reto zbinden zu sicherheitsprobleme mit privaten geräten im firmenumfeld
DESCRIPTION
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldTRANSCRIPT
Security – ONE Kongress Messe Zürich
Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012
Reduzieren von IT-Hardware-Kosten
Erhöhung der Mitarbeiterzufriedenheit (spez. im Management)
Attraktivität des Arbeitgebers
Ein Gerät an Stelle von zwei (Geschäft/Privat)
Erhöhung der Produktivität und Flexibilität
Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden
Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten
Erreichbarkeit des Kunden über neue Medien
«The Killing Application» nur auf mobiler Lösung verfügbar
09.05.2012 Security - ONE Kongress 2
Warum BYOD (Bring Your Own Device)?
Entwicklung privater Geräte im Geschäftsumfeld
09.05.2012 Security - ONE Kongress 3
2010
2011
Personally-owned Company-owned
Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en
Erfahrungen zu BYOD
Verbot mobiler privater Geräte ist nicht effizient
Gefahr der Schatten IT
Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD
«Die Frage ist daher nicht, ob BYOD im Unternehmen
eingeführt werden soll, sondern wie es aus Sicht
Informationssicherheitsmanagement bestmöglich begleitet werden kann.»
09.05.2012 Security - ONE Kongress 4
BYOD – einige Anforderungen…
Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können
Time-to-Market neuer Geräte
BYOD = RYOS Run your own Service – Kein, wenig oder full Support?
Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes
Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen
Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte! 09.05.2012 Security - ONE Kongress 5
Problemfelder / Problemstellung
Sicherheitsbedenken
Keine Kontrolle über Endgerät
Sichere Ablage auf dem Endgerät
Geschäftliche Daten auf privatem Gerät
Private Daten im Geschäft
Sicherheitsperimeter «in den Händen» des Gerätenutzers
Fehlende Business Cases
Fehlende Unternehmens- und Sicherheitspolitik
Fehlende Supportorganisation und Know-how
Gefahr der Ablenkung durch das Private
Gefahr dass die Arbeit noch stärker das Privatleben durchdringt
Problemfelder / Widerstände
09.05.2012 Security - ONE Kongress 6
Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer
Arbeitnehmer
Private Nutzung von E-Mail und Internet
Schutz der Privatsphäre
Keine Verhaltensüberwachung
Transparenz
Admins: Schutz vor unberechtigten Forderungen und Vorwürfen
09.05.2012 Security - ONE Kongress 7
Arbeitgeber
Zugriff auf
geschäftliche Informationen im Mail-System
in persönlichen Laufwerken
Schutz der Ressourcen vor übermassiger Belastung durch private Tätigkeiten
Kontrolle / Auditing / Durchsetzung
Archivierung
Transparenz
Reputation
Beweiszweck
Sicherheitsfragen
Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen!
Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert!
Ziel also so häufig verfehlt…
Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor-Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!
Lösung?
8
Traditionelle Sicherheitskonzepte haben ausgedient.
Anpassung der Vorgaben auf vielen Ebenen notwendig:
Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw.
Informationssicherheit
Definition laut ISO 27001:
Angemessene Gewährleistung der Vertraulichkeit: Lesender Zugriff nur für
autorisierte Benutzer Integrität: Nur berechtigte Veränderungen,
Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden
Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen.
Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen).
Was ist Informationssicherheit?
9 09.05.2012 Security - ONE Kongress
Sicherheitsfragen
Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten?
Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?
Verfügen die Geräte über angemessene Sicherheitsfeatures?
Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?
Können die Daten auf den Geräten verschlüsselt werden?
Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen?
Völliger Verzicht auf Support?
Support bis zur Virtualisierungsschicht?
Ersatzlösung für unbrauchbare oder verschwundene Geräte?
09.05.2012 Security - ONE Kongress 10
Sicherheitsanforderungen
Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät umfasst folgende Punkte:
Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“
Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“
Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“
Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“
Schutz
11
Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu
reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten?
VORGEHEN
09.05.2012 Security - ONE Kongress 12
Kernfragen
Was soll mit dem BYOD Einsatz erreicht werden?
Welche Gefahren ergeben sich daraus?
