Mobile Kommunikation: Herausforderung für die Cyber-Sicherheit

Transkript

1 Mobile Kommunikation: Herausforderung für die Cyber-Sicherheit Fachkonferenz Cyber-Sicherheit 30. Mai 2012

2 Überblick Smartphones: Fakten Besondere Gefährdungslage Beispiel: Flexispy Smartphones und Enterprise-Security Lösungsansätze/Einschätzung Fazit

3 Smartphones: Fakten Smartphones Resultat der Konvergenz von IT und TK Dramatische Auswirkungen auf das persönliche Kommunikationsverhalten die Arbeitsprozesse Treiber für BYOD Fakt: Heutige Sicherheitsfeatures von Smartphones stellen Rückschritt im Vergleich zu klassischen Desktop/Laptoplösungen dar

4 Mobile Kommunikation: Eine besondere Gefährdung? Bei (temporärem) Verlust / Diebstahl des Gerätes: Kompromittierung aller gespeicherten Daten Lokale s, Termine, Kontakte, SMS Kommunikationsprofile Bewegungsprofile Gespeicherte Bilder, Dokumente Unbemerkte Manipulation (Trojaner) Versenden aller gespeicherten Daten (s.o.) an einen entfernten Angreifer Mithören von Telefonaten Mithören von Umgebungsgesprächen Echtzeit-Lokalisierung

5 Smartphones: Eine besondere Gefährdung? Niedriges Schutzniveau bei Consumergeräten: Schutzmechanismen leicht überwindbar Sicherheitssoftware kaum verfügbar Attraktives Angriffsziel für Hacker Veröffentlichung von Angriffsmethoden Publizität Angriffstools im Internet verfügbar Verkauf von Exploits Einfache Infektion des Zielobjektes über getarnte Apps Folge: Auch hochqualifizierte Angriffsmethoden sind für jedermann leicht zugänglich. Angreifer sind nicht auf den Bereich OK ND beschränkt.

6 Flexispy, the world's most powerful spyphone Many People Cheat. They All Use Cell Phones. Their cell phone will tell you what they won't Remote löschbar Since 2005, we've helped catch thousands of cheating partners Let Us Help You Catch Yours (Preis: 359 für 12 Monate)

7 Flexispy for Android: Features Live mithören lesen Online Portal Raumüberwachung Telefonprotokoll Download fähig SMS-Lesen GPS Ortung Remote löschbar Facebook Chat 100% unsichtbar Konfigurierbar WhatsApp Chat SIM-Wechsel 8/7 Support

8 Moderne Mobile Kommunikation = Gefährdung der Enterprise-Security? Horrorszenario für Sicherheitsverantwortliche Smartphones ohne besondere Absicherung ohne Governance durch Unternehmens-IT-Bereich mit freier Nutzung der App-Stores und Nutzung von Public Cloud Diensten angebunden an die Unternehmens-IT mit Zugriff auf sensitive Unternehmensinformationen Besondere Bedrohung Smartphones als Einfallstor für Angriffe aus dem Internet auf die Unternehmens-IT

9 Verlust der Perimeter definierten IT-Sicherheitsstruktur Intranet Gesicherte Übergänge Ungesicherter Übergang Internet Mobilfunknetz

10 Lösungsansätze Handlungsbedarf und Trend Sicherheitslösungen auf Applikationsebene Separierung: business vs öffentlich/privat Absicherung der Smartphones gegen Malware (zumindest im business compartment) Consumerniveau: nicht ausreichend Separierungsbasierte Ansätze Voraussetzung: Modifikationen/Erweiterungen des OS möglich Konsequenz: derzeit nur ANDROID Handlungsoption gegeben

11 Lösungsansätze Nutzung der Separationstechnik der Hardware z.b. Trusted-Zone von ARM zusammen mit Mobi-Core Lässt die Separierung kritischer Applikationsanteile zu Durchgängige Separierung Business/Public nicht möglich. Einschätzung: Geeignet für kritische Bürger-Applikationen Nutzung von Separationstechniken im OS z.b. SE-Android, Bizztrust (= Android-Kernel/-Middleware Patch) Lässt Separierung Business/Public zu. Akzeptanz der Herstellercommunity unklar (SE-Android) bzw. Wirksamkeitsanalyse schwierig Einschätzung: Für Szenarien mit mittlerem Bedrohungspotential geeignet

12 Lösungsansätze Einschätzung des BSI Nutzung von Microkernel / Virtualisierungstechniken z.b. durch Separierung oder Dualboot Separierung von Business/Public plus kritischer Supportdienste Herausforderungen: Powerconsumption, Produktpflege bzw. Useability Einschätzung: Aus Sicherheitssicht die zu bevorzugende Lösung Einschätzung des BSI Virtualisierungstechniken für Smartphones sind weltweit als technologischer Enabler für eine Enterprise-Security-Policy identifiziert Vgl. Mobile World Congress / Cebit 2012 Deutschland ist in diesem Segment technologisch konkurrenzfähig, wenn nicht gar führend

13 Einschätzung des BSI Einschätzung des BSI Erfahrung durch SINA-Technologie: gute und breite Akzeptanz der Virtualisierung-/Separationstechnologie (national/ EU) Lösungen zum Schutz von Verschlusssachen VS-NUR FÜR DEN DIENSTGEBRAUCH sind für den Schutz unternehmenskritischer Informationen geeignet

14 Fazit Bedarf an innovativer Sicherheitstechnik für Smartphones in Verwaltung und Wirtschaft mit vergleichbaren Anforderungen: Separierung von Anwendungen/Dienste in Sicherheitsdomänen Nutzerfreundlichkeit Motivation: Enabler für eine stringente Enterprise-Security-Policy Sichere mobile Lösungen stellen einen unverzichtbaren Baustein der Cybersicherheit dar Die gemeinsame Bedarfs- und Bedrohungslage in Verwaltung und Wirtschaft eröffnet Geschäftsmodelle für sichere mobile Lösungen

15 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0)