1. 26.05.2012
Unternehmenskommunikation – aber sicher!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für IT-Sicherheit
Fachforum Unternehmenskommunikation
Stuttgart, 9.11. 2011
C. Eckert, 9.11.2011
Agenda
1. Motivation
2. Consumerized IT
3. Sicherheitsprobleme und Risiken
4. Lösungsansätze: Sicherheit als Service?
5. Zusammenfassung
C. Eckert, 9.11.2011
1
2. 26.05.2012
1. Motivation
Unternehmenskommunikation
These: Unternehmenskommunikation kann
• Effektivität und Produktivität verbessern:
Effektivität und Produktivität verbessern
Information‐sharing, Vermeidung von
redundanten Abläufen, schnell,…
• Qualität der Prozesse erhöhen:
Information ist aktuell, vollständig, …
Information ist aktuell vollständig
• Mitarbeiter‐ und Kunden‐Zufriedenheit
erhöhen
Unternehmenskommunikation as a Service!
C. Eckert, 9.11.2011
1. Motivation
Unternehmenskommunikation als Service
Service für Mitarbeiter & Kunden
• Kommunikation as a Service
Kommunikation as a Service
Medienvielfalt, nahtlos, mobil
• Information as a Service
Austausch: von überall, auch von privaten Geräten
• Kooperation as a Service
Tools für gemeinsame Dokumentenbearbei‐
l f k b b
tung, Zugriff von überall, mit jedem Gerät
Technologie –Thema und Managementaufgabe
C. Eckert, 9.11.2011
2
3. 26.05.2012
1. Motivation
Unternehmenskommunikation: aber sicher!
Herausforderungen
• Kontrollierbare Offenheit?
Kontrollierbare Offenheit?
Vertraulichkeit, Data Leakage Prevention
• Beherrschbare Vielfalt und Mobilität?
Einbindung mobiler, privater Geräte
• Sichere digitale Identität?
Authentizität versus Privatheit
h h
• Kultur‐Wandel?
Neue Sicherheits‐ &Kommunikationskultur
Consumarization von IT
C. Eckert, 9.11.2011
2. Consumerized IT
Consumerization
neue IKT Technologien, die sich zunächst
im Konsumenten‐ Markt etablieren,
dringen in Organisationsstrukturen
und Abläufe von Unternehmen vor
Consumerization Report 2011
„An increasing number of organizations take a strategic
An increasing a strategic
approach to Consumerization by providing IT support for
personal devices and by deploying new IT tools to secure
and manage them.“
Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/
C. Eckert, 9.11.2011
3
4. 26.05.2012
2. Consumerized IT
Vorteile für Unternehmen
Quelle: Booz & Company, Comsumerization of IT, 2010
Steigerung der Mitarbeiter‐Effektivität:
• Recent studies have shown that allowing employees to
d h h h ll l
use innovative, state‐of‐the‐art devices and services
of their own choosing can increase their efficiency.
Steigerung der Mitarbeiter‐Zufriedenheit:
• Companies that can offer an IT environment that embraces this new
culture will have an advantage in the fight to hire and retain
talented young employees.
Potential zur Kostensenkung:
• Reduced capital expenditures are likely as employees turn to their
own personal devices to perform work, with the added benefit of
lower device management and maintenance costs.
