Security - PROFI Engineering Systems AG
Security - PROFI Engineering Systems AG
Security - PROFI Engineering Systems AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
SMARTPHONE SECURITY<br />
Sichere Integration mobiler Endgeräte
SMARTPHONE SECURITY<br />
ÜBERSICHT <strong>PROFI</strong> MOBILE SERVICES<br />
.mobile<br />
<strong>PROFI</strong> Mobile<br />
Business<br />
Agenda<br />
Workshops Themen<br />
−<br />
−<br />
−<br />
−<br />
−<br />
−<br />
−<br />
Business<br />
Case<br />
Design Business Case<br />
Zielgruppe / -markt<br />
Zielplattform<br />
BPM fachlich<br />
Design Roadmap<br />
Benennung<br />
Verantwortlichkeiten<br />
Budgetierung<br />
−<br />
−<br />
−<br />
−<br />
<strong>Security</strong><br />
Berechtigungskonzept<br />
Mobile Device<br />
Management<br />
Quell Code <strong>Security</strong><br />
<strong>Security</strong><br />
Applikationsanbindung<br />
−<br />
−<br />
−<br />
−<br />
−<br />
IT-<strong>Systems</strong><br />
Bereitstellung IT<br />
Backup & Recovery<br />
Staging (Prod, Dev,<br />
Test)<br />
Anbindung<br />
Applikationen<br />
Anbindung Cloud<br />
Services<br />
−<br />
−<br />
−<br />
−<br />
−<br />
−<br />
−<br />
−<br />
Development<br />
&<br />
Design<br />
Plattform Knowledge<br />
Dev Tools<br />
Testing<br />
User Interface Design<br />
Application Lifecycle<br />
Management<br />
BPM technisch<br />
Deployment<br />
Schulung<br />
−<br />
−<br />
−<br />
−<br />
−<br />
Support<br />
&<br />
Betrieb<br />
Application Support<br />
Infrastructure Support<br />
Ressourcen für Betrieb<br />
Definition von SLAs<br />
Schulung<br />
2<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
<strong>AG</strong>ENDA<br />
01 Einleitung<br />
02 Anforderungen<br />
03 Hersteller / Betriebssysteme<br />
04 Bedrohungen<br />
05 Policy<br />
06 Mobile Device Management<br />
3<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
EINLEITUNG<br />
Gründe für Smartphones / Tablets gibt es viele…<br />
• Mobiler Zugriff auf<br />
− eMails, Kalender, Kontakte<br />
− Dokumente<br />
− Eigene Anwendungen zur Datenverarbeitung<br />
• Direktes Aktualisieren von zentralisierten Daten (Web / eigene Apps)<br />
• 3rd-Party Apps<br />
• Hohe Benutzer-Akzeptanz, Alternative zu „echten“ Notebooks / PCs<br />
• Oft bereits in Verwendung – müssen nur „professionell“ genutzt werden können<br />
4<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
EINLEITUNG<br />
… die Herausforderungen werden aber nicht weniger:<br />
• Beschaffung: Gestellt oder „Bring Your Own Device“?<br />
• Geräte-Auswahl: Wird diese vom Unternehmen vorgegeben? Welche?<br />
• <strong>Security</strong>: Welche Daten werden verwendet und wie werden diese abgesichert?<br />
• Umgang: Welche Regeln gibt es für die Verwendung der Smartphones?<br />
5<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
ANFORDERUNGEN<br />
Welche Anwendungen werden genutzt?<br />
Welche Daten werden lokal abgelegt?<br />
Wie werden die Daten übertragen?<br />
• Mail / Kalender / Kontakte<br />
− Genau so kritisch, wie der Inhalt der eMails ist<br />
• Dokumente<br />
− Sensibler Inhalt?<br />
− Verschlüsselte Übertragung? Cloud-basiert?<br />
− Verschlüsselte Ablage?<br />
• Apps<br />
− Welche Dienste müssen durch Apps abgebildet werden?<br />
− Lokale Datenhaltung? Wie abgesichert?<br />
− Verschlüsselte Datenübertragung? End-to-End oder nur transportverschlüsselt?<br />
6<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
