Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

Security – ONE Kongress Messe Zürich

Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012

Reduzieren von IT-Hardware-Kosten

Erhöhung der Mitarbeiterzufriedenheit (spez. im Management)

Attraktivität des Arbeitgebers

Ein Gerät an Stelle von zwei (Geschäft/Privat)

Erhöhung der Produktivität und Flexibilität

Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden

Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten

Erreichbarkeit des Kunden über neue Medien

«The Killing Application» nur auf mobiler Lösung verfügbar

09.05.2012 Security - ONE Kongress 2

Warum BYOD (Bring Your Own Device)?

Entwicklung privater Geräte im Geschäftsumfeld


2010

2011

Personally-owned Company-owned

Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en

http://idc.cycloneinteractive.net/unisys-iview-2011/en





Erfahrungen zu BYOD

Verbot mobiler privater Geräte ist nicht effizient

Gefahr der Schatten IT

Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD

«Die Frage ist daher nicht, ob BYOD im Unternehmen

eingeführt werden soll, sondern wie es aus Sicht

Informationssicherheitsmanagement bestmöglich begleitet werden kann.»


BYOD – einige Anforderungen…

Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können

Time-to-Market neuer Geräte

BYOD = RYOS Run your own Service – Kein, wenig oder full Support?

Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes

Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen

Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte! 09.05.2012 Security - ONE Kongress 5

Problemfelder / Problemstellung

Sicherheitsbedenken

Keine Kontrolle über Endgerät

Sichere Ablage auf dem Endgerät

Geschäftliche Daten auf privatem Gerät

Private Daten im Geschäft

Sicherheitsperimeter «in den Händen» des Gerätenutzers

Fehlende Business Cases

Fehlende Unternehmens- und Sicherheitspolitik

Fehlende Supportorganisation und Know-how

Gefahr der Ablenkung durch das Private

Gefahr dass die Arbeit noch stärker das Privatleben durchdringt

Problemfelder / Widerstände


Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer

Arbeitnehmer

Private Nutzung von E-Mail und Internet

Schutz der Privatsphäre

Keine Verhaltensüberwachung

Transparenz

Admins: Schutz vor unberechtigten Forderungen und Vorwürfen


Arbeitgeber

Zugriff auf

geschäftliche Informationen im Mail-System

in persönlichen Laufwerken

Schutz der Ressourcen vor übermassiger Belastung durch private Tätigkeiten

Kontrolle / Auditing / Durchsetzung

Archivierung

Transparenz

Reputation

Beweiszweck

Sicherheitsfragen

Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen!

Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert!

Ziel also so häufig verfehlt…

Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor-Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!

Lösung?

8

Traditionelle Sicherheitskonzepte haben ausgedient.

Anpassung der Vorgaben auf vielen Ebenen notwendig:

Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw.

Informationssicherheit

Definition laut ISO 27001:

Angemessene Gewährleistung der Vertraulichkeit: Lesender Zugriff nur für

autorisierte Benutzer Integrität: Nur berechtigte Veränderungen,

Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden

Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen.

Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen).

Was ist Informationssicherheit?

9 09.05.2012 Security - ONE Kongress

Sicherheitsfragen

Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten?

Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?

Verfügen die Geräte über angemessene Sicherheitsfeatures?

Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?

Können die Daten auf den Geräten verschlüsselt werden?

Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen?

Völliger Verzicht auf Support?

Support bis zur Virtualisierungsschicht?

Ersatzlösung für unbrauchbare oder verschwundene Geräte?


Sicherheitsanforderungen

Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät umfasst folgende Punkte:

Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“

Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“

Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“

Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“

Schutz

11

Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu

reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten?

VORGEHEN


Kernfragen

Was soll mit dem BYOD Einsatz erreicht werden?

Welche Gefahren ergeben sich daraus?

Resultate

Risikoanalyse

BYOD Strategie

Integraler Massnahmenkatalog

Phase 1 «Commitment zu BYOD»


Einführung BYOD

Einführung BYOD

Gefahren: Organisation

Unberechtigter Zugriff auf klassifizierte Daten

Unsicheres Verfahren: Austritt Mitarbeitende

Unsichere Reparatur und Wechsel der Mobile Devices

Zugelassene Devices

Aktive Accounts


Gefahren: Recht & Compliance

Zugriff auf Bewegungsprofile des Mitarbeitenden

Durchmischung von Privat- und Geschäftsdaten

Zugriffe aus dem Ausland (BaG)

Wer trägt die Gerätekosten und Risiken?