Resultate
Risikoanalyse
BYOD Strategie
Integraler Massnahmenkatalog
Phase 1 «Commitment zu BYOD»
09.05.2012 Security - ONE Kongress 13
Einführung BYOD
Einführung BYOD
Gefahren: Organisation
Unberechtigter Zugriff auf klassifizierte Daten
Unsicheres Verfahren: Austritt Mitarbeitende
Unsichere Reparatur und Wechsel der Mobile Devices
Zugelassene Devices
Aktive Accounts
09.05.2012 Security - ONE Kongress 14
Gefahren: Recht & Compliance
Zugriff auf Bewegungsprofile des Mitarbeitenden
Durchmischung von Privat- und Geschäftsdaten
Zugriffe aus dem Ausland (BaG)
Wer trägt die Gerätekosten und Risiken?
Abgeltung an Mitarbeitende, da Arbeitsgerät
Angemessener Schutz lokal abgelegter Daten
Urheberechtsverletzungen
Fehlende Nachvollziehbarkeit
Einführung BYOD
Gefahren: Technik
Abhören der Übertragung
Hacking des Devices (Jailbreak / Rooting)
Hacking des Passwortes
Fehlende System- & Security-Updates
Unsichere Datenablage auf dem Gerät
Kein Management der Devices
Funktionsumfang des Gerätes
09.05.2012 Security - ONE Kongress 15
Gefahren: Mitarbeitende
Fehlende Awareness im Umgang
Zu tiefe Akzeptanz gegenüber den Security Massnahmen
Verkauf / Verlust des Gerätes
Mutwillige Beschädigung
Unberechtigter Zugriff aus dem privaten Umfeld auf geschäftliche Daten
Kernfragen
Was muss aus Sicht Legal & Compliance berücksichtigt werden?
Welche Prozesse und Weisungen sind anzupassen?
Welche technischen Hürden gilt es zu überwinden?
Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert?
Resultate
Abklärung durch Legal- und Compliance-Abteilung
Ergänzung des ISMS um die BYOD-Thematik
Anforderungskatalog für technische Management-Lösung
Forderungen aus Business- und Endanwender Sicht
Phase 2 «Das Unternehmen vorbereiten»
09.05.2012 Security - ONE Kongress 16
Company Readiness für BYOD
Company Readiness für BYOD
Readiness: Recht & Compliance
Input für:
BYOD-Erweiterungen im ISMS
Evaluation der Mobile Device Management-Lösung
Awareness-Schulung zu BYOD
Company Access Management
09.05.2012 Security - ONE Kongress 17
Readiness: Organisation
Integration in bestehende ISMS-Weisungen und Konzepte z.B: Klassifizierungskonzept Zugriffskonzept Datenschutzkonzept Weisung im Umgang mit mobilen
Geräten Kontrollen/Controls bei Ein- und
Austritt von Mitarbeitenden
Usability-Anforderungen von Business-Seite
Company Readiness für BYOD
Readiness: Technik
Logische Trennung von privaten und geschäftlichen Daten: Sandbox (z.B. DME, SafeZone, Good
for Enterprise) Device Virtualisierung (VMWare MVP) –
(nahe) Zukunft Desktop Virtualisierung (z.B. Citrix
Receiver)
Kriterienkatalog zur Evaluation einer Mobile Device Management-Lösung inkl. PoC
Outsourcing in die Cloud?
Company Access Management
Verfügbarkeitsanforderungen
09.05.2012 Security - ONE Kongress 18
Readiness: Mitarbeitende
Anforderungen an Usability
User Interface; Customization; Authentisierung
Gewünschte Applikationen
PIM (Mail, Kalender, Kontakte); Intranet; SAP Reports; Remote Desktop; etc.
Vorbereitung Mitarbeiterschulungen
Awareness
Prozesse und Weisungen
Security
Portability
Enrollment (Gerät und Software)
User Acceptance
Application Usage
Environment
Support
Availability
Legal & Compliance (Privacy, Intellectual Property)
Readiness: Evaluationskriterien
09.05.2012 Security - ONE Kongress 19
Company Readiness für BYOD
Kernfragen
Wie sollen die neuen Weisungen bekannt gemacht werden?