HERSTELLER / BETRIEBSSYSTEME<br />
• RIM BlackBerry<br />
− Sicherste Infrastruktur, wenn auch weit weniger flexibel<br />
− In Deutschland fast ausschließlich in mittleren bis großen Unternehmen<br />
− Geräte bleiben hinter dem aktuellen Stand der Technik<br />
• Nokia Symbian & Windows Mobile<br />
− Spielt defacto am Markt keine Rolle mehr. Beide System sind sehr eingeschränkt durch MDM verwaltbar.<br />
Abwärtskompatibilität sollte jedoch vorher geprüft werden.<br />
• Windows Phone 7<br />
− Nicht konkurrenzfähig: kaum verbreitet / akzeptiert. Abgelöst durch Windows Phone 8<br />
• Windows Phone 8<br />
− Gleiche User-Experience wie auf der Windows 8 Desktop-Version<br />
− Systemintegration: Management auch via SCOM 2012 SP1 oder inTune möglich<br />
− App-Store Angebot stark wachsend – aber noch weit entfernt vom Apple App-Store<br />
− Bisher im Business-Bereich wenig bis gar nicht etabliert, jedoch durch Microsoft stark gepusht<br />
7<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
HERSTELLER / BETRIEBSSYSTEME<br />
• Google Android<br />
− Offenes System mit hoher Marktdurchdringung<br />
− Preis-Leistungs-Verhältnis interessant, breites Spektrum an Endgeräten und Anbietern<br />
− Updateversorgung für alle Hersteller / Modelle unterschiedlich (Folgeeffekte beachten!)<br />
− Offene Entwicklerplattform, sehr einfaches Einstellen von Apps in den Appstore<br />
− Apps können auch ohne Umweg über den Marketplace installiert werden<br />
− SAFE: SamsungsAnsatz einer erweiterten MDM-API. Bspw. pushen von Exchange-Konfigurationen.<br />
• Apple iOS<br />
− Vollständig proprietäres System (Hardware / Betriebssystem / Appstore)<br />
− Geringe Auswahl an Modellen<br />
− Hochpreisig<br />
− Planbarer Lebenszyklus bzgl. Updates<br />
− Kontrollierter Appstore prüft jede einzelne App<br />
− „Wenig flexibel“ was APIs angeht (z.B. für AntiVirus- oder VPN-Clients)<br />
8<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
BEDROHUNGEN<br />
• Inbesitznahme des Gerätes<br />
− PIN Sperre umgehen – falls gesetzt: Vollzugriff auf alle Daten, ggf. sogar auf VPN-Verbindungen<br />
− Speicherkarten-Inhalt auslesen<br />
• Apps<br />
− „Neugierige“: Apps nutzen Zugriffsrechte für Übertragung von (sensiblen) Daten<br />
− Spyware: Apps, deren „eigentliches“ Ziel das Sammeln von Daten ist<br />
− Bösartige Apps: (DroidDream, RuFraud; oft „pirated clones“ von gutartigen Apps): full remote control<br />
• Verbindungen<br />
− Angriffe über WLAN / Bluetooth (und GSM)<br />
− Verbindungen auf das Endgerät<br />
− Abhören des Traffics, Cookiejacking, Session Hijacking...<br />
• Malicious Content<br />
− Mail: Zentrales Scannen sinnvoll<br />
− Web: DriveBy Angriffe<br />
− QR-Codes: Direktes verlinken auf infizierte Seiten<br />
9<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
MOBILE DEVICE MAN<strong>AG</strong>EMENT<br />
MDM ist eine technische Maßnahme zur Durchsetzung und Kontrolle der<br />
Mobile Device Policy:<br />
• Die Policy definiert, was erfüllt sein muss, dass ein Gerät als hinreichend sicher<br />
betrachtet wird<br />
• Sie kann niemals vollständig durch MDM abgebildet werden<br />
• Nur die durch den Hersteller gegebenen Schnittstellen können bedient werden<br />
• Flexibilität ist wichtiges Kriterium (Reaktion auf OS-Updates, neue Features)<br />
• Features über die reinen OS-Schnittstellen hinaus:<br />
− Self-Service Portal<br />
− Corporate Appstore<br />
− Compliance Enforcement, u.a. durch ActiveSync Reverse Proxy<br />
− Steuerungs-SMS: Eigenes Device oder Internet-Gateway?<br />
− Anti-Malware-Client<br />
− File Encryption<br />
− Sicheres Surfen im Internet („Surf Protection“ / „Site Advisor“ etc.)<br />
10<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
MOBILE DEVICE MAN<strong>AG</strong>EMENT<br />
11<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
POLICY<br />
• Konfiguration<br />
− Definierte Grundkonfiguration<br />
− App Black- / Whitelisting<br />
• <strong>Security</strong><br />
− PIN<br />
− Remote Wipe / Lock<br />
− Jailbreak<br />
− Malware<br />
− Update Policy<br />
• Sorgfaltspflicht / Verhaltensregeln<br />
− Umgang, Aufbewahrung, Beaufsichtigung, Weitergabe,…<br />
− Verwendung von Schnittstellen / Kamera<br />
• Kostenmanagement<br />
− Private Nutzung<br />
− Roaming / Datenroaming<br />
− In-App-Käufe<br />
12<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
OFFENE PUNKTE<br />
• Datei-Management<br />
− Übertragung<br />
− Speicherung<br />
− Bearbeiten<br />
− Synchronisieren<br />
• App-Management<br />
− Verteilung meist über persönliche iTunes Accounts, Abrechnung über Spesen<br />
− Zentraler Einkauf von kostenpflichtigen Apps. Beispiel Apple VPP<br />
• „root“-Rechte / Persistenz<br />
− Anwender hat immer die Möglichkeit zum Zurücksetzen<br />
− Einstellungen können teilweise vom Anwender überschrieben werden<br />
• Behandlung von Zugriff auf sensible Daten<br />
− Apps, die z.B. auf das Telefonbuch zugreifen<br />
− iCloud als Datenspeicher in US Rechenzentren<br />
13<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
BRING YOUR OWN DEVICE<br />
• Die Vorteile liegen auf der Hand:<br />
− Keine Kosten für das Unternehmen<br />
− Geringer Schulungs- und Supportaufwand<br />
− Hohe Benutzerakzeptanz<br />
• Die Nachteile sind etwas weniger offensichtlich…<br />
− Heterogene Device-Landschaft<br />
− Kein einheitliches Nutzungskonzept<br />
− Keine eindeutige Sicherheitslage<br />
− Erhöhter Administrationsaufwand<br />
− Schwieriger Support<br />
• …und vor allem gibt es konzeptionelle Fragen:<br />
− Einflussnahme des Unternehmens auf ein privates Gerät: Enforcement, Datenlöschung,…<br />
− Wie werden initiale, laufende und eventuell ungeplante Kosten geregelt?<br />
− Regelung der erwarteten Erreichbarkeit: Soll man in der Freizeit erreichbar sein?<br />
14<br />
26.03.2013 Smartphone <strong>Security</strong>
SMARTPHONE SECURITY<br />
CONTAINERIZATION<br />
• Sicheres Separieren sensibler Daten<br />
− Verschlüsselte Übertragung<br />
− Verschlüsselte Speicherung<br />
− Gesonderter Passwortschutz<br />
− Vollständig remote zu verwalten<br />
• „Vollständige Trennung“ heißt „vollständige Trennung“:<br />
− Synchronisieren wenn App nicht geöffnet?<br />
− Bearbeiten z.B. von Anhängen mit Apps außerhalb des Containers<br />
− Benachrichtigungen über Termine<br />
− Anrufer-Namensauflösung<br />
− Datenübertragung via NOC? Network Operation Center von Good<br />
15<br />
26.03.2013 Smartphone <strong>Security</strong>
VIELEN DANK FÜR<br />
IHRE AUFMERKSAMKEIT<br />
MARCUS HOCK<br />
CONSULTANT<br />
TEL: +49 6151 8290-7728<br />
EMAIL: M.HOCK@<strong>PROFI</strong>-<strong>AG</strong>.DE<br />
THORSTEN PHILIPP<br />
ADMINISTRATOR / DATENSCHUTZBEAUFTR<strong>AG</strong>TER<br />
TEL: +49 6151 8290-7735<br />
EMAIL: T.PHILIPP@<strong>PROFI</strong>-<strong>AG</strong>.DE
Change language