Mobile Security - BearingPoint€¦ · Webinar Oktober 2014. Client Name here 2 Agenda 2...

Mobile Security

Webinar

Oktober 2014

Client Name here 2

Agenda

Bedrohungen und Gefahren (aktuelle Meldungen)2

Lösungsansätze für mobile Sicherheit3

Nutzen von mobiler Sicherheit4

Mobile Sicherheit - Motivationsfaktoren 1

Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5

Konfliktpotenziale bei Einführung mobiler Sicherheit6

Praxisbeispiel BearingPoint7

Client Name here 3

Agenda




Mobile Sicherheit – Motivationsfaktoren

Unternehmensinteressen

Mitarbeiterinteressen

Interessen Dritter

1




Client Name here 4

Unternehmensinteressen - auszugsweise

Bereitstellung einer flexiblen ITK-Infrastruktur

für Mitarbeiter:

− zum flexiblen und nicht ortsgebundenen Arbeiten (Management, Außendienst, Projektmitarbeiter, Servicetechniker, etc.)

− zum flexiblen und nicht gerätegebundenen Arbeiten (Smartphones, Phablets, Tablets, Notebooks, etc.)

für Kunden / Lieferanten / Partner, beispielsweise:

− zur Verbesserung von Informationsangebot (on demand – everywhere), Zusammenarbeit, Kommunikationsmöglichkeiten

Proaktiver Schutz der ITK-Infrastruktur vor beispielsweise

Daten- und Informationsverlust (Spionage, Diebstahl von Mobilgeräten, etc.)

unerlaubten / nicht autorisierten Zugriffen

Malware (Viren, Trojaner, Spam, Phishing, etc.)

Kontrolle der Unternehmensressourcen, beispielsweise

zu statistischen Zwecken (wer, wie, wann, von wo)

Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.)

zur Erkennung von Missbrauch (eindeutige Zuordnung von User und Geräten)

zur Kapazitäts- und Serviceplanung (Updates, Bandbreiten, Verfügbarkeiten, etc.)

zur Umsetzung rechtlicher Anforderungen (Datenschutz, Policies, etc.)

Mobile Sicherheit - Motivationsfaktoren

Client Name here 5

Mitarbeiterinteressen - auszugsweise

Schutz der persönlichen Interessen, Informationen. Daten, wie

personenbezogener privater Daten auf dem mobilen Gerät

Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes

Ausübung persönlicher Freiheiten, wie

bedarfsgerechte Konfiguration der Geräte (z.B. Installation von Apps)

24/7 Nutzungsmöglichkeit

ein und dasselbe Gerät (inkl. Software) zur Nutzung für Arbeit und Privatbereich

keine restriktive Begrenzung auf ausschließlich vom Unternehmen freigegebene Software / Apps für die tägliche Arbeit

Nutzung externer Ressourcen (z.B. Webangebote) zur Arbeitserfüllung

Flexible Arbeitsmodelle

Arbeiten, wann, wo und wie man möchte (soweit es die Arbeit zulässt)

Ohne zeitraubende Anreise, schnell auf Arbeitsanfragen reagieren können

Optimierung der individuellen Work-Life-Balance


Client Name here 6

Interessen Dritter (z.B. Geschäftspartner) - auszugsweise

Schutz der persönlichen Interessen, Informationen. Daten, wie

eigene Unternehmensdaten oder Daten weiterer Kunden auf dem mobilen Gerät

personenbezogener privater Daten auf dem mobilen Gerät

Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes

Verbesserung

der Zusammenarbeit durch gemeinsame Nutzung relevanter Daten (z.B. über Portale)

des Datenaustausches durch sichere (verschlüsselte) Übertragungsmöglichkeiten

der Kommunikation durch Nutzung gemeinsamer Kontaktdatenbanken

zeitlicher und örtlicher Aspekte der Zusammenarbeit (on-demand, in-time, everywhere)


Client Name here 7

Agenda








Client Name here 8

Malware (Viren, Trojaner, Phishing, etc.)

Mithören, Mitlesen durch unbeteiligte Dritte beiNutzung in der Öffentlichkeit

Datendiebstahl, -verlust

Unbewusstes Speichern vertraulicher Daten in einerCloud (z.B. iCloud, GoogleDrive, MS OneDrive, etc.)

