Sicherheitsrisiken beim mobilen Arbeiten Dr., BSI, Abteilungsleiter Krypto-Technologie
Überblick Smartphones: Besondere Beispiel: Fakten Gefährdungslage Flexispy Smartphones und Enterprise-Security Lösungsansätze/Einschätzung Fazit
Smartphones: Fakten Smartphones Resultat der Konvergenz von IT und TK Dramatische Auswirkungen auf das persönliche Kommunikationsverhalten die Arbeitsprozesse Treiber für BYOD Fakt: Heutige Sicherheitsfeatures von Smartphones stellen Rückschritt im Vergleich zu klassischen Desktop/Laptoplösungen dar
Mobile Kommunikation: Eine besondere Gefährdung? Bei (temporärem) Verlust / Diebstahl des Gerätes: Kompromittierung aller gespeicherten Daten Lokale E-Mails, Termine, Kontakte, SMS Kommunikationsprofile Bewegungsprofile Gespeicherte Bilder, Dokumente Unbemerkte Manipulation (Trojaner) Versenden aller gespeicherten Daten (s.o.) an einen entfernten Angreifer Mithören von Telefonaten Mithören von Umgebungsgesprächen Echtzeit-Lokalisierung
Mobile Kommunikation: Eine besondere Gefährdung? Bei regulärer Nutzung des Gerätes: Mobilität der Endgeräte Ungesicherte Arbeitsumgebung Beschränkung der Sicherheit von mobilen Endgeräten z.b.schwächen in Betriebssystemen Implementierungsfehler Konfigurationsfehler Schadprogramme, Trojaner-Software Angriffsvektoren über die Infrastruktur
Flexispy, the worlds most powerfull spyphone Many People Cheat. They All Use Cell Phones. their cellphone will tell you what they wont Remote löschbar Since 2005, we've helped catch thousands of cheating partners Let Us Help You Catch Yours (Preis: 359 für 12 Monate)
Flexispy, the worlds most powerfull spyphone
Flexispy for Android: Features Live mithören E-Mail lesen Online Portal Raumüberwachung Telefonprotokoll Download fähig SMS-Lesen GPS Ortung Remote löschbar Facebook Chat 100% unsichtbar Konfigurierbar WhatsApp Chat SIM-Wechsel 8/7 Support
Smartphones: Eine besondere Gefährdung? Niedriges Schutzniveau bei Consumergeräten: Schutzmechanismen leicht überwindbar Sicherheitssoftware kaum verfügbar Attraktives Angriffsziel für Hacker Veröffentlichung von Angriffsmethode Publizität Angriffstools im Internet verfügbar Verkauf von Exploits Einfache Infektion des Zielobjektes über getarnte Apps Folge: Auch hochqualifizierte Angriffsmethoden sind für jedermann leicht zugänglich. Angreifer sind nicht auf den Bereich OK ND beschränkt.
Sicherheitsrisiken - Endgeräte Fremdzugriff auf kritische Datenbestände der IT-Infrastruktur durch fremde Übernahme des mobilen Endgerätes Versteckte Dienstfunktionen per Fernsteuerung Entzifferung der Verschlüsselung der Luftschnittstelle Werksseitig manipuliertes Gerät Vortäuschen einer Basisstation (IMSI-Catcher) Angriffe vom Netzbetreiber Diebstahl der Speichermedien des Smartphones Abfangen der Gespräche während der Weiterübermittlung (Richtfunkstrecken)
Moderne Mobile Kommunikation = Gefährdung der Enterprise-Security? Horrorszenario für Sicherheitsverantwortliche Smartphones ohne besondere Absicherung ohne Governance durch Unternehmens-IT-Bereich mit freier Nutzung der App-Stores und Nutzung von Public Cloud Diensten angebunden an die Unternehmens-IT mit Zugriff auf sensitive Unternehmensinformationen Besondere Bedrohung Smartphones als Einfallstor für Angriffe aus dem Internet auf die Unternehmens-IT
Verlust der Perimeter definierten IT-Sicherheitsstruktur Intranet Gesicherte Übergänge Ungesicherter Übergang Internet Mobilfunknetz
Verlust der Perimeter definierten IT-Sicherheitsstruktur Intranet Gesicherte Übergänge Ungesicherter Übergang Internet Mobilfunknetz
Verlust der Perimeter definierten IT-Sicherheitsstruktur Intranet Gesicherte Übergänge Ungesicherter Übergang Internet Mobilfunknetz
Lösungsansätze Handlungsbedarf und Trend Sicherheitslösungen auf Applikationsebene Separierung: business vs öffentlich/privat Absicherung der Smartphones gegen Malware (zumindest im business compartment) Consumerniveau: nicht ausreichend Separierungsbasierte Ansätze Voraussetzung: Modifikationen/Erweiterungen des OS möglich Konsequenz: derzeit nur ANDROID Handlungsoption gegeben
Lösungsansätze Nutzung der Separationstechnik der Hardware z.b. Trusted-Zone von ARM zusammen mit Mobi-Core Lässt die Separierung kritischer Applikationsanteile zu Durchgängige Separierung Business/Public nicht möglich. Einschätzung: Geeignet für kritische Bürger-Applikationen Nutzung von Separationstechniken im OS z.b. SE-Android, Bizztrust (= Android-Kernel/-Middleware Patch) Lässt Separierung Business/Public zu. Akzeptanz der Herstellercommunity unklar (SE-Android) bzw. Wirksamkeitsanalyse schwierig Einschätzung: Für Szenarien mit mittlerem Bedrohungspotential geeignet.
Lösungsansätze/ Einschätzung des BSI Nutzung von Microkernel / Virtualisierungstechniken z.b. durch Separierung oder Dualboot Separierung von Business/Public plus kritischer Supportdienste Herausforderungen: Powerconsumption, Produktpflege bzw. Useability Einschätzung: Aus Sicherheitssicht die zu bevorzugende Lösung Einschätzung des BSI Virtualisierungstechniken für Smartphones sind weltweit als technologischer Enabler für eine Enterprise-Security-Policy identifiziert. Vgl. Mobile World Congress / Cebit 2012 Deutschland ist in diesem Segment technologisch konkurrenzfähig, wenn nicht gar führend.
Einschätzung des BSI Einschätzung des BSI Erfahrung durch SINA-Technologie: gute und breite Akzeptanz der Virtualisierung-/Separationstechnologie (national/ EU) Lösungen zum Schutz von Verschlusssachen VS-NUR FÜR DEN DIENSTGEBRAUCH sind für den Schutz unternehmenskritischer Informationen aber auch der BOS geeignet.
Fazit Bedarf an innovativer Sicherheitstechnik für Smartphones in Verwaltung und Wirtschaft mit vergleichbaren Anforderungen: Separierung von Anwendungen/Dienste in Sicherheitsdomänen Nutzerfreundlichkeit Motivation: Enabler für eine stringente Enterprise-Security-Policy Sichere mobile Lösungen stellen einen unverzichtbaren Baustein der Cybersicherheit dar. Die gemeinsame Bedarfs- und Bedrohungslage in Verwaltung und Wirtschaft eröffnet Geschäftsmodelle für sichere mobile Lösungen.
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Godesberger Allee 185-189 D-53175 Bonn Tel: +49-22899-9582-5500 Gerhard.Schabhueser@bsi.bund.de www.bsi.bund.de