Risiken für Unternehmen durch zunehmende Vernetzung und Digitalisierung. Dennis Schröder, M. Sc.

Transkript

1 Risiken für Unternehmen durch zunehmende Vernetzung und Digitalisierung Dennis Schröder, M. Sc.

2 AGENDA 1. Big Picture 2. Allgemeine Erläuterungen zum Aufbau 3. Beispiele: Text Risiko durch Mobile Use Cases & Apps? Industrie- und Handelskammer Ruhr TÜV Informationstechnik GmbH

3 1. BIG PICTURE 2

4 IT SECURITY VS. MOBILE SECURITY? Im Fokus der mobilen Sicherheit stehen Smartphones, Tablets, und deren Integration in existierende Netzwerke sowie temporäre, neue Netzwerke Schlüsselfaktoren sind Geräte sind immer an unserer Seite und jederzeit nutzbar Sie sind immer an Immer online Einfache Funktionserweiterung durch Apps 3

5 HERAUSFORDERUNGEN Paradigmenwechsel Mobile Use Cases Integrationsstrategien Mobile Strategy (BYOD, COBO, COPE) Geräte- und Betriebssystemeigenschaften Diverse Angriffsszenarien Geräteverlust, Datenverlust (DLP), 4

6 5

7 STAND DER TECHNIK (AUSZUG) 6

8 USE CASES 7

9 2. Mobile APPs & ibeacons 8

10 AUSWAHLKRITERIEN AUS NUTZERSICHT: FUNKTIONEN, USABILITY UNS SICHERHEIT ZÄHLEN 9

11 AUSWAHLKRITERIEN AUS TECHNISCHER SICHT: TECHNOLOGIE, USE CASES UND FEATURES Plattform (ios, Android, Windows, Blackberry, ) Geräte (Smartphone, Tablet, Watch, ) Zielmarkt (B2B, B2C, intern, ) Technologie (hybride/native Apps, ) Features Content, Interaction, Transaction Social Media, User Location & Context (SoLoMo/PeCoLo) (Push) Notifications Geofences & ibeacons Online/Offline Usage Backend-Integration 10

12 EXEMPLARISCHE USE CASES UND ENDPRODUKTE AUS ANWENDERSICHT Shopping Apps Advertising (Ranging, Notification, Payment) 11

13 EXEMPLARISCHE USE CASES UND ENDPRODUKTE - MIKROKOSMOS - 12

14 EXEMPLARISCHE USE CASES UND ENDPRODUKTE - MAKROKOSMOS - 13

15 RISIKEN UND SCHWACHSTELLEN OWASP MOBILE TOP 10 RISKS 1. Weak Server Side Controls 2. Insecure Data Storage 3. Insufficient Transport Layer Protection 4. Unintended Data Leakage 5. Poor Authorization and Authentication 6. Broken Cryptography 7. Client Side Injections 8. Security Decisions via Untrusted Inputs 9. Improper Session Handling 10. Lack of Binary Protections 14

16 3. Lessons Learned 15

17 ZUSAMMENFASSUNG 1. Klärung von Verantwortlichkeiten und Ressourcen 2. Bestandsaufnahme zum Mobilitätsgrad (auch der Zulieferer, Dienstleister und Kunden) 3. Definition des Sicherheitsniveaus (unter Berücksichtigung von Compliance-Anforderungen) 4. Verbindliche Umsetzung von IT-Sicherheitsmaßnahmen im gesamten LifeCycle von Produkten & Use Cases a) Einhaltung von Coding und Security -BestPractices (siehe bpsw. owasp.org und bsi.de) b) Verbindliche Verpflichtung zu Updates und Sicherheitspatches c) Verbindliche Handlungsanweisungen und Mitarbeitereinwilligungen d) Penetrationstests durch unabhängige Dritte im Rahmen der Qualitätssicherung 5. Professionelle Prüfung der Maßnahmenwirksamkeit durch Sicherheitstechnische Untersuchungen und Bestätigungen durch unabhängige Dritte 6. Etablierung eines kontinuierlichen Verbesserungsprozess (KVP) zur Wahrung und Optimierung des Sicherheitsniveaus 16

18 TÜV Informationstechnik GmbH TÜV NORD GROUP Dennis Schröder, M. Sc. IT Security Business Security & Privacy Product Manager Cyber Security Services Mobile Security, Application Security, Network Security, Industrial Security, SE Security Ihr(e) Ansprechpartner TÜV Informationstechnik GmbH