Gerätediebstahl

Mobile Sicherheit – Bedrohungen und Gefahren

Bedrohungen

Gefahren

Schwachstellen in Betriebssystem und Apps

Veraltete Versionen von Betriebssystemen und Apps

Unverschlüsselte Geräte

Geräte nicht hinreichend durch PIN gesichert

keine regelmäßigen Passwortänderungen

Bösartige Apps können unberechtigttelefonieren

Quelle: http://www.golem.de, 10.07.2014

Fake ID Exploit ermöglicht Komprommitierung von Android Apps und Endgeräten

Quelle: http://www.pcworld.com, 29.07.2014

10.000 bösartige Apps im Play Store Mitte 2012

Quelle: http://www.androidmag.de, 08.03.2014Erpresser-Malware Cryptolocker für

Android entdecktQuelle: http://www.zdnet.de,

08.05.2014

iOS-Malware stiehlt PasswörterQuelle: http://www.zdnet.de, 23.04.2014

iOS Malware-Prototyp überträgt Datendurch unhörbare Audiosignale

Quelle: http://www.zdnet.de, 04.12.2014 Windows Phone Trojaner zeichnet Anrufeauf und ermittelt aktuelle Position des

SmartphonesQuelle: http://www.gizmodo.de, 31.08.2013

iOS Malware Spad leitetWerbeeinnahmen an Hacker weiter

Quelle: http://www.infosecurity-magazine.com, 31.08.2013 Chinesische iOS Malware stiehlt Apple

IDs und PasswörterQuelle: http://www.9to5mac.com,

22.04.2014

Russischer Android SMS Trojaner verschickt SMS an Mehrwertdienstnummern

Quelle: http://www.9to5mac.com, 22.04.2014

Client Name here 9

Agenda


Lösungsansätze für mobile Sicherheit

Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.B. keine BYOD) Zugriff nur nach spezieller Authentifizierung Zugriff nur über bestimmte technische Lösungen Zugriff über kombinierte Lösungen

3






Client Name here 10

Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten


Vorteile Nachteile

Keine unkontrollierten Zugangspfade durch mobile Geräte

Keine zusätzlichen technischen Maßnahmen nötig

Keine zusätzlichen Risiken für die bestehende ITK-Infrastruktur

Geringstmöglicher Aufwand bzgl. zusätzlicher rechtlicher Regelungen (Verbotspolicy)

Möglicherweise zunehmender Imageverlust ggü. Mitbewerbern, welche die Technologien nutzen

Entstehung möglicher Wettbewerbsnachteile

Mögliche negative Auswirkung auf Mitarbeiterzufriedenheit

Client Name here 11

Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.B. kein BYOD)


Unternehmen gibt gezielt vor von welchen mobilen Geräten auf die Unternehmensdaten zugegriffen werden darf, z.B.

• Geräte aus einem firmeneigenen Gerätepool

• Dedizierte Geräte für die Mitarbeiter (z.B. durch geeignete Rahmenverträge mit Providern)

Eigene oder individuelle Geräte der Mitarbeiter (BYOD = Bring your own device) werden nicht gestattet

Kontrollierbare Zugangspfade für mobile Geräte (z.B. durch Gerätekennung IMSI)

Rechtlicher Regelungsaufwand (Policy) bleibt überschaubar

Kontrolle der Geräte bleibt in der Hand des Unternehmens

Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards

Vorteile

zusätzliche technische Maßnahmen für Umsetzung nötig

Risiken für die bestehende ITK-Infrastruktur erhöhen sich

technischer Aufwand fast derselbe, wie bei BYOD

Kostenintensiv durch Vorhalten des Gerätepools

Lange Reaktionszeiten bzgl. Etablierung neuer Technologien (z.B. durch Vertragslaufzeiten)

Nachteile

Client Name here 12

Zugriff nur nach spezieller Authentifizierung


Grundsätzlich alle mobilen Geräte zugelassen

Unternehmen macht Vorgaben hinsichtlich Authentifizierungsverfahren, z.B.

• Username, Passwort, OneTimePassword, etc.

