Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Matthias Bandemer Partner EY Advisory Services 12. Februar 2015
Unser global integriertes Team für Cyber-Sicherheit hilft Organisationen bei der Prävention EY Global $27.4 Umsatz im Jahr 2014 150 Länder 190,000 Mitarbeitende Advisory Assurance Tax Transaction Americas ~ 300 Mitarbeiter im Bereich Cyber-Sicherheit EMEIA ~ 400 Mitarbeiter im Bereich Cyber-Sicherheit Asia Pacific ~ 150 Mitarbeiter im Bereich Cyber-Sicherheit EY ist einer der globalen Marktführer im Bereich Cyber Security (ForresterWave). Seite 2
Unser Serviceangebot im Bereich Cyber-Sicherheit und Datenschutz Annuity Services Management Systems Transformational Services SOC* Services ISMS Assessments & IS Audits Penetration Testing Threat & Vulnerability Management Cyber Security Management Systems ISMS ISO 27001/2 (auch IT-Grundschutz) Policy Framework IS Organisation ISO 27001 Preparation and Certification Process Automation Information Security Risk Management Processes New Business Enablement Security by Design Connected Car ehealth Smart Grids Incident Response & Remediation BIA / BCM Risk Assessments Risk Management Tools E-Government Data Privacy Privacy Audits Data Privacy Management & Transformation DPMS Maturity Assess. DPMS Optimization New Technology Enablement Mobile / Cloud External Data Protection Officer DPMS Implementation DPMS Certification Big Data External and internal collaboration and partnerships * SOC: Security Operating Center Stand: Januar 2015 Seite 3
Sie werden angegriffen! Wie gut sind Sie darauf vorbereitet? EY s Global Information Security Survey 2014: Angriffe finden mit an Sicherheit grenzender Wahrscheinlichkeit ( near-certainty ) statt Keine Frage, ob man sicher ist, sondern wie man sicherstellt kann, dass kritische Informationen und Infrastrukturen ausreichend geschützt sind Seite 4
56% der befragten Organisationen können einen gezielten Cyberangriff wahrscheinlich nicht erkennen Seite 5
Aktuelle Entwicklung im Bereich Mobile Computing Aktuelle Situation ios und Android sind dominant Geringer Marktanteil von BlackBerry OS und Windows Phone Die Grenzen zwischen geschäftlicher und privater Nutzung verschwimmen 60% 50% 40% 30% 48,3% 41,6% Herausforderungen für Unternehmen Schutz geschäftlicher Daten ohne die Produktivität einzuschränken Bring your own device Bedenken gegenüber BYOD: (Quelle: Forrester, July 2012) Mobile device security - 65% Data breach - 59% Mobile data security - 55% Mobile application security - 50% 20% 10% 0% 3,5% 2,5% 2,1% 1,1% 0,8% ios Android Java ME Symbian Windows Phone 2013 2014 BlackBerry Global mobile and tablet operating system market share in 2013 and 2014. Source: marketshare.hitslink.com Other Seite 6
Die Integration von mobilen Geräten führt zu handfesten Bedrohungen für Unternehmen Devices OS Vulnerabilities Jailbreak or rooting NFC/Bluetooth exploits Privacy legislation Industry regulations Cloud Service Theft and Data Extraction Social Engineering Apps Malware Data Leakage Unencrypted Local Storage Application Vulnerabilities Unencrypted data in transit Third party data leakage Insecure service configuration External Internal Unsecure MDM Configuration Application Vulnerabilities Insecure Services Lack of user awareness Mobile Device Management Enterprise Mobile Applications Private Cloud/Services Seite 7 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Eines der größten Risiken stellt immer noch der Verlust oder Diebstahl von mobilen Geräten dar Mobile device loss Lost device recovery rate Finder voyeurism Employee data access 70M lost or stolen smartphones in the U.S. each year 7% of lost/stolen devices are recovered 89% of lost/stolen devices are attempted accessed by the finder 64% of businesses embracing mobile see faster access to business-critical information Kensington/Ponemon Institute Kensington/Ponemon Institute Symantec DELL More data/access + more devices + more theft/loss = Increased risk Seite 8
Die Mehrheit der Unternehmen plant die Sicherheit im Bereich Mobile Computing zu verbessern Mobile technologies Securing emerging technologies (e.g., cloud computing, virtualization, mobile computing) Business continuity/disaster recovery resilience Data leakage/data loss prevention Identity and access management Cloud computing Security awareness and training Security incident and event management (SIEM) and Security Operations Center (SOC) Threat and vulnerability management (e.g., security analytics, threat intelligence) Security testing (e.g., attack and penetration) Incident response capabilities 46% 43% 41% 41% 39% 39% 29% 34% 34% 33% 33% Source: EY GISS 2014- http://www.ey.com/gl/en/services/advisory/ey-global-information-security-survey-2014 Seite 9
Bestandteile einer Security Strategie für mobile Endgeräte Protect access if lost Protect data if lost Screen lock Password complexity Encryption Patch management Two-factor authentication and use of Virtual Private Network ( VPN ) capabilities Security awareness Backup Risk assessments Threat modeling Emerging threat monitoring Patch management Network monitoring and log management Application monitoring Security assessments and attack and penetration Mobile Device Security Strategie Incident response Secure wipe policies on devices Policies and procedures Security awareness Encryption Limit the types of data and applications available to mobile devices Risk assessments Threat modeling Incident response Policies and procedures Vulnerability management Security awareness for IT operations Limit exposure to new vulnerabilities Effectively handle incidents and threats Seite 10
How do you get ahead of cybercrime? Focus on the three As. Seite 11 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Zusammenarbeit zwischen Organisationen, um Bedrohungen frühzeitig zu antizipieren Climate Collaboration Company one Company two Seite 13
Bei Fragen sprechen Sie uns einfach an Wir unterstützen Sie gerne mit unseren Lösungen Matthias Bandemer Partner Advisory Services Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Arnulfstraße 59 80636 München Office: +49 (89) 14331 11976 Mobile: +49 (160) 939 11976 matthias.bandemer@de.ey.com Seite 14
EY Assurance Tax Transactions Advisory Die globale EY-Organisation im Überblick Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch Building a better working world. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitglieds-unternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com. In Deutschland ist EY an 22 Standorten präsent. EY und wir beziehen sich auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited. 2015 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft All Rights Reserved. www.de.ey.com