Sicherheitsprobleme mit privaten Geräten im Firmenumfeld von Reto Zbinden, Rechtsanwalt und CEO, Swiss Infosec AG
https://www.facebook.com/internetbriefing
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
1. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012
Security – ONE Kongress
Messe Zürich
Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
2. Warum BYOD (Bring Your Own Device)?
Reduzieren von IT-Hardware-Kosten
Erhöhung der Mitarbeiterzufriedenheit (spez. im
Management)
Attraktivität des Arbeitgebers
Ein Gerät an Stelle von zwei (Geschäft/Privat)
Erhöhung der Produktivität und Flexibilität
Anpassung des Arbeitsgerätes an die Mobilität des
Mitarbeitenden
Erlösung der Unternehmens-IT vom ständigen
Technologiewandel bei Endgeräten
Erreichbarkeit des Kunden über neue Medien
«The Killing Application» nur auf mobiler Lösung
verfügbar
09.05.2012 Security - ONE Kongress 2
3. Entwicklung privater Geräte im Geschäftsumfeld
2010 2011
Personally-owned
Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en Company-owned
09.05.2012 Security - ONE Kongress 3
4. Erfahrungen zu BYOD
Verbot mobiler privater Geräte ist nicht effizient
Gefahr der Schatten IT
Management hat sowohl Zugriff auf die höchst klassifizierten Daten
und ist zugleich die treibende Kraft hinter BYOD
«Die Frage ist daher nicht, ob BYOD im Unternehmen
eingeführt werden soll, sondern wie es aus Sicht
Informationssicherheitsmanagement bestmöglich
begleitet werden kann.»
09.05.2012 Security - ONE Kongress 4
5. BYOD – einige Anforderungen…
Erwartung der Mitarbeitenden
Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät
integrieren können
Time-to-Market neuer Geräte
BYOD = RYOS
Run your own Service – Kein, wenig oder full Support?
Mobile Sicherheit
Benutzung der mobilen Geräte ist standort- und zeitungebunden
Gefahr des Diebstahls oder des unberechtigten Zugriffes
Netzwerksicherheit
Anforderungen an die Zugriffssicherheit des Unternehmensnetz
steigen
Private Nutzung
Die mobilen Geräte werden geschäftlich UND privat verwendet
oder befinden sich in privatem Besitz des Mitarbeitenden:
Rollenkonflikte!
09.05.2012 Security - ONE Kongress 5
6. Problemfelder / Problemstellung
Problemfelder / Widerstände
Sicherheitsbedenken
Keine Kontrolle über Endgerät
Sichere Ablage auf dem Endgerät
Geschäftliche Daten auf privatem Gerät
Private Daten im Geschäft
Sicherheitsperimeter «in den Händen» des Gerätenutzers
Fehlende Business Cases
Fehlende Unternehmens- und Sicherheitspolitik
Fehlende Supportorganisation und Know-how
Gefahr der Ablenkung durch das Private
Gefahr dass die Arbeit noch stärker das Privatleben durchdringt
09.05.2012 Security - ONE Kongress 6
7. Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer
Arbeitgeber Arbeitnehmer
Zugriff auf Private Nutzung von E-Mail und
geschäftliche Informationen im Mail- Internet
System
Schutz der Privatsphäre
in persönlichen Laufwerken
Schutz der Ressourcen vor übermassiger Keine Verhaltensüberwachung
Belastung durch private Tätigkeiten
Transparenz
Kontrolle / Auditing / Durchsetzung
Archivierung Admins: Schutz vor unberechtigten
Forderungen und Vorwürfen
Transparenz
Reputation
Beweiszweck
09.05.2012 Security - ONE Kongress 7
8. Sicherheitsfragen
Lösung?
Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht
geschäftlich geschützten Systemen!
Zugriff auf Daten nur über virtuelle, mobile oder webbasierte
Anwendungen auf zentral gespeicherte Daten in einem sicheren
Netzwerk? Gerät wird zum Interface degradiert!
Ziel also so häufig verfehlt…
Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel?
Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor-
Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe",
Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement,
Port-Security, NAC? Vielleicht!
Traditionelle Sicherheitskonzepte haben ausgedient.
Anpassung der Vorgaben auf vielen Ebenen notwendig:
Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw.
8
9. Informationssicherheit
Was ist Informationssicherheit?