• Aufruf einer speziellen Webseite zur Authentifizierung

• VPN-Verbindung mit speziellem Zertifikat

Für bestehende User i.d.R. einfache Integrationsmöglichkeit in bestehende ITK Infrastrukturen über z.B. Directory Services wie MS Active Directory

Freie Gerätewahl durch User

Vorteile

zusätzliche technische Maßnahmen für Umsetzung nötig

Hohes Sicherheitsrisiko mangels Möglichkeiten

⁻ die Geräte selbst zu kontrollieren

⁻ Sicherheitsstandards auf den Geräten zu erzwingen

Unbekannter „Gerätezoo“

Hoher juristischer Regelungsaufwand

Nachteile

Client Name here 13

Zugriff nur über bestimmte technische Lösungen


Grundsätzlich alle mobilen Geräte zugelassen

Unternehmen macht Vorgaben bzgl. Zugriffsverfahren und Anwendungen wie, z.B.

• Benutzerauthentifizierung (Username, Passwort, OneTimePassword, etc.)

• Zugriff nur über Webaccess auf bestimmte Portalserver und dedizierte Applikationen

• Zugriff nur über Virtual Desktop Infrastrukturen (z.B. Microsoft VDI, Citrix-VDI, etc.)

Kontrollierbare Zugangspfade für mobile Geräte

Zugriff nur auf freigegebene Applikationen möglich

Rechtlicher Regelungsaufwand auf Standard-Policiesbegrenzbar

Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards

Vorteile

Wie bei „Zugriff nur nach spezieller Authentifizierung“

Zusätzlich Einschränkung der MA-Flexibilität ausschließlich auf die vom Unternehmen freigegebenen Unternehmensanwendungen

Freigabeprozess für Unternehmensanwendungen möglicherweise aufwändig

Nachteile

Client Name here 14

Enterprise Mobility Management (EMM) – MDM


Mobile Device Management

• Full-Device Ansatz um mobile Endgeräte zu kontrollieren

• IT sichert Zugang, Daten etc. auf den Endgeräten beispielsweise über Passwörter, Remote Wipe Funktionalitäten etc.

• Typische MDM Tools: Einführen von Policies, Tracken des Inventars, Real-Time Monitoring und Reporting Funktionalitäten

Hoher Grad an Kontrolle und Steuerung

Hoher Grad Sicherheit

Z. Zt. bestmöglicher Kompromiss zwischen Unternehmens- und Individualinteressen

Vorteile

Strenger regulatorischer Ansatz kann User insbesondere bei BYOD Ansätzen abschrecken („Warum muss ich jedes mal wenn ich mein Handy benutzen will ein Passwort eingeben, ändern etc.?“) und motiviert bei ihm u.U. Aktivitäten das System zu umgehen

Nachteile

Client Name here 15

Enterprise Mobility Management (EMM) – MAM


Mobile Application Management

• Im Gegensatz zu MDM ein granularerer Ansatz um mobile Endgeräte zu kontrollieren

• Betrifft Software, Lizensierung, Sicherheit, Benutzer Policies, Zugangs- und User Authentifizierung, Konfiguration, Updates, Maintenance, Reporting, Tracking und Applikationslebenszyklus

Ermöglicht komfortablere User Experience (Bsp. IT kann einen Remote Wipe auf dem Gerät des Users durchführen ohne das seine persönlichen Applikationen davon betroffen sind)

Vorteile

Höhere Kosten durch Entwicklung, Maintenance, Upgrade etc. von spezieller Enterprise Software

Nachteile

Client Name here 16

Produktüberblick

Lösungsansätze für mobile Sicherheit I

AirWatch

Citrix

Good Technology

IBM

MobileIron

Enterprise Mobility Management (EMM) Suites mit Multiplattform-Support

Absolute Software BlackBerry Globo Landesk SAP Sophos Soti Symantec Tangoe

Markt- und Performance*-Führer Markt- und Performance*-Folger

*Performance inkludiert hier: Produkt/Service, allgemeine Unternehmensviabilität, Preispolitik, Marktresonanz, Marketing, Benutzererfahrung, Unternehmensbetrieb, Marktverständnis, Marketingstrategie, Verkaufsstrategie, Produktstrategie, Industriestrategie, Innovation, geographische Strategie

