Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Transkript

1 Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Referat B21 Grundlagen der Informationssicherheit und IT-Grundschutz 5. IT-Grundschutz-Tag zu Audit-Vorbereitung und Auditierung von IT-Grundschutz Berlin,

2 BYOD ist heiß diskutiert... Artikel-Auswahl von Computerwoche.de Jonas Paulzen 2

3 aber in der Prüfbegleitung kaum ein Thema Mögliche Gründe: BYOD ist eben nur Hype... Risiko-orientierte Auswahl von Baustein-Zielobjekten fällt nicht auf Mobiltelefon/PDA ebenso für Los-Baustein und zusätzliche Maßnahmen BYOD erfolgt unkontrolliert Unklarheit wie mit BYOD im ISM umgegangen werden soll... Jonas Paulzen 3

4 Was ist Consumerisation und BYOD? Consumerisation bezeichnet die Entwicklung, dass IT-Systeme Programme und Dienste aus dem privaten Umfeld auch dienstlich genutzt werden Bring your own device (BYOD) bezeichnet eine Strategie von Institutionen, die Mitarbeiter zu animieren, ihre privaten Endgeräte auch dienstlich zu nutzen. Fokus hier auf IT-Systeme wie Smartphones und Tablets Jonas Paulzen 4

5 Für BYOD relevante IT-Grundschutz Bausteine B Mobiltelefon B PDA M Festlegung einer Strategie für den Einsatz von PDAs enthält bereits seit 2005 einen Absatz über private PDAs in Institutionen M Sicherheitsrichtlinien und Regelungen für den PDA- Nutzung enthält seit 2006 viele relevante Hinweise für BYOD Zur sicheren Anbindung an Institution: B 4.4 VPN Je nach Szenario weitere Bausteine Dennoch: Aktualisierung von B & B nötig Jonas Paulzen 5

6 Herausforderungen durch BYOD Auflösung der Grenze zwischen privatem und dienstlichen Bereich Administration? Haftung? Verantwortung für Sicherheit? Datenschutz- und lizenzrechtliche Probleme Gefährdungen für die Informationssicherheit Jonas Paulzen 6

7 Gefährdungen durch Consumerization und BYOD Geräte sind nicht für professionellen Einsatz konzipiert Umsetzung der Sicherheitsleitlinien (Passwort, Patches, Datensicherung, etc.) ist bisweilen schwierig Zentrale Administration von privaten Geräten unerwünscht Zentrale Administration durch Vielzahl der Plattformen erschwert Ungeprüfte Apps im Netz der Institution Großes Problem Datenschutzkonformität: Fehlende Trennung zwischen dienstlicher und privater Nutzung Jonas Paulzen 7

8 Gefährdung: Verlust/Diebstahl von Daten und Gerät CC-BY-SA 3.0 Jonas Paulzen 8

9 Gefährdung durch Einsatz in ungeschützter Umgebung Verlust von Vertraulichkeit durch Neugierige Blicke Gute Ohren Unverschlüsselte Datenverbindung Jonas Paulzen 9

10 Gefährdung durch Trojaner und Spionage-Apps FlexiSpy et al. 2009: izombie für iphone 2011: ZeuS-Trojaner stiehlt mtans Auch ohne Viren : Rechtehungrige Apps Taschenlampe ins Internet Gratis Kartenspiel mit Adressbuchzugang Kochbuch will selbsttätig telefonieren Einkaufszettel will GPS Jonas Paulzen 10

11 Andere Einfallstore für Schadsoftware Verseuchte s SMS/MMS Internetseiten Dateiübertragung Jonas Paulzen 11

12 Gefährdung durch Unkenntnis oder Umgehung von Regelungen Allgemeine Richtlinien (Umgang, Datensicherung, Verlust, etc.) Passwortrichtlinien auf Smartphones Umgang mit Dateianhängen Trennung privat und dienstlich Mangelndes Problembewusstsein (20% halten jegliche Sicherheitsmaßnahmen für Smartphones für unnötig)(steria Mummert Umfrage Juli 2011, Mobile Geräte im Alltag ; 1000 Befragte) Jonas Paulzen 12

13 Last but not least: Social Engineering Es muss nicht immer ein Mission-Impossible - Szenario sein Es reicht Kurzer Zugriff auf Gerät Anklicken eines Links Öffnen einer Datei Generell: Je wertvoller das Ziel, desto höher der plausible Aufwand. Jonas Paulzen 13

14 Maßnahmen für Informationssicherheit Wenn Sie denken, Technologie löst Ihre Probleme, verstehen Sie nicht die Technologie und Sie verstehen auch nicht Ihre Probleme. (Bruce Schneier) Jonas Paulzen 14

15 Auf dem Weg zu einer BYOD-Strategie Kompatibilität zur Gesamtstrategie prüfen Nutzungsszenarien identifizieren Geräteauswahl anhand der Strategie vornehmen Jonas Paulzen 15

16 Nutzungsszenarien identifizieren Quelle: Spiegel-Online Quelle: Play-Store: 2X Client/RDP Jonas Paulzen 16

17 Was besagt die Gesamtstrategie? Was sind die Datenschutz- und Compliancevorgaben? Was besagt das Sicherheitskonzept zu Smartphones & Tablets? Lassen sich diese Vorgaben & Strategien wirksam auf Geräten umsetzen, die der Institution nicht gehören? Jonas Paulzen 17

18 Aspekte zur Geräteauswahl Zentrale Administration durch Mobile-Device-Management- System Detailliertheit der zentralen Administration angemessen? Trennung von privat & dienstlich ausreichend sicher? Sicherheitsfunktionen angemessen? Jonas Paulzen 18

19 Organisatorische Maßnahmen (1/2) Integrierte Sicherheitsleitlinie für smarte Endgeräte Was ist erlaubt, was nicht Einsatz von privaten Apps klären Verantwortung des Mitarbeiters und der Institution festlegen Verfahren bei Ausfall und Verlust des Endgerätes Den gesamten Lebenszyklus (Planung, Beschaffung, Betrieb, Aussonderung, Notfallvorsorge) von Endgeräten einbeziehen Jonas Paulzen 19

20 Organisatorische Maßnahmen (2/2) Mitarbeiter schulen und sensibilisieren Finanzieller Schaden durch Verlust/Diebstahl verdeutlichen Sinn von Passwortrichtlinien verdeutlichen Schadsoftware auf Endgeräten Rechtehungrige Apps Sinn regelmäßiger Datensicherungen und Patches erläutern Jonas Paulzen 20

21 Technische Maßnahmen der Institution Zentrale Administration aller smarten Endgeräte Einhaltung der Sicherheitsleitlinie strikt prüfen Jailbreaking & Rooting detektieren Webverkehr durch Virenfilter leiten (zentral o. lokal) Trennung privat & dienstlich: Dienst-Container App Smartphone als Thin-Client; alle Daten in der private Cloud Virtualisierung virtuelles privates und dienstliches Smartphone Jonas Paulzen 21

22 Maßnahmen am Smartphone Sichtschutzfolie für Smartphones Verschlüsselung aller Daten Umfassender Virenschutz Regelmäßige Datensicherung Regelmäßiges Patchen Fernlöschung und Lokalisierung Nur verschlüsselte Verbindung zum Netz der Institution Kein Jailbreaking oder Rooting Alle nicht benutzten Schnittstellen abschalten Jonas Paulzen 22

23 Maßnahmen der Nutzer Bei BYOD wesentlich größere Verantwortung für Sicherheit Sicherheitsmaßnahmen nicht umgehen sondern umsetzen Virenschutz wie bei Laptop Sparsamkeit: Diensten, Apps & Daten Gerät nicht aus der Hand geben oder liegen lassen Umsicht bei privaten Apps Vorsicht bei Web-Diensten Jonas Paulzen 23

24 Fazit BYOD ist eine bewusste Strategie einer Institution private Endgeräte einzusetzen kein alternativloses Schicksal Steuerung durch das ISM notwendig IT-Grundschutz bietet gute Grundlage für sicheres BYOD BYOD ist für Zertifizierung von Informationsverbünden kein Ausschlusskriterium Also: Keine Panik Jonas Paulzen 24

25 Vielen Dank für die Aufmerksamkeit! Fragen oder Anmerkungen? Jonas Paulzen 25

26 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: Jonas Paulzen 26