Wie kann die korrekte Anwendung sichergestellt werden?
Was muss bezüglich Awareness getan werden?
Resultate
Weisungsschulung
Anwendungsschulung
Awareness-Schulung
Phase 3 «Produktive Einführung»
09.05.2012 Security - ONE Kongress 20
Deployment von BYOD
Schrittweises Einführen
Organisatorisch z.B. Bereich oder Stufe
Standort
Stufengerechte Schulungen
Management
Entwickler
IT
Anwender
Step by step: Einführung & Schulungen
09.05.2012 Security - ONE Kongress 21
Deployment von BYOD
Exkurs Datenschutz: Anforderungen seitens Arbeitgeber
Systemprotokollierung
Wer hat was wann wo gemacht?
Schutz der Systeme und der Reputation
Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente
Archivierung
Zugriff im Notfall
Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht
Private Laufwerk des Arbeitnehmenden
09.05.2012 Security - ONE Kongress 22
Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers
Wahrung des Briefgeheimnisses
Achtung persönlicher Sachen
Keine systematische Leistungskontrolle
Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“
Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“
Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG)
09.05.2012 Security - ONE Kongress 23
Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)
Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.
Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!
Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig
Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden
Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR
09.05.2012 Security - ONE Kongress 24
Exkurs Datenschutz
Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des Arbeitgebers
09.05.2012 Security - ONE Kongress 25
Privatsphäre Mitarbeitende
Weisungskompetenz
Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit
Erfüllung der gesetzlichen Vorgaben
Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen
Vereinbarung der Zugriffsrechte im Notfall und Verfahren
Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren
Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger
Darlegung sämtlicher Protokollierungen
Darlegung der Archivierungsregeln
Einverständniserklärung des Mitarbeitenden notwendig
‚Jeder weiss, was Sache ist.‘
Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E-Mail
09.05.2012 Security - ONE Kongress 26
Information, dass Auswertungen stattfinden
Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.
Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert
Information bezüglich «General Wipe» oder «Selective Wipe»
Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss"
Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln
Einverständnis des Mitarbeitenden
09.05.2012 Security - ONE Kongress 27
Exkurs Datenschutz: Inhalt Acceptable Use Policy
Exkurs Datenschutz: Inhalt Acceptable Use Policy
Mitarbeitende müssen schriftlich Ihr Einverständnis geben
Beweiszeck
Achtung: Einverständniserklärung könnte widerrufen werden
Mitarbeitende können Löschung privater Daten verlangen
Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt
E Mail Archivierung!
Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails)
09.05.2012 Security - ONE Kongress 28
Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese
vorlebt und selber auch einhält
Privatsphäre der Mitarbeiter ist geschützt
Unternehmensinteressen bleiben gewahrt
Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen
Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert.
09.05.2012 Security - ONE Kongress 29
Exkurs Datenschutz: Inhalt Acceptable Use Policy
Versuch das Problem nur technisch zu lösen
Akzeptanz der BYOD-Lösung
Einschränkungen durch Gesetze
«Me to»-Strategie bei Lösungsevaluation
Fehlende Supportorganisation
Integration von 3rd Parties
Fehlende Schulung und Awareness
Keine vorbereiteten Prozesse und Weisungen
Fehlende Berücksichtigung Verfügbarkeit und BCM
Mögliche Stolpersteine
09.05.2012 Security - ONE Kongress 30
Stolpersteine bei BYOD
Ausblick
Rückgang der Business Workplace Computer
Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege
Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens
Wie geht es weiter?
09.05.2012 Security - ONE Kongress 31
Ausblick
Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden
Neue Ansätze im Access-Management
Stärkere Verschmelzung von Privat und Geschäft
Verstärkte Anforderungen an die Privacy in heterogenen Daten
Verstärkung des Schutzes gegen Data-Mining
Neue Angriffsvektoren
Was bedeutet dies?
