Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
1
Wer redet denn hier überhaupt? Hans-Joachim Giegerich IT-Sicherheit seit 1993 Konzeption, Implementation, Sicherheitswartung, Security as a Service Produkte
Michael Wiesner TeleTrusT Information Security Professional (T.I.S.P.) Konzeption, Implementierung und Betrieb sicherer IT-Infrastrukturen, ITSicherheitsaudits, Penetrationstests, IS-, Risiko-/Notfallmanagement
Mitglieder der Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT Fokus: Informationssicherheit, IT-Sicherheit, Datenschutz, IT-Compliance bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT-gestützten Prozessen heutiger Unternehmungen ab 13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
2
Sicherheit ist ein Grundbedürfnis Egal wo wir gerade unterwegs sind
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
3
1
‚Information at your fingertips‘ Bill Gates, Comdex Las Vegas, 1994 Damals Vision, heute Realität
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
4
Unternehmensdaten werden mobil
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
5
Und wo sind unsere Daten? • • • • •
Notebooks USB-Sticks / tragbare Festplatten Kameras Smartphones „Über Handys werden 2007 zum ersten Mal mehr Daten als Sprache übertragen“ (FTD, 17.02.2011)
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
6
2
Über welche Daten reden wir? • Kunden- und Vertriebsdaten • Angebote und Kalkulationen • Forschungsergebnisse • Persönliche Kontakte und Kontaktdaten • Interne Buchhaltungsdaten • Sonstige Firmengeheimnisse
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
7
Datenfluß überall – auch unsere Daten
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
8
Bedrohungspotential
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
9
3
Bedrohungen • Datendiebstahl oder Manipulation durch Schadsoftware • Kompromittierung durch offene Schnittstellen • Ausspähen von Daten (z.B. Shoulder-surfing) • Diebstahl oder sonstiger Verlust • Nutzung ungeschützter oder unverschlüsselter Netze • Nutzung vermeintlich sicherer Netze • Nutzung von unkontrollierbaren Anwendungen • Phishing von Bezahldaten 06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
10
Beim Geld hört die Freundschaft auf
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
11
Sicherheitsmaßnahmen
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
12
4
Sicherheitsmaßnahmen • Grundsätzlich müssen mobile Endgeräte in die unternehmensweiten IT-Sicherheitsprozesse / Informationssicherheitsmanagement integriert werden. • Insbesondere: – Sicherheitsrichtlinien – Organisatorische Maßnahmen – Technische Maßnahmen
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
13
Lebenszyklus • Auswahl und Beschaffung – Möglichkeit zur Einbindung in die Sicherheitsrichtlinie – Vertrauenswürdigkeit von Plattform und Lieferant
• Installation – Standardisierung, Schutzmechanismen
• Betrieb – Updates, zentrales Management
• Außerbetriebnahme – Sicheres Löschen der Daten 06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
14
Sicherheitsrichtlinien • • • • • • •
Gerät vor Verlust schützen Vorgehen bei Verlust des Gerätes Keine Weitergabe an Dritte Klare Regelung für private Nutzung Passwort-/Updatepolicy Erlaubte Daten Erlaubte Software (Apps)
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
15
5
Sicherheitsrichtlinien - Beispiel • Vorgehen bei Verlust: – – – – –
Lokalisierungsdienste Fernlöschung („Remote Kill“) VPN deaktivieren Sperrung SIM-Karte Temporärer Verlust -> Integrität prüfen!
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
16
Organisatorische Maßnahmen • • • • • •
Sicherheitsrichtlinien beachten! Verhindern unbeaufsichtigter Geräte Softwareupdates Kontrolle der Logfiles Auslagerung der Daten (Speicherkarten) …
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
17
Technische Maßnahmen • • • • • • • •
Verschlüsselung Verbindungen managen Zugangsschutz/Kennwörter/Biometrie Lokalisierungsdienste Physische Sicherung Virenschutz/Anti-Malware Lokale Firewall Applikationskontrolle
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
18
6
Praxisbeispiel iPhone • „Jailbreak“ ist sehr beliebt – Ananas, Cydia App
• • • •
SSH-Server wird automatisch gestartet Standard-Kennwort „alpine“ Automatische Verbindung zu offenen WLANs VPN-Verbindung zum Unternehmen!
