Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...

1

© 2013 ı Classification: Partner ı Version 1.0

Internet in Zeiten von Pest und Cholera

Wer traut sich noch raus ?

Markus Bernhammer

Vorstand

2


Agenda

• Risiken außerhalb des Perimeters

• Surfen im Internet- Geht das auch sicher ?

• Browser in the Box- Der neue Ansatz für sicheres Surfen

• Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit

• BizzTrust- Geschäftliches und Privates trennen

• Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen

• TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht

• Sirrix - Kurzvorstellung

3


Risiken außerhalb des Perimeters

Bekannte Angriffe und Schwachpunkte

4


„..fahren in einer offenen Kutsche und hoffen, dass es nicht regnet.“

5


Gefahrenschwerpunkt Internet

6



7



Das größte Einfallstor für Gefährdungen aus dem Internet ist der Web-Browser

Web-Browser Sicherheit muss im Fokus aller Endpoint-Security Anstrengungen stehen

8


„Antivirensoftware ist tot“- Paradigmenwechsel in IT

9


Verlorene Daten auf Smartphones….

9

10


Sicherheitslücken in Smartphone Apps..

10

11


Surfen im Internet- Geht das auch sicher ?

Browser in the Box- Der neue Ansatz für sicheres Surfen

12


Das Internet ist aus dem Alltag nicht wegzudenken….

INTRANET Produktbezogene Daten

Produktentwicklungsunterlagen

Strategische Konzepte

Browserbasierte in-house

Anwendungen

Emails

INTERNET

• Recherchen,´Nachrichten...

13


Bisherige Ansätze der Bedrohungsabwehr Kein Internet am Arbeitsplatz - Sicherheit: Abgesetzte Rechner für Internet Zugang

• Höherer Aufwand für den Mitarbeiter und zusätzliche Kosten für separate Systeme

Internet mit reduziertem Funktionsumfang – Sicherheit: Abgeschaltete aktive Inhalte

• Eingeschränkter Komfort für den Benutzer, niedrige Sicherheit.

Alternative Browserhersteller – Sicherheit: Diverse Sandboxing-Verfahren und schnelleres Patchmanagement

• Begrenzte Kapselung vieler Elemente, Sicherheit von O/S und Browser abhängig

Terminalserver – Sicherheit: Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer

• Hohe Kosten für Bereitstellung, Komforteinschränkungen für den Benutzer, hohe Sicherheit

14


Browser in the Box: Sicherer Browser für den Client Technologie

Eigenschaften

Sicherheit

Browserkapselung durch Virtualisierung

1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten

• Trennung von Arbeitsplatzumgebung und Internet

• Transparent für den Anwender

2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen

• Leicht zu installieren und zentral zu administrieren

15


Anwenderkonto

VirtualBox

GEHÄRTETES LINUX

Windows

ANWENDUNG

WEB-BROWSER

BitBox Konto

Intranet

BitBox Services

ANWENDUNG

BitBox Enterprise: Isolation auf Rechnerebene

16


Intranet

BitBox-Konto

Browser in the Box Enterprise: Isolation auf Netzwerkebene

Web- Gateway

IPSEC

VirtualBox

GEHÄRTETES LINUX

WEB-BROWSER

GEHÄRTETES LINUX

VirtualBox

GEHÄRTETES LINUX

VPN-Client

VirtualBox internes Netzwerk

17


BitBox Enterprise: Einfache Administration

Managementsystem

BitBox

Drucker Server

Web-Gateway

Internes Netzwerk

Tunnel

Active Directory

DMZ

18


BitBox Sicherheitseigenschaften Sicherheit

• Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt

• Gehärtetes Linux als Gastsystem

• Kapselung in virtuelle Maschine (VM)

• Isolierter Browser in the Box-Benutzerkontext

• Start immer von einem sauberen Snapshot

• Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus BitBox werden ins Internet geleitet und umgekehrt

• Sicheres Drucken

• Down- und Upload richtliniengesteuert möglich

19


Sichere Zwischenablage Informationsflusskontrolle

• Unidirektional (Arbeitsplatz → BitBox oder BitBox → Arbeitsplatz)

• Bidirektional (Arbeitsplatz ↔ BitBox )

• Zentral administrierbar

Optionale Bestätigung durch den Benutzer beim ‘Einfügen’ • Kein unbemerkter Informationsfluss z.B. durch Schadsoftware im Gast, die die