Abgeltung an Mitarbeitende, da Arbeitsgerät

Angemessener Schutz lokal abgelegter Daten

Urheberechtsverletzungen

Fehlende Nachvollziehbarkeit

Einführung BYOD

Gefahren: Technik

Abhören der Übertragung

Hacking des Devices (Jailbreak / Rooting)

Hacking des Passwortes

Fehlende System- & Security-Updates

Unsichere Datenablage auf dem Gerät

Kein Management der Devices

Funktionsumfang des Gerätes


Gefahren: Mitarbeitende

Fehlende Awareness im Umgang

Zu tiefe Akzeptanz gegenüber den Security Massnahmen

Verkauf / Verlust des Gerätes

Mutwillige Beschädigung

Unberechtigter Zugriff aus dem privaten Umfeld auf geschäftliche Daten

Kernfragen

Was muss aus Sicht Legal & Compliance berücksichtigt werden?

Welche Prozesse und Weisungen sind anzupassen?

Welche technischen Hürden gilt es zu überwinden?

Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert?

Resultate

Abklärung durch Legal- und Compliance-Abteilung

Ergänzung des ISMS um die BYOD-Thematik

Anforderungskatalog für technische Management-Lösung

Forderungen aus Business- und Endanwender Sicht

Phase 2 «Das Unternehmen vorbereiten»


Company Readiness für BYOD


Readiness: Recht & Compliance

Input für:

BYOD-Erweiterungen im ISMS

Evaluation der Mobile Device Management-Lösung

Awareness-Schulung zu BYOD

Company Access Management


Readiness: Organisation

Integration in bestehende ISMS-Weisungen und Konzepte z.B: Klassifizierungskonzept Zugriffskonzept Datenschutzkonzept Weisung im Umgang mit mobilen

Geräten Kontrollen/Controls bei Ein- und

Austritt von Mitarbeitenden

Usability-Anforderungen von Business-Seite


Readiness: Technik

Logische Trennung von privaten und geschäftlichen Daten: Sandbox (z.B. DME, SafeZone, Good

for Enterprise) Device Virtualisierung (VMWare MVP) –

(nahe) Zukunft Desktop Virtualisierung (z.B. Citrix

Receiver)

Kriterienkatalog zur Evaluation einer Mobile Device Management-Lösung inkl. PoC

Outsourcing in die Cloud?

Company Access Management

Verfügbarkeitsanforderungen


Readiness: Mitarbeitende

Anforderungen an Usability

User Interface; Customization; Authentisierung

Gewünschte Applikationen

PIM (Mail, Kalender, Kontakte); Intranet; SAP Reports; Remote Desktop; etc.

Vorbereitung Mitarbeiterschulungen

Awareness

Prozesse und Weisungen

Security

Portability

Enrollment (Gerät und Software)

User Acceptance

Application Usage

Environment

Support

Availability

Legal & Compliance (Privacy, Intellectual Property)

Readiness: Evaluationskriterien



Kernfragen

Wie sollen die neuen Weisungen bekannt gemacht werden?

Wie kann die korrekte Anwendung sichergestellt werden?

Was muss bezüglich Awareness getan werden?

Resultate

Weisungsschulung

Anwendungsschulung

Awareness-Schulung

Phase 3 «Produktive Einführung»


Deployment von BYOD

Schrittweises Einführen

Organisatorisch z.B. Bereich oder Stufe

Standort

Stufengerechte Schulungen

Management

Entwickler

IT

Anwender

Step by step: Einführung & Schulungen


Deployment von BYOD

Exkurs Datenschutz: Anforderungen seitens Arbeitgeber

Systemprotokollierung

Wer hat was wann wo gemacht?

Schutz der Systeme und der Reputation

Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente

Archivierung

Zugriff im Notfall

Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht

Private Laufwerk des Arbeitnehmenden


Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers

Wahrung des Briefgeheimnisses

Achtung persönlicher Sachen

Keine systematische Leistungskontrolle

Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“

Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“

Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG)


Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)

Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.

Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!

Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig

Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden

Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR


Exkurs Datenschutz

Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des Arbeitgebers


Privatsphäre Mitarbeitende

Weisungskompetenz

Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit

Erfüllung der gesetzlichen Vorgaben

Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen

Vereinbarung der Zugriffsrechte im Notfall und Verfahren

Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren

Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger

Darlegung sämtlicher Protokollierungen

Darlegung der Archivierungsregeln

Einverständniserklärung des Mitarbeitenden notwendig

‚Jeder weiss, was Sache ist.‘

Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E-Mail


Information, dass Auswertungen stattfinden

Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.

Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert

Information bezüglich «General Wipe» oder «Selective Wipe»

Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss"

Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln

Einverständnis des Mitarbeitenden


Exkurs Datenschutz: Inhalt Acceptable Use Policy


Mitarbeitende müssen schriftlich Ihr Einverständnis geben

Beweiszeck

Achtung: Einverständniserklärung könnte widerrufen werden

Mitarbeitende können Löschung privater Daten verlangen

Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt

E Mail Archivierung!

Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails)


Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese

vorlebt und selber auch einhält

Privatsphäre der Mitarbeiter ist geschützt

Unternehmensinteressen bleiben gewahrt

Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen

Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert.



Versuch das Problem nur technisch zu lösen

Akzeptanz der BYOD-Lösung

Einschränkungen durch Gesetze

«Me to»-Strategie bei Lösungsevaluation

Fehlende Supportorganisation

Integration von 3rd Parties

Fehlende Schulung und Awareness

Keine vorbereiteten Prozesse und Weisungen

Fehlende Berücksichtigung Verfügbarkeit und BCM

Mögliche Stolpersteine


Stolpersteine bei BYOD

Ausblick

Rückgang der Business Workplace Computer

Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege

Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens

Wie geht es weiter?


Ausblick

Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden

Neue Ansätze im Access-Management

Stärkere Verschmelzung von Privat und Geschäft

Verstärkte Anforderungen an die Privacy in heterogenen Daten

Verstärkung des Schutzes gegen Data-Mining

Neue Angriffsvektoren

Was bedeutet dies?


BYOD Einsatzstrategie unter Einschluss Risiken und Chancen

Informationssicherheit und Datenschutz umfassend berücksichtigen

Ableiten der Requirements und Evaluation

Ergänzung der technischen Infrastruktur

BYOD taugliche Mobile Security Policy

Anpassung der Benutzer-, Administrations- und Betriebsweisungen

Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden


Zusammenfassung

Ihre Lösung beginnt mit einem Kontakt bei uns: +41 (0)41 984 12 12, [email protected]

[email protected] | +41 (0)79 446 83 00

VIELEN DANK

Seit mehr als 20 Jahren befassen wir uns professionell mit allem rund um die Sicherheit von Informationen.

Wir beraten und unterstützen Sie bei der Identifizierung und der Erreichung angemessener Sicherheitsziele und bilden Ihre Mitarbeitenden aus.

Die Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand: kompetent durch Erfahrung, glaubwürdig durch Unabhängigkeit, praxisorientiert durch Kundennähe!

Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig.

Reto C. Zbinden

Rechtsanwalt, CEO

Über uns

INTEGRALE SICHERHEIT


Swiss Infosec AG

Wir sind Ihr kompetenter Partner, wenn es um folgende Themen geht:

Informationssicherheit

IT-Sicherheit

Datenschutz

Krisenmanagement

Business Impact Analysen / BCM

Elektronische Archivierung

ISO 27001/27002/ISMS

Social Engineering

Sicherheitsaudits aller Art

CONSULTING & TRAINING

Aktuelle Consulting-Projekte

Coaching ISO 27001 Zertifizierung

Firmenweite Awareness-Kampagnen unter Einschluss E Learning

Business Impact Analyse und BCM Strategie

Krisenmanagement

Risikoanalysen/Risiko-Workshops

Security Check-ups/Sicherheitsaudits

Gutachten Datenschutz/Archivierung

Zertifizierungsbegleitung

Social Engineering Audits

Audits, PoC’s, Elektronische Archivierung

Audits von Firewalls, Applikationen


Integrale Sicherheit


Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

Strategie Benutzergruppen, Geräte, Prozesse

Policy AUP, Monitoring, erlaubte Geräte und Apps

NAC Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk

Secure Access Gateway Applikationen, Mail, ERP etc.

Network Protection IDS, DLP etc. (Cloud)

Geräte-Management Konfigurierung, Kontrolle, Verschlüsselung etc.

Apps-Sicherung Verschlüsselung, Patch Management, Datenschutz

Best Practice


Unterschiedliche Bedürfnisse intern / extern (1/2)


Confidentiality Integrity Availability

Management Zugriff auf (klassifizierte) Informationen

Korrekte Bearbeitung der Daten unabhängig vom Endgerät

Jederzeit Zugriff von überall unabhängig vom Endgerät

Fachabteilungen Zugriff auf Kunden- und Geschäftsdaten


-

Marketing & Sales

Zugriff auf Kundendaten



HR / Recruitment Zugriff auf Personaldaten


-

Unterschiedliche Bedürfnisse intern / extern (2/2)


Confidentiality Integrity Availability

IT-Abteilung • Sicherstellen Schutz der Unternehmens-daten auf privatem Gerät;

• Sicherstellen der Zugriffsrechte

Anbieten von Backups und Rollbacks

• Anbieten von Support

• Betrieb der BYOD/MDM-Lösung

• Integration der Devices

Kunde Daten • In Rest (lokal) • In Transit



Documents

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld