Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Christian Bruns, Informationssicherheit BTC Business Technology Consulting AG
Vorstellung
Vorstellung Christian Bruns Wirtschaftsinformatik / Management Consulting (B. Sc./M. A.) ISO 27001/ISO 9001 Auditor betrieblicher Datenschutzbeauftragter (TÜV Rheinland) ISO 27001, Datenschutz und Managementsysteme Awareness und CBT ISO 9001 Qualitätsmanagement Beratung, Konzeption und Audit BDSG-konforme Organisationen Ein-und Durchführung von Incidentmanagement https://www.xing.com/profiles/christian_bruns31
Lagebild Mobilit t in Unternehmen
Treiber der Mobilität für Energieversorger Marktanforderungen Mitarbeiter Interne Organisation Mobile Lösungen Mobilität als Wettbewerbsfaktor Intelligente Stromnetze BYOD Bereitstellung aktueller IT-Endgeräte Generation Y Einsparpotentiale Consumerization Verteilte Datenhaltung
Verbreitung mobiler Endgeräte Einsatz internetfähiger Mobilgeräte 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 91% 75% 48% 31% MA < 10 MA < 50 MA < 250 MA > 250 Quelle: Statistisches Bundesamt (Pressemitteilung vom 18. Dezember 2012)
Externe Mobile Risiken Quelle: Kaspersky Lab - Global IT Security Risks: 2012
Interne Mobile Risiken Quelle: Kaspersky Lab - Global IT Security Risks: 2012
Status Verwaltung mobiler Endgeräte Dennoch speichern 53% Kundendaten auf mobilen Geräten verursachen bei 42% mobile Sicherheitsvorfälle Kosten von jährlich über 100.000$ verwalten nur 32% Unternehmensinformationen auf privaten Geräten haben nur 7% keine Probleme mit BYOD Kurios Antwort auf die Frage Haben Mitarbeiter/Sie Zugriff auf Unternehmensdaten mit mobilen Geräten? Ja 33% 68% CIO 0% 20% 40% 60% 80% Quelle: ipadinschools.com Quelle: dimension research (Juni 2013)
Sichere Integration von Smartphones
Herausforderung Smartphones Smartphones sind auf den privaten Einsatz ausgerichtet Vorhandene Unternehmensprozesse nicht 1:1 übertragbar Smartphones ermöglichen Angreifern neue Angriffsvektoren Smartphones kommunizieren außerhalb des Unternehmensnetzes Verschiedene Betriebssysteme bieten ähnliche/gleiche Funktionen Quelle: de.statista.com
Übersicht mobiler Gefahren Informationsabfluss Informationsverlust Identitätsdiebstahl Kompromittierung des Unternehmensnetzwerkes Schadsoftware Compliance/Governance Verstöße
s Anforderungen an eine sichere Integration Physischer Schutz Synchronisation und Datensicherung Awareness Kommunikation und Schnittstellen Apps und Konfiguration Bring Your Own Device
6 Schritte zur sicheren Integration Sensibilisieren Synergien nutzen Einführung MDM Kommunikation verschlüsseln Lokale Daten verschlüsseln Regelungen festlegen
Schritt 1 Sensibilisieren Ziel ist es Bewusstsein zu schaffen Management zentraler Faktor Regelmäßigkeit sichert dauerhaften Erfolg Maßnahmen: Poster und Flyer Videos Live Hacking / Präsenzvorträge Schulungen Gewinnspiele Security Gimmicks Sensibilisieren
Schritt 2 Synergien nutzen Was existiert bereits zu Notebooks / Laptops? Smartphones wie Notebooks einstufen Identifikation von Synergiepotenzialen: Welche Regelungen kann ich übernehmen? Welche Prozesse können mich unterstützen? Welche Spezialisten sind bereits im Unternehmen? Synergien nutzen
Schritt 3 Einführung MDM Steuerung & Verwaltung der Geräte im Rahmen von Mobile Device Management Auswahl abhängig von Mobilstrategie Welches mobiles Betriebssystem setz ich ein? Welche Prozesse möchte ich mobil unterstützen? Wie viele Anwender erwarte ich? Welche Funktionen benötige ich? Werden private Endgeräte genutzt? Welches Budget steht mir zur Verfügung? Quelle: Gartner Magic Quadrant for Mobile Device Management Software Einführung MDM
Schritt 4 Kommunikation verschlüsseln Verschlüsselte Kommunikation wichtig, um Daten zwischen Smartphone und Unternehmen zu schützen Beispiel Mobile VPN Kommunikation über öffentliche Netze (z. B. UMTS), private WLAN- Hotspots oder interne WLAN-Hotspots abgesichert Kommunikation verschlüsseln
