Issuu on Google+

Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

1

Wer redet denn hier überhaupt? Hans-Joachim Giegerich IT-Sicherheit seit 1993 Konzeption, Implementation, Sicherheitswartung, Security as a Service Produkte

Michael Wiesner TeleTrusT Information Security Professional (T.I.S.P.) Konzeption, Implementierung und Betrieb sicherer IT-Infrastrukturen, ITSicherheitsaudits, Penetrationstests, IS-, Risiko-/Notfallmanagement

Mitglieder der Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT Fokus: Informationssicherheit, IT-Sicherheit, Datenschutz, IT-Compliance bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT-gestützten Prozessen heutiger Unternehmungen ab 13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

2

Sicherheit ist ein Grundbedürfnis Egal wo wir gerade unterwegs sind

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

3

1


‚Information at your fingertips‘ Bill Gates, Comdex Las Vegas, 1994 Damals Vision, heute Realität

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

4

Unternehmensdaten werden mobil

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

5

Und wo sind unsere Daten? • • • • •

Notebooks USB-Sticks / tragbare Festplatten Kameras Smartphones „Über Handys werden 2007 zum ersten Mal mehr Daten als Sprache übertragen“ (FTD, 17.02.2011)

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

6

2


Über welche Daten reden wir? • Kunden- und Vertriebsdaten • Angebote und Kalkulationen • Forschungsergebnisse • Persönliche Kontakte und Kontaktdaten • Interne Buchhaltungsdaten • Sonstige Firmengeheimnisse

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

7

Datenfluß überall – auch unsere Daten

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

8

Bedrohungspotential

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

9

3


Bedrohungen • Datendiebstahl oder Manipulation durch Schadsoftware • Kompromittierung durch offene Schnittstellen • Ausspähen von Daten (z.B. Shoulder-surfing) • Diebstahl oder sonstiger Verlust • Nutzung ungeschützter oder unverschlüsselter Netze • Nutzung vermeintlich sicherer Netze • Nutzung von unkontrollierbaren Anwendungen • Phishing von Bezahldaten 06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

10

Beim Geld hört die Freundschaft auf

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

11

Sicherheitsmaßnahmen

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

12

4


Sicherheitsmaßnahmen • Grundsätzlich müssen mobile Endgeräte in die unternehmensweiten IT-Sicherheitsprozesse / Informationssicherheitsmanagement integriert werden. • Insbesondere: – Sicherheitsrichtlinien – Organisatorische Maßnahmen – Technische Maßnahmen

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

13

Lebenszyklus • Auswahl und Beschaffung – Möglichkeit zur Einbindung in die Sicherheitsrichtlinie – Vertrauenswürdigkeit von Plattform und Lieferant

• Installation – Standardisierung, Schutzmechanismen

• Betrieb – Updates, zentrales Management

• Außerbetriebnahme – Sicheres Löschen der Daten 06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

14

Sicherheitsrichtlinien • • • • • • •

Gerät vor Verlust schützen Vorgehen bei Verlust des Gerätes Keine Weitergabe an Dritte Klare Regelung für private Nutzung Passwort-/Updatepolicy Erlaubte Daten Erlaubte Software (Apps)

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

15

5


Sicherheitsrichtlinien - Beispiel • Vorgehen bei Verlust: – – – – –

Lokalisierungsdienste Fernlöschung („Remote Kill“) VPN deaktivieren Sperrung SIM-Karte Temporärer Verlust -> Integrität prüfen!

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

16

Organisatorische Maßnahmen • • • • • •

Sicherheitsrichtlinien beachten! Verhindern unbeaufsichtigter Geräte Softwareupdates Kontrolle der Logfiles Auslagerung der Daten (Speicherkarten) …

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

17

Technische Maßnahmen • • • • • • • •

Verschlüsselung Verbindungen managen Zugangsschutz/Kennwörter/Biometrie Lokalisierungsdienste Physische Sicherung Virenschutz/Anti-Malware Lokale Firewall Applikationskontrolle

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

18

6


Praxisbeispiel iPhone • „Jailbreak“ ist sehr beliebt – Ananas, Cydia App

• • • •

SSH-Server wird automatisch gestartet Standard-Kennwort „alpine“ Automatische Verbindung zu offenen WLANs VPN-Verbindung zum Unternehmen!

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

19

Aktuelle Beispiele und die Konsequenzen für uns alle

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

20

Aktuelle Beispiele

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

21

7


Aktuelle Beispiele

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

22

Quellen/Ressourcen • BSI www.bsi.bund.de • ISO/IEC 27001 & 27002 • Security Management 2011/F.A.Z. Institut ISBN-13: 2011 978-3-89981-714-0 • Self Assessment: www.kmu-sicherheit.de

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

23

Vielen Dank für Ihre Aufmerksamkeit! CTNS | Secutrends GmbH Im Westpark 8 35435 Wettenberg www.ctns.de | 0641-250390-0 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de | 06103-5881-0

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

24

8


Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

1

Wer redet denn hier überhaupt? Hans-Joachim Giegerich IT-Sicherheit seit 1993 Konzeption, Implementation, Sicherheitswartung, Security as a Service Produkte