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
19
Aktuelle Beispiele und die Konsequenzen für uns alle
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
20
Aktuelle Beispiele
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
21
7
Aktuelle Beispiele
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
22
Quellen/Ressourcen • BSI www.bsi.bund.de • ISO/IEC 27001 & 27002 • Security Management 2011/F.A.Z. Institut ISBN-13: 2011 978-3-89981-714-0 • Self Assessment: www.kmu-sicherheit.de
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
23
Vielen Dank für Ihre Aufmerksamkeit! CTNS | Secutrends GmbH Im Westpark 8 35435 Wettenberg www.ctns.de | 0641-250390-0 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de | 06103-5881-0
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
24
8
Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
1
Wer redet denn hier überhaupt? Hans-Joachim Giegerich IT-Sicherheit seit 1993 Konzeption, Implementation, Sicherheitswartung, Security as a Service Produkte
Michael Wiesner TeleTrusT Information Security Professional (T.I.S.P.) Konzeption, Implementierung und Betrieb sicherer IT-Infrastrukturen, ITSicherheitsaudits, Penetrationstests, IS-, Risiko-/Notfallmanagement
Mitglieder der Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT Fokus: Informationssicherheit, IT-Sicherheit, Datenschutz, IT-Compliance bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT-gestützten Prozessen heutiger Unternehmungen ab 13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
2
Sicherheit ist ein Grundbedürfnis Egal wo wir gerade unterwegs sind
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
3
1
‚Information at your fingertips‘ Bill Gates, Comdex Las Vegas, 1994 Damals Vision, heute Realität
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
4
Unternehmensdaten werden mobil
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
5
Und wo sind unsere Daten? • • • • •
Notebooks USB-Sticks / tragbare Festplatten Kameras Smartphones „Über Handys werden 2007 zum ersten Mal mehr Daten als Sprache übertragen“ (FTD, 17.02.2011)
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
6
2
Über welche Daten reden wir? • Kunden- und Vertriebsdaten • Angebote und Kalkulationen • Forschungsergebnisse • Persönliche Kontakte und Kontaktdaten • Interne Buchhaltungsdaten • Sonstige Firmengeheimnisse
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
7
Datenfluß überall – auch unsere Daten
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
8
Bedrohungspotential
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
9
3
Bedrohungen • Datendiebstahl oder Manipulation durch Schadsoftware • Kompromittierung durch offene Schnittstellen • Ausspähen von Daten (z.B. Shoulder-surfing) • Diebstahl oder sonstiger Verlust • Nutzung ungeschützter oder unverschlüsselter Netze • Nutzung vermeintlich sicherer Netze • Nutzung von unkontrollierbaren Anwendungen • Phishing von Bezahldaten 06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
10
Beim Geld hört die Freundschaft auf
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
11
Sicherheitsmaßnahmen
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
12
4
Sicherheitsmaßnahmen • Grundsätzlich müssen mobile Endgeräte in die unternehmensweiten IT-Sicherheitsprozesse / Informationssicherheitsmanagement integriert werden. • Insbesondere: – Sicherheitsrichtlinien – Organisatorische Maßnahmen – Technische Maßnahmen
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
13
Lebenszyklus • Auswahl und Beschaffung – Möglichkeit zur Einbindung in die Sicherheitsrichtlinie – Vertrauenswürdigkeit von Plattform und Lieferant
• Installation – Standardisierung, Schutzmechanismen
• Betrieb – Updates, zentrales Management
• Außerbetriebnahme – Sicheres Löschen der Daten 06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
14
Sicherheitsrichtlinien • • • • • • •
Gerät vor Verlust schützen Vorgehen bei Verlust des Gerätes Keine Weitergabe an Dritte Klare Regelung für private Nutzung Passwort-/Updatepolicy Erlaubte Daten Erlaubte Software (Apps)
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
15
5
Sicherheitsrichtlinien - Beispiel • Vorgehen bei Verlust: – – – – –
Lokalisierungsdienste Fernlöschung („Remote Kill“) VPN deaktivieren Sperrung SIM-Karte Temporärer Verlust -> Integrität prüfen!
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
16
Organisatorische Maßnahmen • • • • • •
Sicherheitsrichtlinien beachten! Verhindern unbeaufsichtigter Geräte Softwareupdates Kontrolle der Logfiles Auslagerung der Daten (Speicherkarten) …
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
17
Technische Maßnahmen • • • • • • • •
Verschlüsselung Verbindungen managen Zugangsschutz/Kennwörter/Biometrie Lokalisierungsdienste Physische Sicherung Virenschutz/Anti-Malware Lokale Firewall Applikationskontrolle
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
18
6
Praxisbeispiel iPhone • „Jailbreak“ ist sehr beliebt – Ananas, Cydia App
• • • •
SSH-Server wird automatisch gestartet Standard-Kennwort „alpine“ Automatische Verbindung zu offenen WLANs VPN-Verbindung zum Unternehmen!
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
19
Aktuelle Beispiele und die Konsequenzen für uns alle
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
20
Aktuelle Beispiele
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
21
7
Aktuelle Beispiele
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
22
Quellen/Ressourcen • BSI www.bsi.bund.de • ISO/IEC 27001 & 27002 • Security Management 2011/F.A.Z. Institut ISBN-13: 2011 978-3-89981-714-0 • Self Assessment: www.kmu-sicherheit.de
06.11.2009
13.04.2011 – Expertenwissen kompakt
Mobile Security - Dialog schaffen Sicherheits-Bewusstsein
23
Vielen Dank für Ihre Aufmerksamkeit! CTNS | Secutrends GmbH Im Westpark 8 35435 Wettenberg www.ctns.de | 0641-250390-0 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de | 06103-5881-0
13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009
24
8