unternehmenskommunikation – aber sicher!
TRANSCRIPT
26.05.2012
1
Unternehmenskommunikation – aber sicher!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für IT-Sicherheit
C. Eckert, 9.11.2011
Fachforum Unternehmenskommunikation
Stuttgart, 9.11. 2011
Agenda
1. Motivation
2. Consumerized IT
3. Sicherheitsprobleme und Risiken
4. Lösungsansätze: Sicherheit als Service?
5. Zusammenfassung
C. Eckert, 9.11.2011
26.05.2012
2
1. MotivationUnternehmenskommunikation
These: Unternehmenskommunikation kann
• Effektivität und Produktivität verbessern• Effektivität und Produktivität verbessern:
Information‐sharing, Vermeidung von
redundanten Abläufen, schnell,…
• Qualität der Prozesse erhöhen:
Information ist aktuell vollständig
C. Eckert, 9.11.2011
Information ist aktuell, vollständig, …
• Mitarbeiter‐ und Kunden‐Zufriedenheit
erhöhen
Unternehmenskommunikation as a Service!
1. MotivationUnternehmenskommunikation als Service
Service für Mitarbeiter & Kunden
• Kommunikation as a ServiceKommunikation as a Service
Medienvielfalt, nahtlos, mobil
• Information as a Service
Austausch: von überall, auch von privaten Geräten
• Kooperation as a Service
l f k b b
C. Eckert, 9.11.2011
Tools für gemeinsame Dokumentenbearbei‐
tung, Zugriff von überall, mit jedem Gerät
Technologie –Thema und Managementaufgabe
26.05.2012
3
1. MotivationUnternehmenskommunikation: aber sicher!
Herausforderungen
• Kontrollierbare Offenheit?Kontrollierbare Offenheit?
Vertraulichkeit, Data Leakage Prevention
• Beherrschbare Vielfalt und Mobilität?
Einbindung mobiler, privater Geräte
• Sichere digitale Identität?
h h
C. Eckert, 9.11.2011
Authentizität versus Privatheit
• Kultur‐Wandel?
Neue Sicherheits‐ &Kommunikationskultur
Consumarization von IT
2. Consumerized IT
Consumerization
neue IKT Technologien, die sich zunächst
im Konsumenten‐Markt etablieren,
dringen in Organisationsstrukturen
und Abläufe von Unternehmen vor
Consumerization Report 2011
An increasing number of organizations take a strategic
C. Eckert, 9.11.2011
„An increasing number of organizations take a strategicapproach to Consumerization by providing IT support forpersonal devices and by deploying new IT tools to secureand manage them.“
Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/
26.05.2012
4
2. Consumerized ITVorteile für Unternehmen
Quelle: Booz & Company, Comsumerization of IT, 2010
Steigerung der Mitarbeiter‐Effektivität:
d h h h ll l• Recent studies have shown that allowing employees touse innovative, state‐of‐the‐art devices and servicesof their own choosing can increase their efficiency.
Steigerung der Mitarbeiter‐Zufriedenheit:
• Companies that can offer an IT environment that embraces this new culture will have an advantage in the fight to hire and retain
C. Eckert, 9.11.2011
talented young employees.
Potential zur Kostensenkung:• Reduced capital expenditures are likely as employees turn to their
own personal devices to perform work, with the added benefit of lower device management and maintenance costs.