Client Name here 17

Die besten Performer hinsichtlich kritischer kundenseitiger EMM Funktionalitäten

Lösungsansätze für mobile Sicherheit II

MobileIron

AirWatch

IBM

AirWatch

IBM

MobileIron

IBM

AirWatch

MobileIron

Good Technology

Citrix

IBM

Soti

AirWatch

Citrix

IBM

AirWatch

MobileIron

EMM Funktionalitäten

Globales Enterprise Deployment

Regulierte Industrien

Unified Endpoint Management

Shared general-purpose Devices

SaaS Deployments

Special-Purpose Device Support

Client Name here 18

Agenda








Client Name here 19

Direkter Nutzen

Hoher Schutz von Unternehmensinteressen

Sicherstellung der Erfüllung von Compliance Vorgaben

Sicherstellung der Handlungsfähigkeit bei Gerätediebstahl

Möglichkeit zur Installation von Zertifikaten (Push-Prinzip)

Gezielte Sperrmöglichkeit von mobilen Geräten/Accounts für Zugriffe auf Unternehmensressourcen

Ortungsmöglichkeit für vermisste Geräten (unterbestimmten Bedingungen)

Möglichkeit zur Bereitstellung von Apps

Indirekter Nutzen

Schärfung des Sicherheitsbewusstseins bei Mitarbeitern imUmgang mit mobilen Geräten

Nutzbarkeit für Eigenwerbung bei Kunden

Beispiele

Nutzen von mobiler Sicherheit

Messbarkeit

Erkennen von kompromittierten Geräten

Erkennen von Geräten, die die Compliance Vorgaben nichterfüllen

Erkennen der Anzahl von Gerätetypen, -klassen, -herstellern

Möglichkeit zur gezielten Bereitstellung von Supportprozessen für häufig genutzte Gerätetypen

Client Name here 20

Agenda





Voraussetzungen für mobile Sicherheit (mobile Security Readiness)

Richtlinien / Policies Technische Maßnahmen Personelle Maßnahmen (Team, Admins, etc.)

5



Client Name here 21

Richtlinien / Policies für mobile Kommunikation / Sicherheit

müssen definiert werden

müssen darstellen, welche MDM Strategie das Unternehmen möchteund welche Technologien unterstützt werden -> erfordert aktiveEinbindung der Geschäftsführung

müssen juristische Aspekte (Haftung, etc.) möglichst lückenlosabdecken -> sehr hoher Aufwand

müssen den Mitarbeitern kommuniziert / bekannt sein

dürfen nicht in einer allgemeinen Überwachungsmentalität enden

müssen die Schutzinteressen der Mitarbeiter, des Unternehmensund der Kunden bestmöglich berücksichtigen

Voraussetzungen für mobile Sicherheit (mobile Security Readiness)

Technische Maßnahmen

Geeignete Zugriffs-/Übergabepunkte müssen definiert sein

Geeignete Hardware-/Software-Lösungen müssen evaluiert und implementiert sein

Sicherheitsprofile für mobile Geräte unterliegen anderen, i.d.R. höheren, Anforderungen als Sicherheitprofile von Notebooks, Desktops

Berechtigungskonzepte für mobile Daten erfordern höherenDetailierungs-/Unterscheidungs-/Reifegrad als für PC-Anwendungenüblich

Verschlüsselung der Daten muss eine zentrale Forderung sein

Konzepte zur Verwaltung unterschiedlicher Technologiebasen(Android, iPhone, Windows 8) müssen etabliert sein

Personelle und organisatorische Maßnahmen (Team, Admins, Mitarbeiter, Provider)

Awareness-Schulungen für alle Mitarbeiter müssen verfügbar sein

HelpDesk- und Adminstratorschulungen für die neuen Technologien müssen etabliert sein

Support muss vor dem eigentlichen Rollout etabliert und geschult sein

Flexiblere Arbeitsmöglichkeiten erfordern höhere Flexibilität beim Support (evtl. 24*7 Support, statt bislang nur 5*(8-18 Uhr) Support)

Verantwortlichkeiten und Eskalationsstufen zwischen ITK-Providern, interner IT und Support-Teams müssen geregelt sein

Client Name here 22

Agenda






Konfliktpotenziale bei Einführung mobiler Sicherheit

Privatsphäre Rechtliche Hürden (Haftungsfragen?) Datenschutz Betriebsrat Mitarbeiter- versus Unternehmensinteressen

6


Client Name here 23

Gefühlte Verletzung der Privatsphäre von Anwendern

Durch unklare Information / Kommunikation an die Anwender

Durch unzureichende eigene Eingriffs-/Kontroll-/Steuerungsmöglichkeiten der Anwender