09.05.2012 Security - ONE Kongress 32
BYOD Einsatzstrategie unter Einschluss Risiken und Chancen
Informationssicherheit und Datenschutz umfassend berücksichtigen
Ableiten der Requirements und Evaluation
Ergänzung der technischen Infrastruktur
BYOD taugliche Mobile Security Policy
Anpassung der Benutzer-, Administrations- und Betriebsweisungen
Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden
09.05.2012 Security - ONE Kongress 33
Zusammenfassung
Ihre Lösung beginnt mit einem Kontakt bei uns: +41 (0)41 984 12 12, [email protected]
[email protected] | +41 (0)79 446 83 00
VIELEN DANK
Seit mehr als 20 Jahren befassen wir uns professionell mit allem rund um die Sicherheit von Informationen.
Wir beraten und unterstützen Sie bei der Identifizierung und der Erreichung angemessener Sicherheitsziele und bilden Ihre Mitarbeitenden aus.
Die Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand: kompetent durch Erfahrung, glaubwürdig durch Unabhängigkeit, praxisorientiert durch Kundennähe!
Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig.
Reto C. Zbinden
Rechtsanwalt, CEO
Über uns
INTEGRALE SICHERHEIT
09.05.2012 Security - ONE Kongress 35
Swiss Infosec AG
Wir sind Ihr kompetenter Partner, wenn es um folgende Themen geht:
Informationssicherheit
IT-Sicherheit
Datenschutz
Krisenmanagement
Business Impact Analysen / BCM
Elektronische Archivierung
ISO 27001/27002/ISMS
Social Engineering
Sicherheitsaudits aller Art
CONSULTING & TRAINING
Aktuelle Consulting-Projekte
Coaching ISO 27001 Zertifizierung
Firmenweite Awareness-Kampagnen unter Einschluss E Learning
Business Impact Analyse und BCM Strategie
Krisenmanagement
Risikoanalysen/Risiko-Workshops
Security Check-ups/Sicherheitsaudits
Gutachten Datenschutz/Archivierung
Zertifizierungsbegleitung
Social Engineering Audits
Audits, PoC’s, Elektronische Archivierung
Audits von Firewalls, Applikationen
09.05.2012 Security - ONE Kongress 36
Integrale Sicherheit
09.05.2012 Security - ONE Kongress 37
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Strategie Benutzergruppen, Geräte, Prozesse
Policy AUP, Monitoring, erlaubte Geräte und Apps
NAC Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk
Secure Access Gateway Applikationen, Mail, ERP etc.
Network Protection IDS, DLP etc. (Cloud)
Geräte-Management Konfigurierung, Kontrolle, Verschlüsselung etc.
Apps-Sicherung Verschlüsselung, Patch Management, Datenschutz
Best Practice
09.05.2012 Security - ONE Kongress 38
Unterschiedliche Bedürfnisse intern / extern (1/2)
09.05.2012 Security - ONE Kongress 39
Confidentiality Integrity Availability
Management Zugriff auf (klassifizierte) Informationen
Korrekte Bearbeitung der Daten unabhängig vom Endgerät
Jederzeit Zugriff von überall unabhängig vom Endgerät
Fachabteilungen Zugriff auf Kunden- und Geschäftsdaten
Korrekte Bearbeitung der Daten unabhängig vom Endgerät
-
Marketing & Sales
Zugriff auf Kundendaten
Korrekte Bearbeitung der Daten unabhängig vom Endgerät
Jederzeit Zugriff von überall unabhängig vom Endgerät
HR / Recruitment Zugriff auf Personaldaten
Korrekte Bearbeitung der Daten unabhängig vom Endgerät
-
Unterschiedliche Bedürfnisse intern / extern (2/2)
09.05.2012 Security - ONE Kongress 40
Confidentiality Integrity Availability
IT-Abteilung • Sicherstellen Schutz der Unternehmens-daten auf privatem Gerät;
• Sicherstellen der Zugriffsrechte
Anbieten von Backups und Rollbacks
• Anbieten von Support
• Betrieb der BYOD/MDM-Lösung
• Integration der Devices
Kunde Daten • In Rest (lokal) • In Transit
Korrekte Bearbeitung der Daten unabhängig vom Endgerät
Jederzeit Zugriff von überall unabhängig vom Endgerät