Definition laut ISO 27001:
Angemessene Gewährleistung der
Vertraulichkeit: Lesender Zugriff nur für
autorisierte Benutzer
Integrität: Nur berechtigte Veränderungen,
Schutz vor unberechtigter Veränderung der
Informationen und der
Verarbeitungsmethoden
Verfügbarkeit: Zugriff für autorisierte Benutzer
auf Informationen und Services im
vereinbarten Rahmen.
Zentrale Aufgabe der Organisation ist die laufende
Überprüfung der Angemessenheit
(Gesetz/Vertrag/interne Anforderungen).
09.05.2012 Security - ONE Kongress 9
10. Sicherheitsfragen
Welche Geräte haben überhaupt Zugang zu den
Geschäftsdaten?
Sind diese Geräte im Besitz der Mitarbeiter oder des
Unternehmens?
Verfügen die Geräte über angemessene Sicherheitsfeatures?
Kann das Unternehmen verlorene Geräte vor unbefugten
Zugriff auf Daten sperren?
Können die Daten auf den Geräten verschlüsselt werden?
Gibt es einen Mechanismus für das Management und die
Authentifizierung aller Geräte im Unternehmen?
Völliger Verzicht auf Support?
Support bis zur Virtualisierungsschicht?
Ersatzlösung für unbrauchbare oder verschwundene
Geräte?
09.05.2012 Security - ONE Kongress 10
11. Sicherheitsanforderungen
Schutz
Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät
umfasst folgende Punkte:
Sicheren / Verschlüsselten Transfer der Geschäftsdaten
„Data in transit“
Verschlüsselung der Geschäftsdaten auf dem Endgerät
„Data in rest“
Löschen der Geschäftsdaten aus der Ferne
„selective remote wipe“
Lokaler Zugriffsschutz auf die Geschäftsdaten
„Data separation“
Wie werden die Geräte in das Unternehmensnetzwerk eingebunden,
ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu
reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen
Daten angemessen zu gewährleisten? 11
13. Einführung BYOD
Phase 1 «Commitment zu BYOD»
Kernfragen
Was soll mit dem BYOD Einsatz erreicht werden?
Welche Gefahren ergeben sich daraus?
Resultate
Risikoanalyse
BYOD Strategie
Integraler Massnahmenkatalog
09.05.2012 Security - ONE Kongress 13
14. Einführung BYOD
Gefahren: Recht & Compliance Gefahren: Organisation
Zugriff auf Bewegungsprofile des Unberechtigter Zugriff auf klassifizierte
Mitarbeitenden Daten
Durchmischung von Privat- und Unsicheres Verfahren: Austritt
Geschäftsdaten Mitarbeitende
Zugriffe aus dem Ausland (BaG) Unsichere Reparatur und Wechsel der
Wer trägt die Gerätekosten und Risiken? Mobile Devices
Abgeltung an Mitarbeitende, da Zugelassene Devices
Arbeitsgerät Aktive Accounts
Angemessener Schutz lokal abgelegter
Daten
Urheberechtsverletzungen
Fehlende Nachvollziehbarkeit
09.05.2012 Security - ONE Kongress 14
15. Einführung BYOD
Gefahren: Mitarbeitende Gefahren: Technik
Fehlende Awareness im Umgang Abhören der Übertragung
Zu tiefe Akzeptanz gegenüber den Hacking des Devices (Jailbreak / Rooting)
Security Massnahmen Hacking des Passwortes
Verkauf / Verlust des Gerätes Fehlende System- & Security-Updates
Mutwillige Beschädigung Unsichere Datenablage auf dem Gerät
Unberechtigter Zugriff aus dem privaten Kein Management der Devices
Umfeld auf geschäftliche Daten
Funktionsumfang des Gerätes
09.05.2012 Security - ONE Kongress 15
16. Company Readiness für BYOD
Phase 2 «Das Unternehmen vorbereiten»
Kernfragen
Was muss aus Sicht Legal & Compliance
berücksichtigt werden?
Welche Prozesse und Weisungen sind anzupassen?
Welche technischen Hürden gilt es zu überwinden?
Wie werden die jeweiligen Benutzer- und
Interessensgruppen adressiert?