Zwischenablage ausliest

20


BitBox Client: Komforteigenschaften Benutzerkomfort

• Hohe Transparenz durch Seamless-Mode

• Unterstützung von aktiven Inhalten

• Plug-Ins, persistente Lesezeichen, Drucken und Download

richtliniengesteuert möglich

Host - Plattformen

• Windows (XP, Vista, 7)

• Linux

21


Download unter: browser-in-the-box.de

• Sicheres Surfen im Internet für Client/Server Infrastrukturen

• Trennung von Intranet und Internet • Nachhaltiger Schutz gegen ZeroDay Exploits

• Einfacher RollOut • Zentrales Management

• Schutz vor Datendiebstahl • Erhöhung der Betriebsssicherheit

22


Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit

BizzTrust-

Geschäftliches und Privates trennen

23


Gefährdungen für Smartphones (1/2)

Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, …)

Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)

Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.B. Passwörter, PINs, Zugangscredentials, Webzugriffe, …), abgehörte Telefonate

Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, …)

24


Gefährdungen für Smartphones (2/2)

Exploits von App-Fehlern

Direkter Zugriff auf App-Daten

Indirekter Zugriff auf Daten anderer Apps

Risiko Preisgabe vertraulicher Daten

Exploits von Android-Fehlern

Zugriff auf kryptographische Schlüssel

Umgehung von Isolations- und Verschlüsselungsmechamismen

Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)

25


Stark steigende Anzahl von Android-Malware

26


Angriffsvektoren für Malware

3rd Party Apps

Browser

Multimedia/PDF

Kommunikationsdienste

Fernwartung

Betriebssystem

Benutzer

27


BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen

Business- und Private-Umgebung

• Benutzer hat volle Kontrolle über die private Umgebung

• Unternehmen hat volle Kontrolle über die berufliche Umgebung

Strikte Trennung

• Trennung von Apps und Benutzerdaten

• Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung

• Optionale Trennung von Kontakten und Kalendereinträgen

• Business-Apps haben keinen direkten Zugriff auf das Internet

28


Sicherheitsarchitektur mit Type Enforcement

Smartphone Hardware

TURAYA™ Security Kernel

& Type Enforcement

Hardend Android Middleware

With Security Extensions

App App App App App App

Business (classified)

Personal (unclassified)

Sicherheitskern

29


Sicherheitsarchitektur mit Type Enforcement

Smartphone Hardware

Security Kernel & Type Enforcement

Android Middleware

With Security Extensions

App App App App App App

Business Private

Vorteile

Einfachere Portierung

Geringer Ressoucenverbrauch

Nachteile

Größere TCB

Beispiele

BizzTrust (Sirrix/Fraunhofer SIT)

BlackBerry Balance

30


BizzTrust Infrastruktur

Trusted Objects Manager

IPSec

HTTPs

Cert Apps Profile

VPN Gateway

Administration

BizzTrust

Trusted Channel

Intern

Internet

DMZ

Intern

31


BizzTrust- Funktionen (Client)

Data at Rest

Verschlüsselung der Benutzerdaten auf dem Smartphone

Trennung von nicht-sensitiven und sensitiven Apps („Personal“ vs. „Business“)

• kein Durchgriff über standardisierte Android-Schnittstellen (z.B. Zugriff auf Kontakte durch andere Apps)

• kein Durchgriff durch Exploits in der Middleware

Typesicherheit für ausgeführte Apps (Schutz vor böswilligen Apps)

32


BizzTrust- Funktionen (Client)

Data at Move

Verschlüsselung der Kommunikation mit der Unternehmensinfrastruktur über einen IPSec-Tunnel.

• Mails, Kontakte- und Kalendersynchronisation

• Zugriff auf das Intranet

• Optionale verschlüsselte VoIP-Telefonie ins Unternehmensnetz oder zu anderen BizzTrust-Geräten des Unternehmens möglich

Optional

Internetzugriff über Unternehmens-Firewall

33


Unterstützung Geräte und Android Versionen

Standardhardware

Aktuelle Version basierend auf Android SE 4.2

Momentan unterstützte Geräte:

• Nexus Galaxy, Nexus S, Nexus 4, Nexus 10 (Tablet), Samsung Galaxy S4 mini

Weitere geplante Geräte:

• Sony Xperia Z, HTC One u.w.

