SlideShare ist ein Scribd-Unternehmen logo

Unternehmenskommunikation – aber sicher!

Fraunhofer AISEC
Fraunhofer AISEC
Technologie
1 von 16
Downloaden Sie, um offline zu lesen
26.05.2012 Unternehmenskommunikation – aber sicher! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für IT-Sicherheit Fachforum Unternehmenskommunikation Stuttgart, 9.11. 2011 C. Eckert, 9.11.2011 Agenda 1. Motivation 2. Consumerized IT  3. Sicherheitsprobleme und  Risiken 4. Lösungsansätze: Sicherheit als Service? 5. Zusammenfassung C. Eckert, 9.11.2011 1
26.05.2012 1. Motivation Unternehmenskommunikation These:  Unternehmenskommunikation kann • Effektivität und Produktivität verbessern: Effektivität und Produktivität verbessern Information‐sharing, Vermeidung von  redundanten Abläufen, schnell,… • Qualität der Prozesse erhöhen:  Information ist aktuell, vollständig, … Information ist aktuell vollständig • Mitarbeiter‐ und Kunden‐Zufriedenheit  erhöhen Unternehmenskommunikation as a Service! C. Eckert, 9.11.2011 1. Motivation Unternehmenskommunikation als Service Service für Mitarbeiter & Kunden • Kommunikation as a Service Kommunikation as a Service Medienvielfalt, nahtlos, mobil • Information as a Service Austausch: von überall, auch von privaten Geräten • Kooperation as a Service Tools für gemeinsame  Dokumentenbearbei‐ l f k b b tung, Zugriff von überall, mit jedem Gerät Technologie –Thema und Managementaufgabe C. Eckert, 9.11.2011 2
26.05.2012 1. Motivation Unternehmenskommunikation: aber sicher! Herausforderungen • Kontrollierbare Offenheit? Kontrollierbare Offenheit? Vertraulichkeit, Data Leakage Prevention • Beherrschbare Vielfalt und Mobilität?  Einbindung mobiler, privater Geräte  • Sichere digitale Identität? Authentizität versus Privatheit h h • Kultur‐Wandel? Neue  Sicherheits‐ &Kommunikationskultur Consumarization von IT C. Eckert, 9.11.2011 2. Consumerized IT Consumerization neue IKT Technologien, die sich zunächst im Konsumenten‐ Markt etablieren,  dringen in Organisationsstrukturen und Abläufe von Unternehmen vor Consumerization Report 2011  „An increasing number of organizations take a strategic An increasing a strategic approach to Consumerization by providing IT support for personal devices and by deploying new IT tools to secure and manage them.“ Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/ C. Eckert, 9.11.2011 3
26.05.2012 2. Consumerized IT Vorteile für Unternehmen Quelle: Booz & Company, Comsumerization of IT, 2010 Steigerung der Mitarbeiter‐Effektivität: • Recent studies have shown that allowing employees to d h h h ll l use innovative, state‐of‐the‐art devices and services of their own choosing can increase their efficiency.  Steigerung der Mitarbeiter‐Zufriedenheit: • Companies that can offer an IT environment that embraces this new  culture will have an advantage in the fight to hire and retain  talented young employees.  Potential zur Kostensenkung: • Reduced capital expenditures are likely as employees turn to their  own personal devices to perform work, with the added benefit of  lower device management and maintenance costs. C. Eckert, 9.11.2011 2. Consumerized IT Schritt 1: Einbinden persönlicher Endgeräte Consumerization Report 2011: • über 56% der Firmen erlauben persönliche Geräte • Aber  wenig IT Support C. Eckert, 9.11.2011 4
