Neue Konzepte für Mobile Security Von Sicherheitskernen zu Work-Life Balance Cyber-Sicherheitstag 2013 Allianz für Cybersicherheit Darmstadt
Ziel dieses Vortrages Work-Life Balance Merkel-Phone Android Expolits 2
Was wollen wir? Telefonieren Nachrichten lesen & schreiben Bahnauskunft, Hotel buchen Twittern Fotos aufnehmen und teilen Spiele für zwischendurch? 3
Was wollen wir? Gerät auch beruflich nutzen Kontakte verfügbar haben Termine synchron halten Mail lesen & schreiben Dokumente lesen Unternehmensspezifische Anwendungen 4
Was will der Nutzer nicht? IT Zugriff auf persönliche Daten geben Funktionalität des Gerätes einschränken 5
Was will das Unternehmen nicht? Private Nutzerdaten verwalten Unkontrollierten Zugriff auf Unternehmensdaten und - ressourcen riskieren 6
Herausforderung: Gleichzeitige Nutzung eines Gerätes für berufliche und private Anwendungen 7
Was will das Unternehmen nicht? Private Nutzerdaten verwalten Unkontrollierten Zugriff auf Unternehmensdaten und - ressourcen riskieren 8
Was will das Unternehmen nicht? Private Nutzerdaten verwalten Unkontrollierten Zugriff auf Unternehmensdaten und - ressourcen riskieren 9
Verlorene Smartphones. 10
(Etablierte) Gefährdungen für Smartphones Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, ) Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.b. Passwörter, PINs, Zugangscredentials, Webzugriffe, ), abgehörte Telefonate Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, ) 11
Technologien & Lösungen 12
Schutz vor Diebstahl und Verlust, Schutz der Kommunikation Remote-Wipe, VPN,. Mobile Device Management (MDM) 13
Schutz der Offline-Daten Verschlüsselung der Gerätedaten Erweitertes Mobile Device Management mit Client-Erweiterung 14
Schutz der App-Daten Restriktive Installationskontrolle Separate PIM-Anwendung / Container Remote Virtualisierung der Unternehmens-Apps 15
Die nächste Herausforderung Exploits 16
Expolits 17
Mobile Sicherheit 18
Smartphone OS-Angriffsvektoren 3rd Party Apps Browser Multimedia/PDF Kommunikationsdienste Fernwartung Betriebssystem Basebandprozessor Benutzer 19
IT-Sicherheitskonzepte adäquat? Heutige Ansätze völlig unangemessen: Airbag-Methode : Wenn s passiert soll es weniger weh tun Adäquate IT-Sicherheit heißt: ESP-Strategie : Verhindern, dass man überhaupt ins Schleudern kommt 20
Moderne Proaktive Sicherheistarchitekturen 21
Moderne Sicherheitsarchitekturen Android Middleware Android Middleware Operating System Security Kernel Security Kernel Mobile Device Android Mobile Device Security Kernel + Virtualization Mobile Device Security Kernel + Modified Middleware 22
Mikrokern-basierte Lösungen SimKo3 (T-Systems) und MoTrust (BSI/Sirrix) 23
Bisher verfolgte Sicherheitskonzepte EMSCB (2005-2008), BMWI European Multilaterally Secure Computing Base Verisoft XT (2007-2010), BMBF Formal Verification of Critical System Components TECOM (2008-2011), EU Embedded Trusted Computing basierend auf Mikrokern, FP7-IP MoTrust (2007-2009, 2010-2011), BSI Weiterentwicklung des Mikrokern-basierten Sicherheitskerns TURAYA zur Einsatzreife auf kommerziellen Smartphones Einsatz von MTM/TPM in mobiler Plattform 24
Betriebssystem mit Type-Enforcement und vergleichbarem Sicherheitslevel Android Middleware Android Middleware Operating System Security Kernel Security Kernel Mobile Device Android Mobile Device Security Kernel + Virtualization Mobile Device Security Kernel + Modified Middleware Blackberry 10 Sirrix BizzTrust 26
Sicherheitsarchitektur auf Kernel-Ebene Strikte Trennung zwischen privat und geschäftlich Policy-Enforcement mit Prozesskontrolle 27
Übersicht 28
Referenzen: Sirrix AG Im Stadtwald, Geb. D3 2 66123 Saarbrücken GERMANY Alkassar, Heuser, Stüble: Vertrauenswürdige Smartphones: Technologien und Lösungen, 13. Deutscher IT-Sicherheitskongress, Bad Godesberg Mai 2013. Alkassar, Schulz, Stüble: Sicherheitskern(e) für Smartphones: Ansätze und Lösungen, Datenschutz und Datensicherheit (DuD) 3/2012. Tel +49 (0)681/95986-0 Fax +49 (0)681/95986-500 Email Web info@sirrix.com www.sirrix.com 29
2011 ı Classification: RESTRICTED Produktlinie Sprachverschlüsselungssysteme ISDN/VoIP/GSM TETRA/BO S-D/SNS NATO -SCIP Fax Encryption Systeme Radio Encryption Systeme Module für VHF/UHF Radios Handsets für HF-Radios T URAYA T M TrustedInfrastructure TrustedO bjects Manager TrustedVPN TrustedDesktop TrustedServer T URAYA TM SecurityKernel TURAYA TM Embedded TURAYA TM Mobile BitBox Secure Brow sing TrustedDisk Volume und USB-Encryption Mobile Device Security TrustedMobile io S/Android BizzTrust Management für Geräte, Apps, Politik, Benutzer VPN-Zugang 30