Tatsächliche Verletzung der Privatsphäre von Anwendern

Durch Missbrauch von Berechtigungen, Kompetenzen (z.B. Adminrechte, Anweisung durch Vorgesetzte)

Durch technische Mängel oder fehlerhafte Konfigurationen

Abhilfe:

Aufklärungsmöglichkeiten, Schulungen, FAQs für Anwender bereitstellen

Lückenlose Aufklärung von Missbrauchsfällen und zusammenfassende Kommunikation / Aufklärung an die Anwender

Beseitigung technischer Mängel / Fehler und zusammenfassende Kommunikation / Aufklärung an die Anwender

Wo immer unter Sicherheitsgesichtspunkten möglich, die Einflussnahme der Anwender aktiv einfordern, wie z.B:

Sicherheitsprofile werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt,

Geschäftsrelevante Apps werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt,

Optionale Apps werden Anwendern nur vorgeschlagen/angeboten, die Entscheidung zur Installation wird Ihnen überlassen und die Installation machen sie selbst

Die Aktivierung von besonders kritischen Diensten (z.B. GPS-Ortung) kann immer nur der jeweilige Anwender veranlassen (ggf. sogar mitautomatischer Zwangs-Deaktivierung durch das Unternehmen nach einer vorgegeben Zeit)

Privatsphäre


Client Name here 24

Datenschutzrechtliche Haftungsfragen:

Ist die private Datennutzung gestattet (z.B. private eMails)?

Abgrenzung Unternehmensdaten versus private Daten?

Abgrenzung geschäftliche Nutzung versus private Nutzung?

Was darf das Unternehmen unter welchen Bedingungen monitoren, was nicht?

Umgang und Haftung bzgl. Kundendaten auf den Geräten?

Bei legalem / illegalem Datenaustausch zwischen Apps?

Beim Nutzen von Diensten wie Apple iCloud, Microsoft Skydrive?

Wer haftet wann wofür?

Providerhaftung:

Tritt das Unternehmen durch die Bereitstellung der ausgewählten EMM-Lösung bereits als Diensteanbieter nach TMG auf?

Tritt das Unternehmen durch die Bereitstellung ausgewählter Apps bereits als Content Provider nach TMG auf?

Haftung von Vertragsparteien:

Welche Rolle/Verantwortung hat ein involvierter TK Service Provider bei der Gerätebereitstellung (vgl. 24 Monatsverträge)?

Wer ist Geräteeigentümer, wer nur Gerätenutzer?

Welche Zusatzvereinbarungen können die Vertragsparteien in ihrer besonderen Situation miteinander treffen?

Rechtliche Hürden


Client Name here 25

BDSG § 1: (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

BDSG §3: (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbarennatürlichen Person (Betroffener).

BDSG § 3a: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten […] sind an dem Ziel auszurichten, so wenig personenbezogeneDaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. […] personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweitdies nach dem Verwendungszweck möglich ist […].

Datenschutzrelevante Problemstellungen bei mobilen Geräten:

Persönliche eMails fallen bereits unter §3 das BDSG

GPS-Ortungsdaten von einem mobilen Gerät sind personenbezogene Daten nach §3 BDSG

Darf / Will man diese als Arbeitgeber haben?

Unter welchen Umständen?

Wie kann man es vermeiden?

Personenbezogene Daten (z.B. Religionszugehörigkeit, Familienstand) in Dateianhängen von geschäftlichen eMails:

Werden bei Öffnen des Anhangs auf dem Gerät gecached (=dupliziert) -> Verletzung von BDSG §3a? Abhilfe?

Können beim Bearbeiten der eMail z.B. im ÖPNV Dritten zu Kenntnis gelangen -> Verletzung von BDSG §1 / §3a? Abhilfe?

Wer ist Eigentümer / Verantwortlicher von auf dem mobilen Gerät gecachten Daten:

Geräteeigentümer (z.B. Provider), Gerätenutzer (User), Diensteanbieter?