Michael Wiesner TeleTrusT Information Security Professional (T.I.S.P.) Konzeption, Implementierung und Betrieb sicherer IT-Infrastrukturen, ITSicherheitsaudits, Penetrationstests, IS-, Risiko-/Notfallmanagement

Mitglieder der Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT Fokus: Informationssicherheit, IT-Sicherheit, Datenschutz, IT-Compliance bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT-gestützten Prozessen heutiger Unternehmungen ab 13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

2

Sicherheit ist ein Grundbedürfnis Egal wo wir gerade unterwegs sind

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

3

1


‚Information at your fingertips‘ Bill Gates, Comdex Las Vegas, 1994 Damals Vision, heute Realität

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

4

Unternehmensdaten werden mobil

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

5

Und wo sind unsere Daten? • • • • •

Notebooks USB-Sticks / tragbare Festplatten Kameras Smartphones „Über Handys werden 2007 zum ersten Mal mehr Daten als Sprache übertragen“ (FTD, 17.02.2011)

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

6

2


Über welche Daten reden wir? • Kunden- und Vertriebsdaten • Angebote und Kalkulationen • Forschungsergebnisse • Persönliche Kontakte und Kontaktdaten • Interne Buchhaltungsdaten • Sonstige Firmengeheimnisse

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

7

Datenfluß überall – auch unsere Daten

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

8

Bedrohungspotential

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

9

3


Bedrohungen • Datendiebstahl oder Manipulation durch Schadsoftware • Kompromittierung durch offene Schnittstellen • Ausspähen von Daten (z.B. Shoulder-surfing) • Diebstahl oder sonstiger Verlust • Nutzung ungeschützter oder unverschlüsselter Netze • Nutzung vermeintlich sicherer Netze • Nutzung von unkontrollierbaren Anwendungen • Phishing von Bezahldaten 06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

10

Beim Geld hört die Freundschaft auf

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

11

Sicherheitsmaßnahmen

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

12

4


Sicherheitsmaßnahmen • Grundsätzlich müssen mobile Endgeräte in die unternehmensweiten IT-Sicherheitsprozesse / Informationssicherheitsmanagement integriert werden. • Insbesondere: – Sicherheitsrichtlinien – Organisatorische Maßnahmen – Technische Maßnahmen

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

13

Lebenszyklus • Auswahl und Beschaffung – Möglichkeit zur Einbindung in die Sicherheitsrichtlinie – Vertrauenswürdigkeit von Plattform und Lieferant

• Installation – Standardisierung, Schutzmechanismen

• Betrieb – Updates, zentrales Management

• Außerbetriebnahme – Sicheres Löschen der Daten 06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

14

Sicherheitsrichtlinien • • • • • • •

Gerät vor Verlust schützen Vorgehen bei Verlust des Gerätes Keine Weitergabe an Dritte Klare Regelung für private Nutzung Passwort-/Updatepolicy Erlaubte Daten Erlaubte Software (Apps)

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

15

5


Sicherheitsrichtlinien - Beispiel • Vorgehen bei Verlust: – – – – –

Lokalisierungsdienste Fernlöschung („Remote Kill“) VPN deaktivieren Sperrung SIM-Karte Temporärer Verlust -> Integrität prüfen!

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

16

Organisatorische Maßnahmen • • • • • •

Sicherheitsrichtlinien beachten! Verhindern unbeaufsichtigter Geräte Softwareupdates Kontrolle der Logfiles Auslagerung der Daten (Speicherkarten) …

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

17

Technische Maßnahmen • • • • • • • •

Verschlüsselung Verbindungen managen Zugangsschutz/Kennwörter/Biometrie Lokalisierungsdienste Physische Sicherung Virenschutz/Anti-Malware Lokale Firewall Applikationskontrolle

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

18

6


Praxisbeispiel iPhone • „Jailbreak“ ist sehr beliebt – Ananas, Cydia App

• • • •

SSH-Server wird automatisch gestartet Standard-Kennwort „alpine“ Automatische Verbindung zu offenen WLANs VPN-Verbindung zum Unternehmen!

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

19

Aktuelle Beispiele und die Konsequenzen für uns alle

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

20

Aktuelle Beispiele

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

21

7


Aktuelle Beispiele

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

22

Quellen/Ressourcen • BSI www.bsi.bund.de • ISO/IEC 27001 & 27002 • Security Management 2011/F.A.Z. Institut ISBN-13: 2011 978-3-89981-714-0 • Self Assessment: www.kmu-sicherheit.de

06.11.2009

13.04.2011 – Expertenwissen kompakt

Mobile Security - Dialog schaffen Sicherheits-Bewusstsein

23

Vielen Dank für Ihre Aufmerksamkeit! CTNS | Secutrends GmbH Im Westpark 8 35435 Wettenberg www.ctns.de | 0641-250390-0 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de | 06103-5881-0

13.04.2011 – Expertenwissen kompakt Sicherheits-Bewusstsein Mobile Security - Dialog schaffen 06.11.2009

24

8


Mobile Security, Michael Wiesner, CTNS, Hajo Giege