C. Eckert, 9.11.2011
2. Consumerized IT
Schritt 1: Einbinden persönlicher Endgeräte
Consumerization Report 2011:
• über 56% der Firmen erlauben
persönliche Geräte
• Aber wenig IT Support
C. Eckert, 9.11.2011
4
5. 26.05.2012
2. Consumerized IT
Beobachtung: Trend setzt sich durch
Quelle: Gartner, 2010
C. Eckert, 9.11.2011
2. Consumerized IT
Unternehmenskommunikation as a Service
Nächste Entwicklungsschritte
• Consumerized IT unterstützt den Wunsch nach Flexibilität
Consumerized IT unterstützt den Wunsch nach Flexibilität
und Mobilität von Mitarbeitern und Kunden
• Einbindung von Sozialen (Business) Netzen
fließende Grenzen: privat, Business
• Nutzung von Cloud‐Diensten:
Nutzung von Cloud Diensten:
eMails, Termine, CRM etc. in der Cloud
• Effiziente gemeinsame Dokumentenbearbeitung im Web:
z.B. mit Google Docs, Dropbox
C. Eckert, 9.11.2011
5
6. 26.05.2012
Kommunikation als Service
Viele Chancen, aber …
Sicherheits-
bedenken:
• Datensicherheit,
• Datenverlust
• Einhaltung von
gesetzlichen Vorgaben
• Verl st der Privatsphäre
Verlust Pri atsphäre
• Virenverseuchte persönliche
Geräte
•… Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/
C. Eckert, 9.11.2011
3. Sicherheitsprobleme und Risiken
Allgemeine Sicherheitsprobleme
Enterprise IT security teams indicate that more of them are
concerned about the use of smartphones (46%) than are
concerned about cloud computing (37%) or data center
virtualization (34%)
Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies-
Consumerized-IT-Environment.html
Probleme: u.a.
• Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig
Governance: Compliance Prüfung bei Privatgeräten ist schwierig
• E‐Discovery: Rechtlich problematischer Zugriff auf Daten von
Privatgeräten durch das Unternehmen
• Datenkontrolle: Default Konfiguration privater Geräte?
Überwachung? Kontrollierter Software‐Update?
C. Eckert, 9.11.2011
6
7. 26.05.2012
3. Sicherheitsprobleme und Risiken
Vergleich von Consumerization Modellen
Quelle: Booz & Company, Comsumerization of IT, 2010
C. Eckert, 9.11.2011
3. Sicherheitsprobleme und Risiken
Mobile Endgeräte
Risiken mit (privaten) mobilen Endgeräte
• Verlust des Gerätes :
Verlust des Gerätes :
Zugriff auf sensible Unternehmensdaten,
Missbrauch von Identifizierungsdaten
• Download von bösartigen Apps, …
Ausspionieren, Manipulieren von Daten;
‚Durchgriff‘ auf Unternehmens‐IT: umgehen von
Kontrollen, Firewalls, etc.
• Private und berufliche Nutzung:
Fehlender Zugangsschutz, sorgloser Umgang
C. Eckert, 9.11.2011
7
8. 26.05.2012
3. Sicherheitsprobleme und Risiken
Sicherheitsprobleme beim Cloud-Computing
Heute: Bedenken :
• Volle Kontrolle im • Wer kontrolliert?
Unternehmen • Wo sind die Daten?
• Speicherorte sind • Wer ist für Backup
bekannt verantwortlich?
• Backups konfiguriert • Wer besitzt Zu‐
• Zugriffskontrolle griffsrechte?
durch i
d h eigene Ad iAdmins. • Sind die Daten
• IT ist auditierbar verfügbar?
• Schutzmechanismen • Wie wird auditiert?
sind konfiguriert
C. Eckert, 9.11.2011
3. Sicherheitsprobleme und Risiken
Soziale Netzwerke
Quelle: “IT Consumers Transform the Enterprise: Are You Ready?”
IDC White Paper, 2011
C. Eckert, 9.11.2011
8
9. 26.05.2012
Zwischenfazit
Consumerization & Öffnung erfordert
• Kosten‐/Nutzenanalyse inklusive Sicherheitsanalyse
• Anpassung der Unternehmens‐Sicherheitsleitlinien
Anpassung der Unternehmens Sicherheitsleitlinien
Beispiele:
• Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt
oder untersagt? Wie ist der Support organisiert?
• Welche Unternehmensdaten sind unter welchen Umständen
zur Speicherung und/oder Verarbeitung gestattet?
zur Speicherung und/oder Verarbeitung gestattet?
• Social media Policy: welche Daten sind vertraulich, ….
• Was passiert bei Verlust des Geräts, Ausscheiden des
Mitarbeiters?
• Wie ist das Backup organisiert?