Datenschutz (Bundesdatenschutzgesetz – BDSG)


Client Name here 26

BetrVG § 80: (1) Der Betriebsrat hat folgende allgemeine Aufgaben: 1. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden;[…](2) Zur Durchführung seiner Aufgaben nach diesem Gesetz ist der Betriebsrat rechtzeitig und umfassend vom Arbeitgeber zu unterrichten

BetrVG § 87: (1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:1. Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb; -> Auswirkung auf Policies[…]6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zuüberwachen; -> Auswirkung auf jede Art von IT Lösung7. Regelungen über die Verhütung von Arbeitsunfällen und Berufskrankheiten sowie über den Gesundheitsschutz im Rahmen der gesetzlichenVorschriften oder der Unfallverhütungsvorschriften; -> Möglichkeit zur Erzwingung von Lösungen unter Berücksichtung neuesterarbeitsmedizinischer Erkenntnisse (z.B. strahlungsarm, Displaygröße, Dockingstations)

Problemstellungen mit Betriebsrat (BR) beim Einsatz von mobilen Geräten und verbundenen Sicherheitslösungen:

Der BR kann wegen BetrVG §80 (1) Ziff. 1 und BetrVG §87 (1) Ziff. 1 Regelwerke (Policies) blockieren, Änderungen zu selbigenerzwingen oder auch die Ausserkraftsetzung fordern

Ein Ignorieren des BR kann wegen BetrVG §87 (1) Ziff. 6 zur gerichtlich durchsetzbaren Blockade beim Einsatz von mobilenGeräten und mobiler Sicherheit führen

Der BR kann über BetrVG §80 (1) Ziff. 1 und BetrVG §87 (1) Ziff. 6 u. 7 bestimmte (alternative) Lösungen erzwingen

Betriebsrat (Betriebsverfassungsgesetz – BetrVG und Arbeitsschutzgesetze)


LösungFrühzeitige Einbeziehung des Betriebsrates in: die Planung, die Definition der Richtlinien, den Technologieauswahl- und Implementierungsprozess (am besten als Mitglied eines Steering Commitees).

Client Name here 27

Mitarbeiterinteressen Unternehmensinteressen

Schutz der Privatsphäre • Schutz von Unternehmens- und Kundendaten• Schutz personenbezogener Daten

• Flexibles und individuelles Arbeiten • Einhalten von Arbeitsschutzgesetzen (z.B. ArbZG)• Versicherungsrechtliche Fragen (z.B. BG Unfallversicherung)

• Zugriff auf die für die Arbeit relevante Daten jederzeit und überall

• Zugriff auf Unternehmensdaten nur von vermeintlich“sicheren” Orten (z.B. nicht aus ÖPNV)

• Möglichst keinerlei Beschränkungen • Einhaltung von Compliance Vorgaben (z.B. keinegesetzeswidrigen Daten auf den für Unternehmenszweckegenutzten Geräten)

• Komfort vor Sicherheit • Einhaltung von unternehmenseigenen Sicherheitsstandards• Schnelle Reaktionsmöglichkeiten auf Sicherheitsvorfälle• Erkennen von Missbrauchsfällen

• Datenkommunikation einfach, schnell und zuverlässig • Gewährleistung einer sicheren Datenkommunikation

• Möglichst neueste Technologieplattform• Mitarbeiter wollen gut funktionierende, leicht bedienbare

Anwendungen und Geräte

• Beherrschbare und bewährte Technologieplattformen• Zentrale Administrationsmöglichkeiten• Einfache und zentrale Softwareverteilung

• Höhere Bereitschaft für “coole” Gadgets wie Design, Hippinessund Marken, Geld auszugeben

• Wirtschaftlichkeit (Kosten- / Nutzenanalysen) steht imVordergrund

Mitarbeiter- versus Unternehmensinteressen


Client Name here 28

Agenda








Client Name here 29

BearingPoint - Europäische Wurzeln mit globaler Reichweite

32 BearingPoint Büros in 20 Ländern und Betreuung von Kunden in mehr als 70 Ländern gemeinsam mit unseren globalen Allianzpartnern

Client Name here 30

Ausgangssituation

20 Ländervertretungen

32 Niederlassungen / Büros

ca. 3350 Mitarbeiter, davon >= 75% Berater

20 länderspezifische Rechtssysteme (neben EU auch USA, China, Russland)

>= 20 länderspezifische Verträge mit Mobilfunkprovidern, da hier imGegensatz zu Festnetz-/Datennetzwerken z.Zt. nur wenige Provider länderübergreifende Optionen bieten

