitnahme von Datenträgern und IT-Komponenten M2.401 Umgang mit mobilen Datenträgern und Geräten M4.34 Einsatz von Verschlüsselung Checksummen oder Digitalen Signaturen Umsetzung M4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung Betrieb M3.60 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten M4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externe Datenspeicher M4.200 Umgang mit USB-Speichermedien M4.232 Sichere Nutzung von Zusatzspeicherkarten Aussonderung M2.306 Verlustmeldung Notfallvorsorge M6.38 Sicherheitskopie der übermittelten Daten 28 14

15 BRING YOUR OWN DEVICE (BYOD) 29 Vorteile BYOD BYOD Für den Arbeitgeber Einsparung bei Hardware Lizenzen Schulung Kein Beschaffungsprozess Weniger Aufwand für Inventarisierung Support Für den Angestellten Vertraute Technik Keine (Daten-) Trennung zwischen Privatleben und Job Nutzerfreundliche Hard- und Software Höhere Motivation bei der Arbeit 30 15

16 BYOD Bewertung BYOD aus Sicht eines Administrators Keine Standardlösung hinsichtlich Hardware Software Protokolle und Netze usw. Kein Zugriff mangels Administrator-Kennung Erhöhter Aufwand wegen Einbindung in eine Domain/Active-Directory Struktur o. ä. Anwender-Support 31 BYOD Bewertung BYOD aus Sicht der IT-Sicherheit Umsetzung der Sicherheitsvorgaben auf privater Hardware, z. B. Passwortlänge und -komplexität Netzwerkzugriff zu Hause Backup / Datensicherung Zugriff auf private Komponenten ist schwierig vor allem nach einer Kündigung Nutzung der Hardware im privaten Umfeld des Anwenders 32 16

17 BYOD Bewertung BYOD aus Sicht des Datenschutzes Der Zugriff auf personenbezogene Daten muss zwingend geregelt werden Die Umsetzung der firmeneigenen Sicherheitsvorgaben muss sichergestellt werden Die Trennung zwischen privater und dienstlicher Nutzung ist so weit wie möglich sicher zu stellen 33 BYOD Rechtliche Fallstricke (Auswahl) Das Eigentum bleibt beim Angestellten?! Arbeitsrecht: Durchgriff auf die Hardware / die Daten?! Vorgaben / Umsetzung des Fernmeldegeheimnisses?! Vorgaben / Umsetzung des Datenschutzes?! Handelt es sich hier um einen geldwerten Vorteil?! 34 17

18 Vielen Dank für Ihre Aufmerksamkeit! Dr. Andreas Gabriel Ethon GmbH Deutschhausgasse Ulm Sie finden mich auch bei: Tel.: Fax: Mobil: Internet: a.gabriel@ethon.com 35 18