Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...

Internet in Zeiten von Pest und Cholera

Wer traut sich noch raus ?

Markus Bernhammer

Vorstand

Agenda

• Risiken außerhalb des Perimeters

• Surfen im Internet- Geht das auch sicher ?

• Browser in the Box- Der neue Ansatz für sicheres Surfen

• Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit

• BizzTrust- Geschäftliches und Privates trennen

• Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen

• TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht

• Sirrix - Kurzvorstellung

Risiken außerhalb des Perimeters

Bekannte Angriffe und Schwachpunkte

„..fahren in einer offenen Kutsche und hoffen, dass es nicht regnet.“

Gefahrenschwerpunkt Internet

Das größte Einfallstor für Gefährdungen aus dem Internet ist der Web-Browser

Web-Browser Sicherheit muss im Fokus aller Endpoint-Security Anstrengungen stehen

„Antivirensoftware ist tot“- Paradigmenwechsel in IT

Verlorene Daten auf Smartphones….

Sicherheitslücken in Smartphone Apps..

Surfen im Internet- Geht das auch sicher ?

Browser in the Box- Der neue Ansatz für sicheres Surfen

Das Internet ist aus dem Alltag nicht wegzudenken….

INTRANET Produktbezogene Daten

Produktentwicklungsunterlagen

Strategische Konzepte

Browserbasierte in-house

Anwendungen

Emails

INTERNET

• Recherchen,´Nachrichten...

Bisherige Ansätze der Bedrohungsabwehr Kein Internet am Arbeitsplatz - Sicherheit: Abgesetzte Rechner für Internet Zugang

• Höherer Aufwand für den Mitarbeiter und zusätzliche Kosten für separate Systeme

Internet mit reduziertem Funktionsumfang – Sicherheit: Abgeschaltete aktive Inhalte

• Eingeschränkter Komfort für den Benutzer, niedrige Sicherheit.

Alternative Browserhersteller – Sicherheit: Diverse Sandboxing-Verfahren und schnelleres Patchmanagement

• Begrenzte Kapselung vieler Elemente, Sicherheit von O/S und Browser abhängig

Terminalserver – Sicherheit: Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer

• Hohe Kosten für Bereitstellung, Komforteinschränkungen für den Benutzer, hohe Sicherheit

Browser in the Box: Sicherer Browser für den Client Technologie

Eigenschaften

Sicherheit

Browserkapselung durch Virtualisierung

1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten

• Trennung von Arbeitsplatzumgebung und Internet

• Transparent für den Anwender

2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen

• Leicht zu installieren und zentral zu administrieren

Anwenderkonto

VirtualBox

GEHÄRTETES LINUX

Windows

ANWENDUNG

WEB-BROWSER

BitBox Konto

Intranet

BitBox Services

ANWENDUNG

BitBox Enterprise: Isolation auf Rechnerebene

Intranet

BitBox-Konto

Browser in the Box Enterprise: Isolation auf Netzwerkebene

Web- Gateway

VirtualBox

GEHÄRTETES LINUX

WEB-BROWSER

GEHÄRTETES LINUX

VirtualBox

GEHÄRTETES LINUX

VPN-Client

VirtualBox internes Netzwerk

BitBox Enterprise: Einfache Administration

Managementsystem

BitBox

Drucker Server

Web-Gateway

Internes Netzwerk

Tunnel

Active Directory

BitBox Sicherheitseigenschaften Sicherheit

• Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt

• Gehärtetes Linux als Gastsystem

• Kapselung in virtuelle Maschine (VM)

• Isolierter Browser in the Box-Benutzerkontext

• Start immer von einem sauberen Snapshot

• Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus BitBox werden ins Internet geleitet und umgekehrt

• Sicheres Drucken

• Down- und Upload richtliniengesteuert möglich

Sichere Zwischenablage Informationsflusskontrolle

• Unidirektional (Arbeitsplatz → BitBox oder BitBox → Arbeitsplatz)

• Bidirektional (Arbeitsplatz ↔ BitBox )

• Zentral administrierbar

Optionale Bestätigung durch den Benutzer beim ‘Einfügen’ • Kein unbemerkter Informationsfluss z.B. durch Schadsoftware im Gast, die die

Zwischenablage ausliest

BitBox Client: Komforteigenschaften Benutzerkomfort

• Hohe Transparenz durch Seamless-Mode

• Unterstützung von aktiven Inhalten

• Plug-Ins, persistente Lesezeichen, Drucken und Download

richtliniengesteuert möglich

Host - Plattformen

• Windows (XP, Vista, 7)

• Linux

Download unter: browser-in-the-box.de

• Sicheres Surfen im Internet für Client/Server Infrastrukturen

• Trennung von Intranet und Internet • Nachhaltiger Schutz gegen ZeroDay Exploits

