Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt 06.11.2009 13.04.2011 Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 1
Wer redet denn hier überhaupt? Hans-Joachim Giegerich IT-Sicherheit seit 1993 Konzeption, Implementation, Sicherheitswartung, Security as a Service Produkte Michael Wiesner TeleTrusT Information Security Professional (T.I.S.P.) Konzeption, Implementierung und Betrieb sicherer IT-Infrastrukturen, IT- Sicherheitsaudits, Penetrationstests, IS-, Risiko-/Notfallmanagement Mitglieder der Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT Fokus: Informationssicherheit, IT-Sicherheit, Datenschutz, IT-Compliance bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT-gestützten Prozessen heutiger Unternehmungen ab 06.11.2009 Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 13.04.2011 Expertenwissen kompakt 2
Sicherheit ist ein Grundbedürfnis Egal wo wir gerade unterwegs sind 3
Information at your fingertips Bill Gates, Comdex Las Vegas, 1994 Damals Vision, heute Realität 4
Unternehmensdaten werden mobil 5
Notebooks Und wo sind unsere Daten? USB-Sticks / tragbare Festplatten Kameras Smartphones Über Handys werden 2007 zum ersten Mal mehr Daten als Sprache übertragen (FTD, 17.02.2011) 6
Über welche Daten reden wir? Kunden- und Vertriebsdaten Angebote und Kalkulationen Forschungsergebnisse Persönliche Kontakte und Kontaktdaten Interne Buchhaltungsdaten Sonstige Firmengeheimnisse 7
Datenflußüberall auch unsere Daten 06.11.2009 13.04.2011 Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 8
Bedrohungspotential 9
Bedrohungen Datendiebstahl oder Manipulation durch Schadsoftware Kompromittierung durch offene Schnittstellen Ausspähen von Daten (z.b. Shoulder-surfing) Diebstahl oder sonstiger Verlust Nutzung ungeschützter oder unverschlüsselter Netze Nutzung vermeintlich sicherer Netze Nutzung von unkontrollierbaren Anwendungen Phishing von Bezahldaten 10
Beim Geld hört die Freundschaft auf 11
Sicherheitsmaßnahmen 12
Sicherheitsmaßnahmen Grundsätzlich müssen mobile Endgeräte in die unternehmensweiten IT-Sicherheitsprozesse / Informationssicherheitsmanagement integriert werden. Insbesondere: Sicherheitsrichtlinien Organisatorische Maßnahmen Technische Maßnahmen 13
Lebenszyklus Auswahl und Beschaffung Möglichkeit zur Einbindung in die Sicherheitsrichtlinie Vertrauenswürdigkeit von Plattform und Lieferant Installation Standardisierung, Schutzmechanismen Betrieb Updates, zentrales Management Außerbetriebnahme Sicheres Löschen der Daten 14
Sicherheitsrichtlinien Gerät vor Verlust schützen Vorgehen bei Verlust des Gerätes Keine Weitergabe an Dritte Klare Regelung für private Nutzung Passwort-/Updatepolicy Erlaubte Daten Erlaubte Software (Apps) 15
Sicherheitsrichtlinien -Beispiel Vorgehen bei Verlust: Lokalisierungsdienste Fernlöschung ( Remote Kill ) VPN deaktivieren Sperrung SIM-Karte Temporärer Verlust -> Integrität prüfen! 16
Organisatorische Maßnahmen Sicherheitsrichtlinien beachten! Verhindern unbeaufsichtigter Geräte Softwareupdates Kontrolle der Logfiles Auslagerung der Daten (Speicherkarten) 17
Technische Maßnahmen Verschlüsselung Verbindungen managen Zugangsschutz/Kennwörter/Biometrie Lokalisierungsdienste Physische Sicherung Virenschutz/Anti-Malware Lokale Firewall Applikationskontrolle 18
Praxisbeispiel iphone Jailbreak ist sehr beliebt Ananas, Cydia App SSH-Server wird automatisch gestartet Standard-Kennwort alpine Automatische Verbindung zu offenen WLANs VPN-Verbindung zum Unternehmen! 19
Aktuelle Beispiele und die Konsequenzen für uns alle 20
Aktuelle Beispiele 21
Aktuelle Beispiele 22
BSI www.bsi.bund.de ISO/IEC 27001 & 27002 Quellen/Ressourcen Security Management 2011/F.A.Z. Institut ISBN-13: 2011 978-3-89981-714-0 Self Assessment www.kmu-sicherheit.eu 13.04.2011 Expertenwissen kompakt Mobile Security- Dialog 23
Vielen Dank für Ihre Aufmerksamkeit! CTNS Secutrends GmbH Im Westpark 8 35435 Wettenberg www.ctns.de 0641-250390-0 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de 06103-5881-0 06.11.2009 Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 13.04.2011 Expertenwissen kompakt 24