Infoveranstaltung IT-Sicherheit für KMU: Angriffe auf und Schutzmaßnahmen für mobile Endgeräte Prof. Dr. Konstantin Knorr knorr@hochschule-trier.de Fachbereich Informatik Hochschule Trier 27. November 2013 1
Gliederung Was sind schutzbedürftige Daten? Wie kommt man an diese Daten? Was kann man dagegen tun? 2
Grundwerte der IT-Sicherheit Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden Integrität: Daten dürfen nicht unbemerkt verändert werden Verfügbarkeit: Verhinderung von Systemausfällen Authentizität: Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit von Daten und Parteien Die Grundwerte beziehen sich sowohl auf (1) gespeicherte Daten als auch (2) auf Daten während der Übertragung 3
Was muss bei mobilen Endgeräten geschützt werden? Mobiles Gerät selbst (Hardwarekosten) Daten auf dem Gerät bzw. während der Übertragung Private Daten wie z.b. Bilder Kontakte, Adressbuch Aufenthaltsort und Bewegungsprofil Geschäftsdaten wie z.b. Personaldaten ( Datenschutz) Betriebsgeheimnisse, z.b. unveröffentlichte Erfindungen und Patente Daten für das Finanzamt Dokumente, E-Mails, 4
Angriffe auf mobile Endgeräte Telefonate E-Mail Web Seiten Cloud Internet Unternehmensnetz App- Store SMS Mobilfunknetz WLAN Physischer Zugriff Andere Geräte Bluetooth / NFC USB-Anschluss 5
Ausgewählte Angriffe Gefälschte GSM-Basisstation zum Abhören der Telefonate Knacken der GSM-Verschlüsselung zum Abhören der Telefonate Mobilfunkanbieter kann Telefonate abhören Abhören oder Manipulation der Kommunikation in WLAN oder Internet Aufspielen von Überwachungssoftware auf mobilem Gerät Software Update Physischer Zugang zum Gerät Mit Schadsoftware infizierte SD-Karte Auslesen von Kontaktdaten über Bluetooth / NFC Verlust oder Diebstahl des Geräts Physischer Zugriff erlaubt Diebstahl Auslesen von Geräte-Daten über USB-Zugriff 6
Authentisierung Finger bewegen Muster Gesichtserkennung Stimme PIN Password 7
Geräte-Verschlüsselung 8
Daten-Sicherung und -Wiederherstellung 9
Auffinden eines verlorenen Geräts und Diebstahlschutz 10
Tips For Generally Keeping Safe Generelle IT-Sicherheits-Empfehlungen Installieren und verwenden Sie nur vertrauensvolle Apps Installation von Sicherheits-Updates Verwenden Sie den Passwortschutz und die Bildschirmsperre Bluetooth, WLAN und GPS deaktivieren, wenn nicht benötigt Besuchen Sie nur vertrauensvolle Web-Seiten Verwenden Sie zusätzliche Sicherheits-Tools wie z.b. Datensicherung und -wiederherstellung Malware-Scanner Integrity Monitor App zur Verschlüsselung von Daten und Telefongespräche 11
Empfehlungen für den Einsatz im Unternehmen Organisatorische Maßnahmen wie z.b. Prozesse zum Registrieren mobiler Geräte Erstellen einer Richtlinie zum sicheren Einsatz von mobilen Endgeräten inkl. Verhalten bei Verlust des Geräts Awareness-Schulung der Mitarbeiter Technische Maßnahmen wie z.b.: Zentrale Administration der Geräte Mobile Device Management Verpflichtende Härtung der Geräte wie z.b. Geräteverschlüsselung und Passwort-Schutz Verpflichtende Einspielung von Updates Verpflichtende Verwendung eines Malware-Scanners Nur freigegebene Anwendungen dürfen installiert werden Bereitstellung von E-Mail-Verschlüsselung Sicherer Zugang zum Unternehmensnetz VPN Trennung von Daten und Anwendungen in dienstlich oder privat Kein Jailbreak oder Rooten der Geräte erlauben Sichere Entsorgung des Geräts vorschreiben 12
Referenzen Baustein B 3.404 Mobiltelefon und B 3.405 PDA des BSI- Grundschutzkatalogs BSI Überblickspapier Smartphones BSI Überblickspapier IT-Consumerisation und BYOD 13
Kontaktdaten Prof. Dr. Konstantin Knorr Fachbereich Informatik Hochschule Trier Am Schneidershof, F201 Postfach 1826 D-54208 Trier Tel.: +49/651/8103-718 Fax: +49/651/8103-454 E-Mail: knorr@hochschule-trier.de Web: http://www.hochschule-trier.de/go/knorr 14