34


BizzTrust: Zentrales Management

Benutzer- / Geräteverwaltung

VPN mit vollautomatischem Zertifikats-Deployment

OTA-Firmwareupdate

35


BizzTrust: Enterprise AppStore

Zentrale Verwaltung von Apps

Automatisches Signieren hochgeladener Apps und push auf alle Geräte

36


BizzTrust: Mobile Device Management

Zentrale Verwaltung der MDM –Schnittstelle

Erste Funktionen verfügbar

Erweiterung auf zusätzliche Funktionen möglich

37


Gehärtetes Betriebssystem

Schutz vor Exploits

Strenge Isolation

Schutz vor Datensaugern

Datenverschlüsselung

Aktivierung von

Sicherheitsmechanismen

VPN

Zusammenfassung

38


Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen

TrustedDisk-

Sichere Festplattenverschlüsselung konsequent gedacht

39


Notebook Diebstahl immer noch…

70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt

„Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes“.

40


TrustedDisk

Entwickelt 2011 im Auftrag des BSI auf Basis von TrueCrypt

Mit dem Ziel: Schutz der Daten des Notebooks und mobiler Speichergeräte bei Diebstahl oder Verlust :

Einhaltung der Datenschutzgesetze und VSA

Schutz von sensiblen Behörden- und Unternehmensinformationen

Vollverschlüsselung von Festplatten und mobilen Speichergeräten

Alle Daten des Notebooks werden verschlüsselt inkl. Betriebssystem, temporäre Dateien und mobile Speichergeräte

Sichere Authentifikation des Benutzers durch Smartcard

Kombination von hohem Sicherheitsstandard und einfachem Einsatz

41


Highlights von TrustedDisk (I)

Hoher Einsatzkomfort

Device-Vollverschlüsselung für Windows 7

Im Hintergrund, dadurch Weiterarbeit möglich

Verschlüsselung von Systempartitionen und mobilen Speichergeräten

Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement

Hohe Sicherheit

Umfassende Pre-Boot Authentication

Mehrstufige Authentifizierung per Hardwaretoken und PIN

Sichere Zufallszahlengenerierung, flexible Umverschlüsselung

Für den VS-NfD Einsatz unter Windows 7 zugelassen

42


Highlights von TrustedDisk (II)

Weitere Funktionen außerhalb der Zulassung

Stealth-Mode

Smart-Lock

Linux Version (Versionsstand nicht aktuell)

Unterstützung PKCS #11

Verwendung Middleware ( CardOS API)

43


TrustedDisk-Einsatzmöglichkeiten Einzelplatzversion ohne zentrales Management

Für Behörden und Unternehmen empfohlen bis ca. 30 Clients

SmartCard Authentisierung

Für den VS-NfD Einsatz zugelassen

Zentrales Management über TrustedObjects Manager

Für Behörden und Unternehmen mit mehr als 30 Clients

Zusätzliche Funktionen gegenüber der Einzelplatz-Version

Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben

44


Lieferumfang / Lizenzmodell TrustedDisk • Einzelplatz

• TrustedDisk Enterprise Client Lizenz

• Certificate Manager (nur für Einzelplatz)

• SmartCard Leser SCT 3512 oder SCR 3310

• SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4

• Zusätzlich für zentrales Management

• TrustedObjects Manager Lizenz

• TrustedObjects Manager 19 Zoll appliance

• Lizenzmodelle

• Subscription (zeitlich befristetes Nutzungsrecht)

• Inkl. Update- und Support

• Auf Anfrage: Perpetual (zeitlich unbefristetes Nutzungsrecht)

• Zuzüglich Update und Support 20 % pro Jahr

45


Zentrales Management über TrustedObjects Manager

Zentrale Verwaltung:

Zentrales Benutzer-Management

Anbindung an Verzeichnisdienste (LDAP)

Zentrale Protokollierung der Events

Integrierte CA

Unterstützung existierender CAs

Weitere geplante Funktionen:

Remote-Rücksetzen von vergessener PIN mittels Challenge-Response

Flexibles Rechtemanagement mit Remote-Änderung von Benutzerrechten

46


TrustedDisk – Unterschiede zwischen den Varianten Vorteile der Einzelplatzversion ohne zentrales Management

Keine weitere Hardware notwendig (Platz / Stromverbrauch)

Keine Änderungen am Netzwerk (Firewall / VLANs)

Die Kosten für TOM (Hardware und CAL) entfallen

Vorteile der Version mit zentralem Management über den TrustedObjects Manager

Zentrale PUK Verwaltung

Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)

Zentrale Protokollierung der Events

Zertifikate werden zentral abgelegt auf dem TOM

Flexibles RollOut Szenario von TrustedDisk und der SmartCards

Einfache Neuanlage von zusätzlichen Benutzern auf den Clients

47


Workstations

• Übersicht über alle Workstations, inklusive der Information über den Verschlüsselungsstatus:

48


Certificate Manager • Erstellung eines Root Zertifikates, Export der Zertifikate (Standalone Version)

• Personalisierung von Token

• Löschung von Token

• Änderung der PIN durch Eingabe von PUK oder PIN

49


• Festplattenverschlüsselung für hohe Sicherheitsanforderungen • Verschlüsselung von Festplatten und mobilen Speichergeräten • Zulassung für Geheimhaltungsgrad VS NfD

• Sichere Authentisierung mittels SmartCard • Flexibler RollOut inkl. SmartCard-Personalisierung • Zentrales Management

Roadmap 2014: • Anbindung an DFN-PKI • Generierung und Zertifizierung von Signatur-, TrustedDisk- und

Verschlüsselungsschlüssel • Verwendung der TrustedDisk SmartCard für weitere Anwendungen

• Benutzerauthentifikation • E-Mail Verschlüsselung

•

50


Sirrix- Kurzvorstellung

51


Sirrix Historie – Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in

Saarbrücken

– Start des operativen Geschäftes in 2005 – Erfolgreich im Projektgeschäft

– Aufbau Geschäftsbereich ComSec

– Realisierung von vielen Projekten im IT-Sicherheitsbereich

– Beteiligung an Forschungsprojekten

52


Sirrix Historie und Zukunft

• 2006 Projektstart für die Turaya Sicherheitsinfrastruktur

• 2009 Entwicklungsstart für kommerzielle Standardprodukte (TrustedVPN)

• 2010 Entwicklungsstart der Produktfamilie „TrustedDesktop“

• 2011 Produktfreigabe Browser in the Box Enterprise • Gemeinsame Entwicklung von BizzTrust mit dem Fraunhofer Institut

• 2012 Bekanntmachung und Start des Sirrix Partner Programms • Produktfreigabe von TrustedDisk

• 2013 Vorstellung BizzTrust

• 2014 Produktfreigabe BizzTrust

• Vorstellung „PanBox“

53


Agenda

Hauptsitz in Saarbrücken

EMV-isolierte Entwicklungsbereiche Infrastruktur für VS-Entwicklungen bis SG

Niederlassung in Bochum

Hochsicherheitsgebäude mit abstrahl- geschützter Infrastruktur.

Standort Darmstadt

• Im Gebäude der Fraunhofer Gesellschaft

Vorstand:

Ammar Alkassar CEO

Christian Stüble CTO

Markus Bernhammer CSO

Aufsichtsrat:

Dipl.-Ing. Harald Stöber, Düsseldorf (Vorsitzender)

Dipl.-Kfm. Hans-Joachim Kraemer, München (stellv. Vors.)

HQ in Saarbrücken

NL in Bochum

54

© 2014 ı Classification: Public

T URAYA T M

TrustedInfrastructure

• TrustedO bjects Manager

• TrustedVPN

• TrustedDesktop

• TrustedServer

T URAYA T M SecurityKernel

• TURAYA TM

Embedded

• TURAYA T M

Mobile

Sprachverschlüsselungs-

systeme

• ISDN/Vo IP/GSM

• TETRA/BO S-D/SNS

• NATO -SCIP

Fax Encryption Systeme

Radio Encryption Systeme

• Module für

VHF/UHF Radios

• Handsets für HF-Radios

Brow ser in the Box

Secure Brow sing

TrustedDisk

HardDisk&USB-Encryption

Mobile Device Security

• TrustedMobile

iO S/Andro id

• BizzTrust ™

Produktlinie

TrustedO bjects Manager

Management fo r

Appliances, Po licies, User, Trusted Domains, …

55


Sirrix AG

Im Stadtwald D3 2

66123 Saarbrücken

T 0681 / 95986-0

F 0681 / 95986-500

E [email protected]

W www.sirrix.com

Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...

Documents

Transcript of Internet in Zeiten von Pest und Choleradownload.microsoft.com/download/C/D/5/CD508C9D-B0... ·...