• Einfacher RollOut • Zentrales Management

• Schutz vor Datendiebstahl • Erhöhung der Betriebsssicherheit

Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit

BizzTrust-

Geschäftliches und Privates trennen

Gefährdungen für Smartphones (1/2)

Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, …)

Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)

Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.B. Passwörter, PINs, Zugangscredentials, Webzugriffe, …), abgehörte Telefonate

Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, …)

Gefährdungen für Smartphones (2/2)

Exploits von App-Fehlern

Direkter Zugriff auf App-Daten

Indirekter Zugriff auf Daten anderer Apps

Risiko Preisgabe vertraulicher Daten

Exploits von Android-Fehlern

Zugriff auf kryptographische Schlüssel

Umgehung von Isolations- und Verschlüsselungsmechamismen

Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)

Stark steigende Anzahl von Android-Malware

Angriffsvektoren für Malware

3rd Party Apps

Browser

Multimedia/PDF

Kommunikationsdienste

Fernwartung

Betriebssystem

Benutzer

BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen

Business- und Private-Umgebung

• Benutzer hat volle Kontrolle über die private Umgebung

• Unternehmen hat volle Kontrolle über die berufliche Umgebung

Strikte Trennung

• Trennung von Apps und Benutzerdaten

• Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung

• Optionale Trennung von Kontakten und Kalendereinträgen

• Business-Apps haben keinen direkten Zugriff auf das Internet

Sicherheitsarchitektur mit Type Enforcement

Smartphone Hardware

TURAYA™ Security Kernel

& Type Enforcement

Hardend Android Middleware

With Security Extensions

App App App App App App

Business (classified)

Personal (unclassified)

Sicherheitskern

Sicherheitsarchitektur mit Type Enforcement

Smartphone Hardware

Security Kernel & Type Enforcement

Android Middleware

With Security Extensions

App App App App App App

Business Private

Vorteile

Einfachere Portierung

Geringer Ressoucenverbrauch

Nachteile

Größere TCB

Beispiele

BizzTrust (Sirrix/Fraunhofer SIT)

BlackBerry Balance

BizzTrust Infrastruktur

Trusted Objects Manager

Cert Apps Profile

VPN Gateway

Administration

BizzTrust

Trusted Channel

Intern

Internet

Intern

BizzTrust- Funktionen (Client)

Data at Rest

Verschlüsselung der Benutzerdaten auf dem Smartphone

Trennung von nicht-sensitiven und sensitiven Apps („Personal“ vs. „Business“)

• kein Durchgriff über standardisierte Android-Schnittstellen (z.B. Zugriff auf Kontakte durch andere Apps)

• kein Durchgriff durch Exploits in der Middleware

Typesicherheit für ausgeführte Apps (Schutz vor böswilligen Apps)

BizzTrust- Funktionen (Client)

Data at Move

Verschlüsselung der Kommunikation mit der Unternehmensinfrastruktur über einen IPSec-Tunnel.

• Mails, Kontakte- und Kalendersynchronisation

• Zugriff auf das Intranet

• Optionale verschlüsselte VoIP-Telefonie ins Unternehmensnetz oder zu anderen BizzTrust-Geräten des Unternehmens möglich

Optional

Internetzugriff über Unternehmens-Firewall

Unterstützung Geräte und Android Versionen

Standardhardware

Aktuelle Version basierend auf Android SE 4.2

Momentan unterstützte Geräte:

• Nexus Galaxy, Nexus S, Nexus 4, Nexus 10 (Tablet), Samsung Galaxy S4 mini

Weitere geplante Geräte:

• Sony Xperia Z, HTC One u.w.

BizzTrust: Zentrales Management

Benutzer- / Geräteverwaltung

VPN mit vollautomatischem Zertifikats-Deployment

OTA-Firmwareupdate

BizzTrust: Enterprise AppStore

Zentrale Verwaltung von Apps

Automatisches Signieren hochgeladener Apps und push auf alle Geräte

BizzTrust: Mobile Device Management

Zentrale Verwaltung der MDM –Schnittstelle

Erste Funktionen verfügbar

Erweiterung auf zusätzliche Funktionen möglich

Gehärtetes Betriebssystem

Schutz vor Exploits

Strenge Isolation

Schutz vor Datensaugern

Datenverschlüsselung

Aktivierung von

Sicherheitsmechanismen

Zusammenfassung

Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen

TrustedDisk-

Sichere Festplattenverschlüsselung konsequent gedacht

Notebook Diebstahl immer noch…

70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt

„Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes“.

TrustedDisk

Entwickelt 2011 im Auftrag des BSI auf Basis von TrueCrypt

Mit dem Ziel: Schutz der Daten des Notebooks und mobiler Speichergeräte bei Diebstahl oder Verlust :

Einhaltung der Datenschutzgesetze und VSA

Schutz von sensiblen Behörden- und Unternehmensinformationen

Vollverschlüsselung von Festplatten und mobilen Speichergeräten

Alle Daten des Notebooks werden verschlüsselt inkl. Betriebssystem, temporäre Dateien und mobile Speichergeräte

Sichere Authentifikation des Benutzers durch Smartcard

Kombination von hohem Sicherheitsstandard und einfachem Einsatz

Highlights von TrustedDisk (I)

Hoher Einsatzkomfort

Device-Vollverschlüsselung für Windows 7

Im Hintergrund, dadurch Weiterarbeit möglich

Verschlüsselung von Systempartitionen und mobilen Speichergeräten

Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement

Hohe Sicherheit

Umfassende Pre-Boot Authentication

Mehrstufige Authentifizierung per Hardwaretoken und PIN

Sichere Zufallszahlengenerierung, flexible Umverschlüsselung

Für den VS-NfD Einsatz unter Windows 7 zugelassen

Highlights von TrustedDisk (II)

Weitere Funktionen außerhalb der Zulassung

Stealth-Mode

Smart-Lock

Linux Version (Versionsstand nicht aktuell)

Unterstützung PKCS #11

Verwendung Middleware ( CardOS API)

TrustedDisk-Einsatzmöglichkeiten Einzelplatzversion ohne zentrales Management

Für Behörden und Unternehmen empfohlen bis ca. 30 Clients

SmartCard Authentisierung

Für den VS-NfD Einsatz zugelassen

Zentrales Management über TrustedObjects Manager

Für Behörden und Unternehmen mit mehr als 30 Clients

Zusätzliche Funktionen gegenüber der Einzelplatz-Version

Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben

Lieferumfang / Lizenzmodell TrustedDisk • Einzelplatz

• TrustedDisk Enterprise Client Lizenz

• Certificate Manager (nur für Einzelplatz)

• SmartCard Leser SCT 3512 oder SCR 3310

• SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4

• Zusätzlich für zentrales Management

• TrustedObjects Manager Lizenz

• TrustedObjects Manager 19 Zoll appliance

• Lizenzmodelle

• Subscription (zeitlich befristetes Nutzungsrecht)

• Inkl. Update- und Support

• Auf Anfrage: Perpetual (zeitlich unbefristetes Nutzungsrecht)

• Zuzüglich Update und Support 20 % pro Jahr

Zentrales Management über TrustedObjects Manager

Zentrale Verwaltung:

Zentrales Benutzer-Management

Anbindung an Verzeichnisdienste (LDAP)

Zentrale Protokollierung der Events

Integrierte CA

Unterstützung existierender CAs

Weitere geplante Funktionen:

Remote-Rücksetzen von vergessener PIN mittels Challenge-Response

Flexibles Rechtemanagement mit Remote-Änderung von Benutzerrechten

TrustedDisk – Unterschiede zwischen den Varianten Vorteile der Einzelplatzversion ohne zentrales Management

Keine weitere Hardware notwendig (Platz / Stromverbrauch)

Keine Änderungen am Netzwerk (Firewall / VLANs)

Die Kosten für TOM (Hardware und CAL) entfallen

Vorteile der Version mit zentralem Management über den TrustedObjects Manager

Zentrale PUK Verwaltung

Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)

Zentrale Protokollierung der Events

Zertifikate werden zentral abgelegt auf dem TOM

Flexibles RollOut Szenario von TrustedDisk und der SmartCards

Einfache Neuanlage von zusätzlichen Benutzern auf den Clients

Workstations

• Übersicht über alle Workstations, inklusive der Information über den Verschlüsselungsstatus:

Certificate Manager • Erstellung eines Root Zertifikates, Export der Zertifikate (Standalone Version)

• Personalisierung von Token

• Löschung von Token

• Änderung der PIN durch Eingabe von PUK oder PIN

• Festplattenverschlüsselung für hohe Sicherheitsanforderungen • Verschlüsselung von Festplatten und mobilen Speichergeräten • Zulassung für Geheimhaltungsgrad VS NfD

• Sichere Authentisierung mittels SmartCard • Flexibler RollOut inkl. SmartCard-Personalisierung • Zentrales Management

Roadmap 2014: • Anbindung an DFN-PKI • Generierung und Zertifizierung von Signatur-, TrustedDisk- und

Verschlüsselungsschlüssel • Verwendung der TrustedDisk SmartCard für weitere Anwendungen

• Benutzerauthentifikation • E-Mail Verschlüsselung

Sirrix- Kurzvorstellung

Sirrix Historie – Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in

Saarbrücken

– Start des operativen Geschäftes in 2005 – Erfolgreich im Projektgeschäft

– Aufbau Geschäftsbereich ComSec

– Realisierung von vielen Projekten im IT-Sicherheitsbereich

– Beteiligung an Forschungsprojekten

Sirrix Historie und Zukunft

• 2006 Projektstart für die Turaya Sicherheitsinfrastruktur

• 2009 Entwicklungsstart für kommerzielle Standardprodukte (TrustedVPN)

• 2010 Entwicklungsstart der Produktfamilie „TrustedDesktop“

• 2011 Produktfreigabe Browser in the Box Enterprise • Gemeinsame Entwicklung von BizzTrust mit dem Fraunhofer Institut

• 2012 Bekanntmachung und Start des Sirrix Partner Programms • Produktfreigabe von TrustedDisk

• 2013 Vorstellung BizzTrust

• 2014 Produktfreigabe BizzTrust

• Vorstellung „PanBox“

Agenda

Hauptsitz in Saarbrücken

EMV-isolierte Entwicklungsbereiche Infrastruktur für VS-Entwicklungen bis SG

Niederlassung in Bochum

Hochsicherheitsgebäude mit abstrahl- geschützter Infrastruktur.

Standort Darmstadt

• Im Gebäude der Fraunhofer Gesellschaft

Vorstand:

Ammar Alkassar CEO

Christian Stüble CTO

Markus Bernhammer CSO

Aufsichtsrat:

Dipl.-Ing. Harald Stöber, Düsseldorf (Vorsitzender)

Dipl.-Kfm. Hans-Joachim Kraemer, München (stellv. Vors.)

HQ in Saarbrücken

NL in Bochum

T URAYA T M

TrustedInfrastructure

• TrustedO bjects Manager

• TrustedVPN

• TrustedDesktop

• TrustedServer

T URAYA T M SecurityKernel

• TURAYA TM

Embedded

• TURAYA T M

Mobile

Sprachverschlüsselungs-

systeme

• ISDN/Vo IP/GSM

• TETRA/BO S-D/SNS

• NATO -SCIP

Fax Encryption Systeme

Radio Encryption Systeme

• Module für

VHF/UHF Radios

• Handsets für HF-Radios

Brow ser in the Box

Secure Brow sing

TrustedDisk

HardDisk&USB-Encryption

Mobile Device Security

• TrustedMobile

iO S/Andro id

• BizzTrust ™

Produktlinie

TrustedO bjects Manager

Management fo r

Appliances, Po licies, User, Trusted Domains, …

Sirrix AG

Im Stadtwald D3 2

66123 Saarbrücken

T 0681 / 95986-0

F 0681 / 95986-500

E info@sirrix.de

W www.sirrix.com

Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...

Documents

Transcript of Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...

Smartphones, Sensoren und ihr Wettbewerbsvorteil

Smartphones als Einkaufsbegleiter

Musikmachen mit Smartphones - AfS Kongress 2011

Mobile learning smartphones nutzen 1115

Smartphones & Tablets schädigen Hoden, Spermien und ......Smartphones & Tablets schädigen Hoden, Spermien und Embryos t Smartphones und TabletPCs nicht körpernah nut-zen, sich an

Tischhalterung für Tablets & Smartphones · Tischhalterung für Tablets & Smartphones . 29 441 433 415 4397 406 L k 999 4249 17 02 Micro- & Mini-USB-Kabel für Smartphones & Tablets

Zusatzanwendungen für Smartphones

Lesen fördern mit Smartphones?

Vorschau | Smartphones, Tablets und Apps

Freie Software auf Smartphones

Smartphones & Co: Alles über App und Nepp · noch viel mehr kann man mit Smartphones machen. Smartphones sind keine Handys, sondern mehr oder weniger vollwertige Com-puter, mit denen

Aussagen, Meinungen und Stimmungen analysieren – Interessenten und Kunden gewinnen ...download.microsoft.com/download/C/D/5/CD508C9D-B0CF-475D... · 2018-10-16 · Abschlüssen

Rechtswirksames Unterschreiben auf Tablets und Smartphones

Immobiliensuche mit Smartphones

Verkaufsförderung mit Smartphones

Scalable Mockup Experiments on Smartphones …clok.uclan.ac.uk/18480/1/b48916ed72951dc837845b8a48ea76e...Scalable Mockup Experiments on Smartphones using SmartLab Georgios Larkou ∗,

Wearables, Smartphones & Co. im Unternehmenseinsatz

Smartphones konstruktiv im gymnasialen Unterricht einsetzen

Rechtswirksam Unterschreiben auf Tablets und Smartphones

Mobile Bibliotheksdienstleistungen für Smartphones · Mobile Bibliotheksdienstleistungen für Smartphones Regina Pfeifenberger Universitätsbibliothek der Humboldt-Universität zu