Consumerization Report 2011:• über 56% der Firmen erlauben
2. Consumerized ITSchritt 1: Einbinden persönlicher Endgeräte
persönliche Geräte• Aber wenig IT Support
C. Eckert, 9.11.2011
26.05.2012
5
2. Consumerized ITBeobachtung: Trend setzt sich durch
C. Eckert, 9.11.2011
Que
lle: G
artn
er, 2
010
2. Consumerized ITUnternehmenskommunikation as a Service
Nächste Entwicklungsschritte
• Consumerized IT unterstützt den Wunsch nach FlexibilitätConsumerized IT unterstützt den Wunsch nach Flexibilität
und Mobilität von Mitarbeitern und Kunden
• Einbindung von Sozialen (Business) Netzenfließende Grenzen: privat, Business
• Nutzung von Cloud‐Diensten:
C. Eckert, 9.11.2011
Nutzung von Cloud Diensten:
eMails, Termine, CRM etc. in der Cloud
• Effiziente gemeinsame Dokumentenbearbeitung im Web:
z.B. mit Google Docs, Dropbox
26.05.2012
6
Kommunikation als ServiceViele Chancen, aber …
Sicherheits-bedenken:bedenken:• Datensicherheit,• Datenverlust• Einhaltung von gesetzlichen VorgabenVerl st der Pri atsphäre
C. Eckert, 9.11.2011
Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/
• Verlust der Privatsphäre• Virenverseuchte persönliche
Geräte• …
Enterprise IT security teams indicate that more of them are
concerned about the use of smartphones (46%) than are
3. Sicherheitsprobleme und RisikenAllgemeine Sicherheitsprobleme
concerned about cloud computing (37%) or data center
virtualization (34%)Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies-
Consumerized-IT-Environment.html
Probleme: u.a.
• Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig
C. Eckert, 9.11.2011
Governance: Compliance Prüfung bei Privatgeräten ist schwierig
• E‐Discovery: Rechtlich problematischer Zugriff auf Daten von Privatgeräten durch das Unternehmen
• Datenkontrolle: Default Konfiguration privater Geräte? Überwachung? Kontrollierter Software‐Update?
26.05.2012
7
Quelle: Booz & Company, Comsumerization of IT, 2010
3. Sicherheitsprobleme und RisikenVergleich von Consumerization Modellen
C. Eckert, 9.11.2011
Risiken mit (privaten) mobilen Endgeräte
• Verlust des Gerätes :
3. Sicherheitsprobleme und RisikenMobile Endgeräte
• Verlust des Gerätes :
Zugriff auf sensible Unternehmensdaten,
Missbrauch von Identifizierungsdaten
• Download von bösartigen Apps, …
Ausspionieren, Manipulieren von Daten;
C. Eckert, 9.11.2011
‚Durchgriff‘ auf Unternehmens‐IT: umgehen von Kontrollen, Firewalls, etc.
• Private und berufliche Nutzung:
Fehlender Zugangsschutz, sorgloser Umgang
26.05.2012
8
Heute:
• Volle Kontrolle im
Bedenken :
• Wer kontrolliert?
3. Sicherheitsprobleme und RisikenSicherheitsprobleme beim Cloud-Computing
Unternehmen
• Speicherorte sind
bekannt
• Backups konfiguriert
• Zugriffskontrolle
d h i Ad i
• Wo sind die Daten?
• Wer ist für Backup
verantwortlich?
• Wer besitzt Zu‐
griffsrechte?
C. Eckert, 9.11.2011
durch eigene Admins.
• IT ist auditierbar
• Schutzmechanismen
sind konfiguriert
• Sind die Daten
verfügbar?
• Wie wird auditiert?
3. Sicherheitsprobleme und RisikenSoziale Netzwerke
Quelle: “IT Consumers Transform the Enterprise: Are You Ready?”IDC White Paper, 2011
C. Eckert, 9.11.2011
26.05.2012
9
• Kosten‐/Nutzenanalyse inklusive Sicherheitsanalyse
• Anpassung der Unternehmens‐Sicherheitsleitlinien
ZwischenfazitConsumerization & Öffnung erfordert
Anpassung der Unternehmens Sicherheitsleitlinien
Beispiele:
• Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt
oder untersagt? Wie ist der Support organisiert?
• Welche Unternehmensdaten sind unter welchen Umständen
zur Speicherung und/oder Verarbeitung gestattet?
C. Eckert, 9.11.2011
zur Speicherung und/oder Verarbeitung gestattet?
• Social media Policy: welche Daten sind vertraulich, ….
• Was passiert bei Verlust des Geräts, Ausscheiden des
Mitarbeiters?
• Wie ist das Backup organisiert?
• Technische Kontroll‐ und Überprüfungsmaßnahmen:
• ‚Health‘ Monitoring, Unternehmens‐App‐Store,…
ZwischenfazitConsumerization & Öffnung erfordert
‚ ea t o to g, U te e e s pp Sto e,…
• Sicherheitsschulungen und Awarenessmaßnahmen
• Zielgruppengerechte Schulung
• Entwicklung einer unternehmensweiten
Kommunikations‐ und Sicherheitskultur
C. Eckert, 9.11.2011
• Eigenverantwortung, Incentivierung
Unternehmenskommunikation as a Service:
• Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur
• Basis: Technische (Sicherheits)‐Services
26.05.2012
10
Vielzahl von technischen Einzellösungen
VPN fü i h K ik i
4. Technische Lösungsansätze
• VPN für sichere Kommunikation
• Zugriffskontrolle auf Datenbanken (Rollen etc.)
• Passwort‐basierte Identifizierung
• Intrusion Detection in Unternehmen
C. Eckert, 9.11.2011
• Backup‐Regelungen
• Update‐/Patchmanagement
Trend: Auch Sicherheit as a Service nutzen
4. LösungsansätzeSichere Identität as a Service
eID beim nPA
Daten für hoheitliche Anwendungen (offline)
- Gesichtsbild
- 2 Fingerabdrücke (optional)
- MRZ-Daten
eID-Funktion (Identitätsnachweis) für E-Government / E-Business (online)
- Name, Vorname
- Ordens-/Künstlername
- Doktorgrad
- Geburtsdatum
G b t t
Signatur für E-Government / E-Business (online / offline)
- Signaturschlüssel
- Signaturzertifikat
Hoheitlicher Bereich Internet Optional Signatur - Optional
C. Eckert, 9.11.2011
(Name, Vorname, Geburtsdatum etc.)
- Geburtsort
- Adresse
- Wohnort-ID
- Altersverifikation
- Verifikation des Wohnorts
- Pseudonym
- Sperrmerkmal
für die qualifizierte elektronische Signatur nach deutschem Signaturgesetz
26.05.2012
11
Seriennummer
Persönliche Daten
4. Technische LösungsansätzeSichere Identität as a Service
Neuer Personalausweis
Card Access Number(CAN)
Machinenlesbare Zone (MRZ) - Doc-Typ, Seriennummer- Geburtsdatum- Ablaufdatum- Name, Vorname
Ablaufdatum
Gut verwendbar für Online Identifizierung (Portale etc )
C. Eckert, 9.11.2011
Gut verwendbar für Online‐Identifizierung (Portale etc.)
• Identifizierung von Mitarbeitern, Kunden
Aber schwierig für flexibleren Einsatz im Unternehmen:
• Z.B. Einsatz als Zutrittsausweis ist schwierig
4. LösungsansätzeSicherheitsdienste des iOS (iPhone, iPad)
Schutz des Geräts
• Nutzer‐definierbarer Passcode• starke Verschlüsselung (AES‐256) von NutzdatenSchlüssel : nicht auslesbar, mit Passcode schützbar
• Keychain: Passcode‐geschützter Speicher für Passwörter, Schlüssel, Zertifikate etc.
• Remote Wipe : Löschbefehl und Deaktivierung des Geräts
C. Eckert, 9.11.2011
• Remote Wipe : Löschbefehl und Deaktivierung des Geräts
über das Mobilfunknetz
• Local Wipe: Daten auf dem Gerät werden nach 10
Falscheingaben des Passcodes gelöscht und gesperrt
26.05.2012
12
4. LösungsansätzeSicherheitsdienste des iOS (iPhone, iPad)
Schutz gegen bösartige Apps
• Code Signingg g
• Apps werden mit Developer Zertifikat signiert
• Vor der Verteilung einer App im AppStore wird diese
zusätzlich von Apple signiert
• Unsignierte Apps werden nicht ausgeführt
• Application Sandboxing
C. Eckert, 9.11.2011
• Application Sandboxing• Jede App kann nur auf eigene Dateien/Einstellungen
zugreifen
• Kein direkter Zugriff auf OS Ressourcen
4. LösungsansätzeSchutzkonzepte von iOS (iPhone, iPad)
Gut, aber nicht gut genug
• Jailbreak: Erlangung von root‐Rechten auf Systemg g y
• Zugriff auf System, Baseband und Keychain
• Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella
• Erkennung von gejailbreakten Geräten durch
Unternehmen schwierig: Gefahr von Malware etc.
• Forensische Analysen von verschlüsselten Daten
C. Eckert, 9.11.2011
• Forensische Analysen von verschlüsselten Daten• Extrahierung von Passcode, Passwörtern, Schlüssel
Zusätzliche Sicherheitsservices sind notwendig:
• Passcode Policies, Sperrungen, sichere Konfiguration, …
26.05.2012
13
4. LösungsansätzeNächste Generation sicherer mobiler Endgeräte
Noch in der Entwicklung: Isolation: Business/privat
Mobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Services
Mobile Public Services
C. Eckert, 9.11.2011
Quelle: Giesecke&Devrient
4. LösungsansätzeSicheres Cloud-Computing
„Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess
Checkliste des BSI als HilfestellungCheckliste des BSI als Hilfestellung
Planungs-phase
• Schritt 1: Sicherheitsanalyse• Schritt 2: Auswahl des Dienstleisters
Umsetzung und
Migration
• Schritt 3: Vertragsgestaltung• Schritt 4: Migration
C. Eckert, 9.11.2011
Betriebs-phase
• Schritt 5: Aufrechterhaltung des sicheren Betriebs
Beendigung
• Schritt 6: sichere Beendigung der Auslagerung
26.05.2012
14
Individuell konfigurierbareWorkflowManager
GRCManager
Innovationfür die
Cloud‐Leitstand des Fraunhofer AISEC
4. LösungsansätzeCloud-Monitoring Dienste
Individuell konfigurierbare
Monitoringdienste
Datenflußanalyse,
Log‐Überwachung,
Störfallmonitoring, …App Controller
Application Server
Application Modelle
DSL Interpreter
Complex Event ProcessingEve
nt
Bu
s
Vorlagen
PLUGINS
PolicyManager
MetricsManager
…
Cloud
C. Eckert, 9.11.2011
…MONITORING FRAMEWORK
Betriebssystem
Xen / KVM Hypervisor
Virtuelle Maschine Virtuelle Maschine
Java VM
p g
4. LösungsansätzeSichere Mail: „as a Service?
De‐Mail: Verschlüsselt, authentisch, nachweisbar
C. Eckert, 9.11.2011
26.05.2012
15
4. LösungsansätzeSichere Mail: „as a Service?
ePostbrief: vergleichbare Ziele wie De‐MailAbsenderidentität: • Registrierung mit POSTIDENT
Vertraulich: • verschlüsselter ePostBrief
Verlässlich:
C. Eckert, 9.11.2011
Verlässlich: • Absender erhält Bestätigung über Versand, Zustellung
Sichere Mail‐Service: Strukturen sind anzupassen
4. LösungsansätzeFazit
Sichere Unternehmenskommunikation as a Service
• Viele Einzellösungen sind vorhanden, aber
• ein Bauplan für das Gesamtsystem ist erforderlich!
• Kombination der Einzellösungen
zu einem tragfähigen System
C. Eckert, 9.11.2011
u e e t ag ä ge Syste
• Individuelle Anforderungen sind zu beachten
• ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem Markt
26.05.2012
16
5. Zusammenfassung
Unternehmenskommunikation as a Service
• Viele Chancen: Effektivität, Zufriedenheit, Kosten
Customerized IT ist ein wichtiger Trend hierfür
• Medienvielfalt, always‐on, ubiquitärer Zugriff
Heterogenität, Offenheit und Mobilität:
• Vielzahl von Sicherheitsproblemen & Risiken
Umfassendes Konzept erforderlich:
C. Eckert, 9.11.2011
Umfassendes Konzept erforderlich:
• Technisch, organisatorisch, Awareness, Kultur
Unternehmenskommunikation als Dienstleistung:
Eine Investition in die Zukunftsfähigkeit! Aber sicher!
Vielen Dank für Ihre Aufmerksamkeit
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der
Informatik
E M il l di k t@ i f h f d
C. Eckert, 9.11.2011 32
E-Mail: [email protected]
Internet: http://www.aisec.fraunhofer.de