>= 50 verschiedene Gerätetypen aufgrund von Länderhoheiten, Providerspezifika

Alle Betriebssystemplattformen bei mobilen Geräte vorhanden

4 länderspezifische Betriebsräte (D, F, NL, A), kein Konzernbetriebsrat

unternehmensweite Wissensdatenbank

Zentrale EMail-Server

Berater greifen mehr oder weniger über Mobilgeräte auf die Wissensdatenbank zu und benötigen dies für die Beratertätigkeit

Austausch von Kundendaten über mobile Geräte kann im Sinne von Geschäfts-/Kundeninteresse nicht grundsätzlich ausgeschlossenwerden

… an ein mobiles Gerätemanagement und die zugehörige Sicherheit

BearingPoint – extreme Herausforderungen …

Ziel (Auszug des Kriterienkataloges)

Weltweit einheitlich:

Management aller mobilen Geräte

Regelwerke für alle mobile Geräte

höchste Sicherheitsstandards für mobile Geräte nötig

Etablierung von Datenschutzstandards mindestens nach EU-Recht, wo möglich direkt nach BDSG

Kontrolle und Erkennung von Missbrauch / Verstössen

Kontrolle über Compliance-Vorgaben

Berücksichtigung nationaler Organisationsstrukturen / Spezifika

Berücksichtigung nationaler Gesetze

Berücksichtigung von Kundenanforderungen an die Sicherheit ihrerDaten

Einfache Implementierung, Betrieb, Wartung des MDM-Systems

Einfache Nutzungsmöglichkeit durch Anwender

Einfache (länderspezifische) Bereitstellung von Apps

Einfache (länderspezifische) Bereitstellung von Benutzer- / Securityrollen oder –Profilen

Client Name here 31

… ein Lösungsansatz

BearingPoint – extreme Herausforderungen …

• Analyse der Unternehmenssituation

• Festlegung eines unternehmensspezfischenKriterienkataloges

• Marktanalyse der technischen Lösungen in Bezug auf Kriterienkatalog, mit Ergebnis einer Shortlist

• Aufbau Testumgebung

• Test der Systeme aus Shortlist

• Auswahl des finalen Systems

• Entwicklung und Abstimmung Policy

• Entwicklung und Abstimmung firmen- und gerätespezifischer Sicherheitsprofile

• Implementierung Serversystem, Test und Inbetriebnahme

• Entwicklung Support-Konzept / Trainings

• Schulung Support-Personal

• Anwendungstests durch Support-Personal

• Festlegung länderspezifischer Support-Strukturen

• Einbeziehung der verantwortlichen länderspezifischen Ansprechpartner in Rollout-Planung

• Rollout

• Training der in den Ländern verantwortlichen Ansprechpartner

• Information der betroffenen Anwender und länderspezifischer Rollout

• Evaluierung von Apps

• Entwicklung von Apps

• Test von Apps

• Bereitstellung von Apps

• Regelmäßiger Review und Anpassung von

• Policy (jährlich)

• Sicherheitsprofilen (monatlich bzw. bei Bedarf)

• Gerätepark (jährlich bzw. bei Bedarf)

Phase IIIImplementierung

Phase IIDesign

Phase IVorbereitung

Phase IVBetrieb

11/2012 – 01/2013 02/2013 – 10/2013 11/2013 –03/2014

Seit 04/2014

Umfangreiche Abstimmungsrunden zwecksErfüllung von länderspezifischen

Anforderungen an Policy und Securityprofileverzögerten den Rollout Start

Rollout auf Länder-/ Standortbasis

Client Name here 32

Technische Umsetzung

BearingPoint – MDM

Internet

ActiveDirectory

Server

InCountryContract

monitoring& SupportTicketing

1st Level Support

ProfileZertifikate

RegelnUpdates

…

Airwatch-Server

FleetManager

DesktopAdmin

ServiceDesk

BearingPointDataCenter

Intranet

InternetFirewall

& Gateway

Anwender

AW-Client

Produktauswahl

Installation AW-Server im BE Rechenzentrum

Anwender installiert AW-App auf dem mobilen Gerät

Definition, Implementierung und Bereitstellung der Sicherheitsprofile für Mobile Sicherheit auf AirWatch Server

Anwender installiert Sicherheitszertifikate und AW-Profile auf dem mobilen Gerät

Synchronisation von Benutzeraccounts / Berechtigungenzwischen Active Directory und Airwatch Server

(Push-Prinzip AD -> AW)

Definition, Implementierung, Wartung von Berechtigungen, Auswertungen für Admin, Fleet Manager & Service Desk in

Abstimmung mit Stakeholdern (z.B. Betriebsrat etc.)

AirWatch Client prüft Sicherheitseinstellungen des mobilen Gerätes bei jedem Verbindungsaufbau

und meldet Konformität mit Richtlinien

Konformität erfüllt?

Serv

ice

Des

k:1

stle

vel S

up

po

rt

Flee

t M

anag

er:

Mo

nit

ori

ng,

Su

pp

ort

Zugriff auf Systeme gemäß Policy gewährt

Systemzugriff verweigert

JaNein

Ad

min

:3

rdle

vel S

up

po

rt

1

1

2

2

3

3

4

4

5

5

6

6

7a

7a

7b

7b

7c

7c

8

8

8a

8a

8b

8b

9

9

Client Name here 33

1. Genehmigung zur Nutzung privater Geräte restriktiv handhaben oder klar und eindeutig regeln

2. Unklare Eigentumsregelung bzgl. der Geräte (Provider, Unternehmen, Mitarbeiter) in Planung einbeziehen

3. Unklare Regelung der Vertragspartnerschaft (z.B. Service) für die Geräte (Provider, Unternehmen, Mitarbeiter, Hersteller) in Planung einbeziehen

4. Haftungsfragen bei Rechtsverstößen erst klären, dann handeln (z.b. Policy)

5. Vielzahl unterschiedlicher Geräteklassen (inkl. Betriebssysteme und Betriebssystemversionen) vermeiden

6. Unklare Abgrenzung für die Erbringung von Supportleistungen (Help Desk / Service Desk, Provider, App-Anbieter)

7. Keine Vermischung von privaten und geschäftlichen Daten (ggf. über Policy regeln)

8. Unmündigkeit der Anwender bzgl. Mobilen Geräten nicht unterschätzen und rechtzeitig und geeignet aufklären (z.b. Trennung von APP-/Provider-/MDM-Support für Anwender meist nicht selbstverständlich)

9. Mitarbeiterschulungen und Mitarbeitersensibilisierung frühzeitig durchführen

Lehren aus der Praxis für die Praxis – Fallstricke


Client Name here 34

1. Frühzeitige Einbindung ALLER betroffenen Interessengruppen (Management, HR, BR, Legal, IT)

2. Erstellung einer Mobile Device Strategie als erster Schritt

3. Erstellung der Mobile Device Policy basierend auf der Strategie als zweiter Schritt

4. Ausreichend Zeit für die Entwicklung, Abstimmung und Finalisierung der Mobile Device Strategie und Policy einplanen (ca. 20% - 30% der Gesamtlaufzeit des Gesamtprojektes dafür veranschlagen)

5. Produktauswahl, Projektplanung, System-Setup, Rollout erst nach dem zweitem Schritt vornehmen

6. Leistungserbringer für unterschiedliche Supportleistungen klar abgrenzen, definieren und an die Mitarbeiterkommunizieren

7. Mitarbeiterschulungen und Mitarbeitersensibilisierung verständlich aufbereiten und evtl. als Webinar anbieten

8. Regelmäßige Awareness-Trainings zur IT Sicherheit und Sicherheit für mobile Geräte etablieren und anbieten

9. Rollout nicht als Big Bang planen, um die notwendigen unternehmensspezifische Erfahrungen einarbeiten zu können

Lehren aus der Praxis für die Praxis – Tipps


Client Name here 35

Client Name here 36

Ihre Ansprechpartner

Business card

Caroline Neufert

BearingPointKurfürstendamm 207-208

10719 BerlinGermany

[email protected]

T +49 30 88004 2230M +49 174 335 1127

www.bearingpoint.com

Dietrich Heusel

BearingPointErika-Mann-Strasse 9

80636 MünchenGermany

[email protected]

T +49 89 54033 6098M +49 174 312 8268

www.bearingpoint.com

Mobile Security - BearingPoint€¦ · Webinar Oktober 2014. Client Name here 2 Agenda 2...

Documents

Transcript of Mobile Security - BearingPoint€¦ · Webinar Oktober 2014. Client Name here 2 Agenda 2...