Schritt 5 Lokale Daten verschlüsseln Komplettverschlüsselung in Betriebssystemen vorhanden Alternativ Verschlüsselung bestimmter Dateibereiche mittels Software Ohne Verschlüsselung können Daten von Fremden ausgelesen werden Vorsicht bei BYOD: Ohne Trennung zwischen privaten und geschäftlichen Daten wird bei Fernlöschung das Smartphone i. d. R. vollständig zurückgesetzt Lokale Daten verschlüsseln
Schritt 6 Regelungen festlegen Verbindlichkeit der Vorgaben erhöhen Unterschrift der Mitarbeiter bei Geräteausgabe BYOD: Unterschrift vor Zugang zum Unternehmensnetz Mögliche Inhalte: Erlaubte Anpassungen Verfahren bei Verlust oder Diebstahl Nicht erlaubte Nutzung Anforderungen an die Geräte (BYOD) Anforderungen an die Konfiguration (BYOD) Klärung der Eigentumsverhältnisse (BYOD) Vereinbarung eines Kontrollrechtes (BYOD) Regelungen festlegen
Checkliste
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Physischer Schutz Beschreibung Priorisierung Erfüllt Vorgaben zur Aufbewahrung Gerätesperrung und sichere Handhabung von Kennwörtern Verfahren und technische Lösungen zur Fernlöschung/-sperrung Vermeidung von öffentlichen Ladestationen Verschlüsselung der lokalen Daten
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Kommunikationsschnittstellen Beschreibung Priorisierung Erfüllt Verschlüsselung der Kommunikation mit dem Unternehmensnetzwerk Vermeidung öffentlicher und ungesicherter WLANs Sicherheitsvorgaben für mobile Hotspots Deaktivierung nicht benötigter Schnittstellen (Bluetooth, NFC, etc.) Protokollierung von Geräteaktivitäten
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Apps und Konfiguration Beschreibung Priorisierung Erfüllt Verbot der Entfernung von Nutzungsbeschränkungen Aufbau eines internen Appstores Vorgaben zum Bezug von Apps (Black-/Whitelist) Zeitnahe Softwareaktualisierung Unveränderbare Grundkonfiguration Zentrale Anpassung der dezentralen Gerätekonfigurationen
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Synchronisation und Datensicherung Beschreibung Priorisierung Erfüllt Klassifizierung von Informationen Trennung zwischen Geräte- und Unternehmensdaten Deaktivierung von Synchronisationsdiensten Sicherung von Unternehmensdaten im internen Netzwerk Strikte Trennung zwischen E-Mailkonten
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Bring Your Own Device Beschreibung Priorisierung Erfüllt Trennung zwischen privaten und Unternehmensdaten Anforderungen an die Konfiguration Klärung der Eigentumsverhältnisse Vorgaben für geeignete Hardware Vereinbarung eines Kontrollrechtes Einholen der Einwilligung der Nutzer
Anforderungen an die sichere Integration Checkliste Anforderungsbereich: Awareness Beschreibung Priorisierung Erfüllt Kommunikation der Verfahren bei Verlust oder Diebstahl Aufklärung bzgl. der Notwendigkeit und der Risiken Hinweise zu aktuellen Sicherheitsbedrohungen Aufklärung bzgl. verdächtigem Verhalten von Smartphones Regelmäßige Sensibilisierung von (neuen) Mitarbeitern
Ausblick
Ausblick Fokus der Entwicklungen wird mittelfristig weiterhin auf Endkonsumenten liegen (Endgeräte und Services) Unternehmen stehen auch zukünftig vor der Herausforderung, Mobilität, Nutzerfreundlichkeit, Sicherheit und Verlässlichkeit zu kombinieren Zusatzkosten für BYOD-Strategien mit Kosten für neue Geräte abwägen Empfehlung: Vorhandene Erfahrungen nutzen und mobile Endgeräte im Rahmen der etablierter IT-Prozesse einführen es sind vollwertige mobile Clients mit TK-Funktionen
Abschließende Worte Ein Smartphone hat mehr Rechenpower als der Flugrechner der NASA 1969. Die NASA schoss ne Rakete zum Mond - wir schießen Vögel auf Schweine. Zitat von @Zixxel (twitter.com) Quelle: de.wikipedia.org
Vielen Dank für Ihre Aufmerksamkeit. BTC Business Technology Consulting AG Escherweg 5 26121 Oldenburg Tel. 0441 / 36 12-0 www.btc-ag.com