26.05.2012 2. Consumerized IT Beobachtung: Trend setzt sich durch Quelle: Gartner, 2010 C. Eckert, 9.11.2011 2. Consumerized IT Unternehmenskommunikation as a Service Nächste Entwicklungsschritte • Consumerized IT unterstützt den Wunsch nach Flexibilität Consumerized IT unterstützt den Wunsch nach Flexibilität  und Mobilität von Mitarbeitern und Kunden • Einbindung von Sozialen (Business)  Netzen fließende Grenzen: privat, Business • Nutzung von Cloud‐Diensten: Nutzung von Cloud Diensten:  eMails, Termine, CRM etc. in der Cloud  • Effiziente gemeinsame Dokumentenbearbeitung im Web: z.B. mit Google Docs, Dropbox C. Eckert, 9.11.2011 5
26.05.2012 Kommunikation als Service Viele Chancen, aber … Sicherheits- bedenken: • Datensicherheit, • Datenverlust • Einhaltung von gesetzlichen Vorgaben • Verl st der Privatsphäre Verlust Pri atsphäre • Virenverseuchte persönliche Geräte •… Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/ C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Allgemeine Sicherheitsprobleme Enterprise IT security teams indicate that more of them are  concerned about the use of smartphones (46%) than are  concerned about cloud computing (37%) or data center virtualization (34%) Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies- Consumerized-IT-Environment.html Probleme: u.a.  • Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig Governance:  Compliance Prüfung bei Privatgeräten ist schwierig • E‐Discovery: Rechtlich problematischer Zugriff auf Daten von  Privatgeräten durch das  Unternehmen • Datenkontrolle: Default Konfiguration privater Geräte?  Überwachung? Kontrollierter Software‐Update?  C. Eckert, 9.11.2011 6
26.05.2012 3. Sicherheitsprobleme und Risiken Vergleich von Consumerization Modellen Quelle: Booz & Company, Comsumerization of IT, 2010 C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Mobile Endgeräte Risiken mit  (privaten) mobilen Endgeräte • Verlust des Gerätes : Verlust des Gerätes : Zugriff auf sensible Unternehmensdaten, Missbrauch von Identifizierungsdaten • Download von bösartigen Apps, …  Ausspionieren, Manipulieren von Daten;  ‚Durchgriff‘ auf Unternehmens‐IT: umgehen von  Kontrollen, Firewalls, etc. • Private und berufliche Nutzung:   Fehlender Zugangsschutz, sorgloser Umgang C. Eckert, 9.11.2011 7
26.05.2012 3. Sicherheitsprobleme und Risiken Sicherheitsprobleme beim Cloud-Computing Heute: Bedenken : • Volle Kontrolle im • Wer kontrolliert? Unternehmen • Wo sind die Daten? • Speicherorte sind • Wer ist für Backup bekannt verantwortlich? • Backups konfiguriert • Wer besitzt Zu‐ • Zugriffskontrolle griffsrechte? durch i d h eigene Ad iAdmins. • Sind die Daten • IT ist auditierbar verfügbar? • Schutzmechanismen • Wie wird auditiert? sind konfiguriert C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Soziale Netzwerke Quelle: “IT Consumers Transform the Enterprise: Are You Ready?” IDC White Paper, 2011 C. Eckert, 9.11.2011 8
26.05.2012 Zwischenfazit Consumerization & Öffnung erfordert • Kosten‐/Nutzenanalyse  inklusive Sicherheitsanalyse • Anpassung der Unternehmens‐Sicherheitsleitlinien Anpassung der Unternehmens Sicherheitsleitlinien  Beispiele: • Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt  oder untersagt? Wie ist der Support organisiert? • Welche Unternehmensdaten sind unter welchen Umständen  zur Speicherung und/oder Verarbeitung gestattet? zur Speicherung und/oder Verarbeitung gestattet? • Social media Policy: welche Daten sind vertraulich, …. • Was passiert bei Verlust des Geräts, Ausscheiden des  Mitarbeiters? • Wie ist das Backup organisiert? C. Eckert, 9.11.2011 Zwischenfazit Consumerization & Öffnung erfordert • Technische Kontroll‐ und Überprüfungsmaßnahmen: • ‚Health‘ Monitoring, Unternehmens‐App‐Store,… ‚ ea t o to g, U te e e s pp Sto e,… • Sicherheitsschulungen und Awarenessmaßnahmen  • Zielgruppengerechte Schulung • Entwicklung einer unternehmensweiten  Kommunikations‐ und Sicherheitskultur • