BYOD Bring your own Disaster?

Transkript

1 BYOD Bring your own Disaster? Die Sicht des BSI zu Sicherheit in Informationsverbünden mit BYOD Bundesamt für Sicherheit in der Informationstechnik Referat B21 Grundlagen der Informationssicherheit und IT-Grundschutz 22. EDV-Gerichtstag in Saarbrücken, 25.-

2 Das BSI eine Kurzvorstellung... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für IT-Sicherheit. Jahresbudget: 80 Mio. (2012) Mitarbeiter: über 570 Standort: Bonn 2

3 Das BSI - der zentrale Sicherheitsdienstleister des Bundes Positionierung, Kunden: Operativ: Bundesverwaltung Informativ: Bürger Kooperativ: Wirtschaft, Wissenschaft 3

4 Produkt- und Dienstleistungsportfolio 4

5 BYOD ist heiß diskutiert Artikel-Auswahl von Computerwoche.de 5

6 Was ist Consumerisation und BYOD? Consumerisation bezeichnet die Entwicklung, dass IT-Systeme Programme und Dienste aus dem privaten Umfeld auch dienstlich genutzt werden Bring your own device (BYOD) bezeichnet eine Strategie von Institutionen, die Mitarbeiter zu animieren, ihre privaten Endgeräte auch dienstlich zu nutzen. Fokus hier auf IT-Systeme wie Smartphones und Tablets 6

7 Der Blick in das BYOD-Desaster Jeder Mitarbeiter bringt Smartphones & Tablets von Verschiedenen Anbietern Mit verschiedenen Betriebssystemen Auf unterschiedlichsten Patchständen Mit beliebigen Anwendungen Mit beliebigen Webdiensten ( Bring your own Cloud ; BYOC) Für beliebige dienstliche Tätigkeiten Unkontrolliert und unreglementiert Sicherheit? Wollen wir das? Wozu? 7

8 Herausforderungen durch BYOD Auflösung der Grenze zwischen privatem und dienstlichen Bereich Administration? Haftung? Verantwortung für Sicherheit? Datenschutz- und lizenzrechtliche Probleme Gefährdungen für die Informationssicherheit 8

9 Gefährdungen durch Consumerization und BYOD Geräte sind nicht für professionellen Einsatz konzipiert Umsetzung der Sicherheitsleitlinien (Passwort, Patches, Datensicherung, etc.) ist bisweilen schwierig Zentrale Administration von privaten Geräten unerwünscht Zentrale Administration durch Vielzahl der Plattformen erschwert Ungeprüfte Apps im Netz der Institution Großes Problem Datenschutzkonformität: Fehlende Trennung zwischen dienstlicher und privater Nutzung 9

10 Gefährdung: Verlust/Diebstahl von Daten und Gerät CC-BY-SA

11 Gefährdung durch Einsatz in ungeschützter Umgebung Verlust von Vertraulichkeit durch Neugierige Blicke Gute Ohren Unverschlüsselte Datenverbindung 11

12 Gefährdung durch Trojaner und Spionage-Apps FlexiSpy et al. 2009: izombie für iphone 2011: ZeuS-Trojaner stiehlt mtans Auch ohne Viren : Rechtehungrige Apps Taschenlampe ins Internet Gratis Kartenspiel mit Adressbuchzugang Kochbuch will selbsttätig telefonieren Einkaufszettel will GPS 12

13 Andere Einfallstore für Schadsoftware Verseuchte s SMS/MMS Instant Messenger Internetseiten Dateiübertragung 13

14 Gefährdung durch Unkenntnis oder Umgehung von Regelungen Allgemeine Richtlinien (Umgang, Datensicherung, Verlust, etc.) Passwortrichtlinien auf Smartphones Umgang mit QR-Codes Trennung privat und dienstlich Mangelndes Problembewusstsein (20% halten jegliche Sicherheitsmaßnahmen für Smartphones für unnötig)(steria Mummert Umfrage Juli 2011, Mobile Geräte im Alltag ; 1000 Befragte) 14

15 Last but not least: Social Engineering Es muss nicht immer ein Mission-Impossible -Szenario sein Es reicht Kurzer Zugriff auf Gerät Anklicken eines Links Öffnen einer Datei Generell: Je wertvoller das Ziel, desto höher der plausible Aufwand. 15

16 Maßnahmen für Informationssicherheit Wenn Sie denken, Technologie löst Ihre Probleme, verstehen Sie nicht die Technologie und Sie verstehen auch nicht Ihre Probleme. (Bruce Schneier) 16

17 Fundamente für sicheres BYOD BYOD-Strategie Org. Rahmenbedingungen Technische Rahmenbedingungen Rahmenbedingungen des Netzes Organisatorische Maßnahmen Technische Maßnahmen am Endgerät Maßnahmen zur sicheren Anbindung der Endgeräte an das Netz der Institution Strategische Ebene Taktische Ebene Operative Ebene 17

18 Auf dem Weg zu einer BYOD-Strategie Kompatibilität zur Gesamtstrategie prüfen Geräteauswahl anhand der Strategie vornehmen Nutzungsszenarien identifizieren 18

19 Nutzungsszenarien identifizieren Quelle: Spiegel-Online Quelle: Play-Store: 2X Client/RDP 19

20 Was besagt die Gesamtstrategie? Was sind die Datenschutz- und Compliancevorgaben? Was besagt das Sicherheitskonzept zu Smartphones & Tablets? Lassen sich diese Vorgaben & Strategien wirksam auf Geräten umsetzen, die der Institution nicht gehören? 20

21 Aspekte zur Geräteauswahl Zentrale Administration durch Mobile-Device-Management-System Detailliertheit der zentralen Administration angemessen? Trennung von privat & dienstlich ausreichend sicher? Sicherheitsfunktionen angemessen? 21

22 Die Mühen der operativen Ebene... BYOD-Strategie Verantwortlichkeiten festlegen Nutzungsrichtlinie Was ist erlaubt? Welche Apps? Webdienste? Kein Rooting Verfahren bei Verlust Schulung & Sensibilisierung Maßnahmen zur Netzanbindung Technische Maßnahmen Organisatorische Maßnahmen Zentrale Administration (MDM) Strikte Trennung von privatem und dienstlichem Bereich Vollständige Verschlüsselung Viren- & Diebstahlschutz Sicheres Passwort Regelm. Datensicherung & Patchen VPN-Verbindungen Netzzugangskontrolle Netzsegmentierung (Dynamische) Quarantäne Ggf. Mehrfaktor-Authentisierung 22

23 Zum Nachlesen: IT-Grundschutz-Überblickspapiere und Cyber-Sicherheits-Empfehlungen IT-Grundschutz Überblickspapiere 23

24 Zum Nachlesen: IT-Grundschutz-Überblickspapiere und Cyber-Sicherheits-Empfehlungen IT-Grundschutz Überblickspapiere 24

25 Fazit BYOD ist eine bewusste Strategie einer Institution private Endgeräte einzusetzen kein alternativloses Schicksal Zu prüfen: Kompatibel zur Strategie & Geschäftsprozessen? BYOD-Problematik geht weit über reine Informationssicherheit hinaus Aufgaben der Informationssicherheit: Größere Mitarbeiterverantwortung berücksichtigen Organisatorische Maßnahmen sehr wichtig Zentrale Administration Gesicherte Anbindung an Institutionsnetz Technische Maßnahmen 25

26 Einige offene Fragen zum Schluss Denken ist eine Aufgabe und muss unaufhörlich Aufgabe bleiben, Erkenntnis zu schaffen. Begriffe, mit denen die reine Erkenntnis umgeht, sind daher Antworten und immer auch Fragen. Kommt das Denken zu einem Abschluss hört der Begriff auf Frage zu sein verliert Denken seine fundamentalste Funktion, nämlich Erkenntnis zu erzeugen und mithin seine Urteilsfähigkeit. Hermann Cohen ( ), frei aus Logik der reinen Erkenntnis BYOD Was ist sicherer? Wirtschaftlicher? Handhabbarer? Wollen vs. dienstliche Geräte mit privatem Bereich? wir 24x7 Verfügbarkeit der Mitarbeiter? Work-Life-Balance? Burn-Out-Prevention? 26

27 Vielen Dank für die Aufmerksamkeit! Fragen oder Anmerkungen? 27

28 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: 28