C. Eckert, 9.11.2011
Zwischenfazit
Consumerization & Öffnung erfordert
• Technische Kontroll‐ und Überprüfungsmaßnahmen:
• ‚Health‘ Monitoring, Unternehmens‐App‐Store,…
‚ ea t o to g, U te e e s pp Sto e,…
• Sicherheitsschulungen und Awarenessmaßnahmen
• Zielgruppengerechte Schulung
• Entwicklung einer unternehmensweiten
Kommunikations‐ und Sicherheitskultur
• Eigenverantwortung, Incentivierung
Unternehmenskommunikation as a Service:
• Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur
• Basis: Technische (Sicherheits)‐Services
C. Eckert, 9.11.2011
9
10. 26.05.2012
4. Technische Lösungsansätze
Vielzahl von technischen Einzellösungen
• VPN fü i h
VPN für sichere Kommunikation
K ik i
• Zugriffskontrolle auf Datenbanken (Rollen etc.)
• Passwort‐basierte Identifizierung
• Intrusion Detection in Unternehmen
• Backup‐Regelungen
• Update‐/Patchmanagement
Trend: Auch Sicherheit as a Service nutzen
C. Eckert, 9.11.2011
4. Lösungsansätze
Sichere Identität as a Service
eID beim nPA
Hoheitlicher Bereich Internet Optional Signatur - Optional
Daten für hoheitliche eID-Funktion (Identitätsnachweis) für Signatur für E-
Anwendungen E-Government / E-Business (online) Government /
(offline) E-Business (online /
- Name, Vorname
offline)
- Gesichtsbild
- Ordens-/Künstlername
- 2 Fingerabdrücke - Signaturschlüssel
- Doktorgrad
(optional) - Signaturzertifikat
- Geburtsdatum
- MRZ-Daten
(Name, Vorname, -G b t t
Geburtsort
für die qualifizierte
Geburtsdatum etc.) - Adresse elektronische Signatur
- Wohnort-ID nach deutschem
Signaturgesetz
- Altersverifikation
- Verifikation des Wohnorts
- Pseudonym
- Sperrmerkmal
C. Eckert, 9.11.2011
10
11. 26.05.2012
4. Technische Lösungsansätze
Sichere Identität as a Service
Neuer Personalausweis Seriennummer
Persönliche Daten
Ablaufdatum
Card Access Number
(CAN)
Machinenlesbare Zone (MRZ)
- Doc-Typ, Seriennummer
- Geburtsdatum
- Ablaufdatum
- Name, Vorname
Gut verwendbar für Online‐Identifizierung (Portale etc.)
Gut verwendbar für Online Identifizierung (Portale etc )
• Identifizierung von Mitarbeitern, Kunden
Aber schwierig für flexibleren Einsatz im Unternehmen:
• Z.B. Einsatz als Zutrittsausweis ist schwierig
C. Eckert, 9.11.2011
4. Lösungsansätze
Sicherheitsdienste des iOS (iPhone, iPad)
Schutz des Geräts
• Nutzer‐definierbarer Passcode
• starke Verschlüsselung (AES‐256) von Nutzdaten
Schlüssel : nicht auslesbar, mit Passcode schützbar
• Keychain: Passcode‐geschützter Speicher für
Passwörter, Schlüssel, Zertifikate etc.
• Remote Wipe : Löschbefehl und Deaktivierung des Geräts
Remote Wipe : Löschbefehl und Deaktivierung des Geräts
über das Mobilfunknetz
• Local Wipe: Daten auf dem Gerät werden nach 10
Falscheingaben des Passcodes gelöscht und gesperrt
C. Eckert, 9.11.2011
11
12. 26.05.2012
4. Lösungsansätze
Sicherheitsdienste des iOS (iPhone, iPad)
Schutz gegen bösartige Apps
• Code Signing
g g
• Apps werden mit Developer Zertifikat signiert
• Vor der Verteilung einer App im AppStore wird diese
zusätzlich von Apple signiert
• Unsignierte Apps werden nicht ausgeführt
• Application Sandboxing
Application Sandboxing
• Jede App kann nur auf eigene Dateien/Einstellungen
zugreifen
• Kein direkter Zugriff auf OS Ressourcen
C. Eckert, 9.11.2011
4. Lösungsansätze
Schutzkonzepte von iOS (iPhone, iPad)
Gut, aber nicht gut genug
• Jailbreak: Erlangung von root‐Rechten auf System
g g y
• Zugriff auf System, Baseband und Keychain
• Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella
• Erkennung von gejailbreakten Geräten durch
Unternehmen schwierig: Gefahr von Malware etc.
• Forensische Analysen von verschlüsselten Daten
Forensische Analysen von verschlüsselten Daten
• Extrahierung von Passcode, Passwörtern, Schlüssel
Zusätzliche Sicherheitsservices sind notwendig:
• Passcode Policies, Sperrungen, sichere Konfiguration, …
C. Eckert, 9.11.2011
12
13. 26.05.2012
4. Lösungsansätze
Nächste Generation sicherer mobiler Endgeräte
Noch in der Entwicklung: Isolation: Business/privat
Mobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Mobile Public
Services Services
Quelle: Giesecke&Devrient
C. Eckert, 9.11.2011
4. Lösungsansätze
Sicheres Cloud-Computing
„Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess
Checkliste des BSI als Hilfestellung
• Schritt 1: Sicherheitsanalyse
Planungs-
phase
• Schritt 2: Auswahl des Dienstleisters
• Schritt 3: Vertragsgestaltung
Umsetzun
g und • Schritt 4: Migration
Migration
Betriebs-
• Schritt 5: Aufrechterhaltung des sicheren Betriebs
phase
Beendigu
• Schritt 6: sichere Beendigung der Auslagerung
ng
C. Eckert, 9.11.2011
13
14. 26.05.2012
4. Lösungsansätze
Cloud-Monitoring Dienste
Cloud‐Leitstand des Fraunhofer AISEC
Innovation
Workflow GRC
Individuell konfigurierbare
Individuell konfigurierbare die
für
Cloud
Manager Manager
Policy Metrics
Monitoringdienste Manager Manager
Datenflußanalyse, … PLUGINS
Application
Log‐Überwachung, Modelle Vorlagen
Event Bus
Application Server
DSL Interpreter
Störfallmonitoring, … App Controller
Complex Event Processing
p g
… Java VM MONITORING FRAMEWORK
Virtuelle Maschine Virtuelle Maschine
Xen / KVM Hypervisor
Betriebssystem
C. Eckert, 9.11.2011
4. Lösungsansätze
Sichere Mail: „as a Service?
De‐Mail: Verschlüsselt, authentisch, nachweisbar
C. Eckert, 9.11.2011
14
15. 26.05.2012
4. Lösungsansätze
Sichere Mail: „as a Service?
ePostbrief: vergleichbare Ziele wie De‐Mail
Absenderidentität:
• Registrierung mit
POSTIDENT
Vertraulich:
• verschlüsselter ePostBrief
Verlässlich:
Verlässlich:
• Absender erhält Bestätigung
über Versand, Zustellung
Sichere Mail‐Service: Strukturen sind anzupassen
C. Eckert, 9.11.2011
4. Lösungsansätze
Fazit
Sichere Unternehmenskommunikation as a Service
• Viele Einzellösungen sind vorhanden, aber
• ein Bauplan für das Gesamtsystem ist erforderlich!
• Kombination der Einzellösungen
u e e t ag ä ge Syste
zu einem tragfähigen System
• Individuelle Anforderungen sind zu beachten
• ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem Markt
C. Eckert, 9.11.2011
15
16. 26.05.2012
5. Zusammenfassung
Unternehmenskommunikation as a Service
• Viele Chancen: Effektivität, Zufriedenheit, Kosten
Customerized IT ist ein wichtiger Trend hierfür
• Medienvielfalt, always‐on, ubiquitärer Zugriff
Heterogenität, Offenheit und Mobilität:
• Vielzahl von Sicherheitsproblemen & Risiken
Umfassendes Konzept erforderlich:
• Technisch, organisatorisch, Awareness, Kultur
Unternehmenskommunikation als Dienstleistung:
Eine Investition in die Zukunftsfähigkeit! Aber sicher!
C. Eckert, 9.11.2011
Vielen Dank für Ihre Aufmerksamkeit
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der
Informatik
E-Mail:
E M il claudia.eckert@aisec.fraunhofer.de
l di k t@ i f h f d
Internet: http://www.aisec.fraunhofer.de
C. Eckert, 9.11.2011 32
16