Resultate
Abklärung durch Legal- und Compliance-Abteilung
Ergänzung des ISMS um die BYOD-Thematik
Anforderungskatalog für technische Management-
Lösung
Forderungen aus Business- und Endanwender Sicht
09.05.2012 Security - ONE Kongress 16
17. Company Readiness für BYOD
Readiness: Organisation Readiness: Recht & Compliance
Integration in bestehende ISMS-Weisungen Input für:
und Konzepte z.B:
Klassifizierungskonzept BYOD-Erweiterungen im ISMS
Zugriffskonzept Evaluation der Mobile Device
Datenschutzkonzept Management-Lösung
Weisung im Umgang mit mobilen Awareness-Schulung zu BYOD
Geräten
Company Access Management
Kontrollen/Controls bei Ein- und
Austritt von Mitarbeitenden
Usability-Anforderungen von Business-
Seite
09.05.2012 Security - ONE Kongress 17
18. Company Readiness für BYOD
Readiness: Mitarbeitende Readiness: Technik
Anforderungen an Usability Logische Trennung von privaten und
User Interface; Customization; geschäftlichen Daten:
Authentisierung Sandbox (z.B. DME, SafeZone, Good
for Enterprise)
Gewünschte Applikationen Device Virtualisierung (VMWare MVP) –
PIM (Mail, Kalender, Kontakte); (nahe) Zukunft
Intranet; SAP Reports; Remote Desktop Virtualisierung (z.B. Citrix
Desktop; etc. Receiver)
Vorbereitung Mitarbeiterschulungen Kriterienkatalog zur Evaluation einer
Awareness Mobile Device Management-Lösung inkl.
PoC
Prozesse und Weisungen
Outsourcing in die Cloud?
Company Access Management
Verfügbarkeitsanforderungen
09.05.2012 Security - ONE Kongress 18
19. Company Readiness für BYOD
Readiness: Evaluationskriterien
Security
Portability
Enrollment (Gerät und Software)
User Acceptance
Application Usage
Environment
Support
Availability
Legal & Compliance (Privacy, Intellectual Property)
09.05.2012 Security - ONE Kongress 19
20. Deployment von BYOD
Phase 3 «Produktive Einführung»
Kernfragen
Wie sollen die neuen Weisungen bekannt gemacht
werden?
Wie kann die korrekte Anwendung sichergestellt
werden?
Was muss bezüglich Awareness getan werden?
Resultate
Weisungsschulung
Anwendungsschulung
Awareness-Schulung
09.05.2012 Security - ONE Kongress 20
21. Deployment von BYOD
Step by step: Einführung & Schulungen
Schrittweises Einführen
Organisatorisch z.B. Bereich oder Stufe
Standort
Stufengerechte Schulungen
Management
Entwickler
IT
Anwender
09.05.2012 Security - ONE Kongress 21
22. Exkurs Datenschutz: Anforderungen seitens Arbeitgeber
Systemprotokollierung
Wer hat was wann wo gemacht?
Schutz der Systeme und der Reputation
Legalisierung bereits bestehender Überwachungsmechanismen
und Verdachtsmomente
Archivierung
Zugriff im Notfall
Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails
des Arbeitnehmenden falls keine Stellvertreter-Regelung
besteht
Private Laufwerk des Arbeitnehmenden
09.05.2012 Security - ONE Kongress 22
23. Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers
Wahrung des Briefgeheimnisses
Achtung persönlicher Sachen
Keine systematische Leistungskontrolle
Kein Zugriff auf private E-Mails und keine
personenbezogene Auswertung des „Surfens“
Personenbezogene Protokollierung nur zulässig basierend auf
Überwachungsreglement und „Vorwarnung“
Schutz der Privatsphäre
Protokollierung der privaten Kommunikation ist i.d.R. unzulässig
Protokollierung der geschäftlichen Kommunikation ist bei
Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG)
09.05.2012 Security - ONE Kongress 23
24. Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)
Rechtfertigungsgründe
Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und
Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt.
Keine Beurteilung einzig gestützt auf die Kontrolle.
Einblick in private Daten durch Arbeitgeber: unzulässig
Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist
der höhere Schutzstandard zu beachten!
Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig
Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als
widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich
beurteilt werden
Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B.
missbräuchliche Kündigung nach Art. 336 OR
09.05.2012 Security - ONE Kongress 24
25. Exkurs Datenschutz
Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des
Arbeitgebers
Weisungskompetenz
Privatsphäre
Mitarbeitende
09.05.2012 Security - ONE Kongress 25
26. Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit
Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E-
Mail
Erfüllung der gesetzlichen Vorgaben
Wahrnehmung der Sorgfalt seitens Management
zum Schutz der unternehmenseigenen Informationen
Vereinbarung der Zugriffsrechte im Notfall und Verfahren
Schutz der Administratoren durch Festlegung der
Rechte und Pflichten der IT-Abteilung und Administratoren
Klare Festlegung der Verfahren: Wer entscheidet auf
wessen Antrag über welche Zugriffe und Datenempfänger
Darlegung sämtlicher Protokollierungen
Darlegung der Archivierungsregeln
Einverständniserklärung des Mitarbeitenden notwendig
‚Jeder weiss, was Sache ist.‘
09.05.2012 Security - ONE Kongress 26
27. Exkurs Datenschutz: Inhalt Acceptable Use Policy
Information, dass Auswertungen stattfinden
Information, dass personenbezogene, teilweise
automatisierte Auswertungen stattfinden.
Somit werden auch intensivere Inhouse
Ermittlungen ermöglicht und legalisiert
Information bezüglich «General Wipe» oder
«Selective Wipe»
Verantwortlichkeiten, Regelungen zu Wartung,
Ersatz und Leihgeräte und Bestimmungen zum
finanziellen "Zuschuss"
Datenschutzrecht: Einsicht, Nutzungs- und
Zugriffsrechte des Arbeitgebers auf die privaten
Geräte explizit regeln unter Beachtung der
zwingenden Regeln
Einverständnis des Mitarbeitenden
09.05.2012 Security - ONE Kongress 27
28. Exkurs Datenschutz: Inhalt Acceptable Use Policy
Mitarbeitende müssen schriftlich Ihr Einverständnis geben
Beweiszeck
Achtung: Einverständniserklärung könnte widerrufen werden
Mitarbeitende können Löschung privater Daten verlangen
Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt
E Mail Archivierung!
Sollten private oder als privat markierte E-Mails der Mitarbeitenden
archiviert worden sein, haben die MA das Recht, diese löschen zu
lassen (selbst einzelne E-Mails)
Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass
Management seinerseits hinter den definierten Regeln steht, diese
vorlebt und selber auch einhält
09.05.2012 Security - ONE Kongress 28
29. Exkurs Datenschutz: Inhalt Acceptable Use Policy
Privatsphäre der Mitarbeiter ist geschützt
Unternehmensinteressen bleiben gewahrt
Handelnde Personen kennen ihre Rechte und
Pflichten und verstossen nicht gegen Gesetze oder
die Rechte der Betroffenen
Die Rechte und Pflichten aller Mitarbeitenden
bezüglich Umgang mit IT Mitteln sind klar
definiert.
09.05.2012 Security - ONE Kongress 29
30. Stolpersteine bei BYOD
Mögliche Stolpersteine
Versuch das Problem nur technisch zu lösen
Akzeptanz der BYOD-Lösung
Einschränkungen durch Gesetze
«Me to»-Strategie bei Lösungsevaluation
Fehlende Supportorganisation
Integration von 3rd Parties
Fehlende Schulung und Awareness
Keine vorbereiteten Prozesse und Weisungen
Fehlende Berücksichtigung Verfügbarkeit und BCM
09.05.2012 Security - ONE Kongress 30
31. Ausblick
Wie geht es weiter?
Rückgang der Business Workplace Computer
Konsolidierung der Geschäftsapplikationen auf die neue
Gerätelandschaft und Vertriebswege
Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in
die (Private-) Cloud des Unternehmens
09.05.2012 Security - ONE Kongress 31
32. Ausblick
Was bedeutet dies?
Höhere Anforderungen an die Identifikation und Authentizität
(SuisseID?) des Mitarbeiters, wie auch die des Kunden
Neue Ansätze im Access-Management
Stärkere Verschmelzung von Privat und Geschäft
Verstärkte Anforderungen an die Privacy in heterogenen Daten
Verstärkung des Schutzes gegen Data-Mining
Neue Angriffsvektoren
09.05.2012 Security - ONE Kongress 32
33. Zusammenfassung
BYOD Einsatzstrategie unter Einschluss Risiken und
Chancen
Informationssicherheit und Datenschutz umfassend
berücksichtigen
Ableiten der Requirements und Evaluation
Ergänzung der technischen Infrastruktur
BYOD taugliche Mobile Security Policy
Anpassung der Benutzer-, Administrations- und
Betriebsweisungen
Ausbildungs- und Awareness Programm für die
Mitarbeiterbeitenden
09.05.2012 Security - ONE Kongress 33
34. VIELEN DANK
Ihre Lösung beginnt mit einem Kontakt bei uns:
+41 (0)41 984 12 12, infosec@infosec.ch
reto.zbinden@infosec.ch | +41 (0)79 446 83 00
35. INTEGRALE SICHERHEIT
Über uns
Seit mehr als 20 Jahren befassen wir uns professionell
mit allem rund um die Sicherheit von Informationen.
Wir beraten und unterstützen Sie bei der
Identifizierung und der Erreichung angemessener
Sicherheitsziele und bilden Ihre Mitarbeitenden aus.
Die Swiss Infosec AG bietet Ihnen Beratung und
Ausbildung aus einer Hand: kompetent durch
Erfahrung, glaubwürdig durch Unabhängigkeit,
praxisorientiert durch Kundennähe!
Mit der Swiss Infosec AG sind Sie sicher, dass Ihre
Informationen so sicher sind wie nötig.
Reto C. Zbinden
Rechtsanwalt, CEO
09.05.2012 Security - ONE Kongress 35
36. Swiss Infosec AG
CONSULTING & TRAINING Aktuelle Consulting-Projekte
Wir sind Ihr kompetenter Partner, Coaching ISO 27001 Zertifizierung
wenn es um folgende Themen geht: Firmenweite Awareness-Kampagnen
unter Einschluss E Learning
Informationssicherheit
Business Impact Analyse und BCM
IT-Sicherheit Strategie
Datenschutz Krisenmanagement
Krisenmanagement Risikoanalysen/Risiko-Workshops
Security Check-ups/Sicherheitsaudits
Business Impact Analysen / BCM
Gutachten Datenschutz/Archivierung
Elektronische Archivierung Zertifizierungsbegleitung
ISO 27001/27002/ISMS Social Engineering Audits
Social Engineering Audits, PoC’s, Elektronische Archivierung
Sicherheitsaudits aller Art Audits von Firewalls, Applikationen
09.05.2012 Security - ONE Kongress 36
38. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Best Practice
Strategie
Benutzergruppen, Geräte, Prozesse
Policy
AUP, Monitoring, erlaubte Geräte und Apps
NAC
Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk
Secure Access Gateway
Applikationen, Mail, ERP etc.
Network Protection
IDS, DLP etc. (Cloud)
Geräte-Management
Konfigurierung, Kontrolle, Verschlüsselung etc.
Apps-Sicherung
Verschlüsselung, Patch Management, Datenschutz
09.05.2012 Security - ONE Kongress 38
39. Unterschiedliche Bedürfnisse intern / extern (1/2)
Confidentiality Integrity Availability
Management Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von
(klassifizierte) der Daten unabhängig überall unabhängig
Informationen vom Endgerät vom Endgerät
Fachabteilungen Zugriff auf Kunden- Korrekte Bearbeitung -
und Geschäftsdaten der Daten unabhängig
vom Endgerät
Marketing & Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von
Sales Kundendaten der Daten unabhängig überall unabhängig
vom Endgerät vom Endgerät
HR / Recruitment Zugriff auf Korrekte Bearbeitung -
Personaldaten der Daten unabhängig
vom Endgerät
09.05.2012 Security - ONE Kongress 39
40. Unterschiedliche Bedürfnisse intern / extern (2/2)
Confidentiality Integrity Availability
IT-Abteilung • Sicherstellen Anbieten von Backups • Anbieten von
Schutz der und Rollbacks Support
Unternehmens- • Betrieb der
daten auf BYOD/MDM-
privatem Gerät; Lösung
• Sicherstellen der • Integration der
Zugriffsrechte Devices
Kunde Daten Korrekte Bearbeitung Jederzeit Zugriff von
• In Rest (lokal) der Daten unabhängig überall unabhängig
• In Transit vom Endgerät vom Endgerät
09.05.2012 Security - ONE Kongress 40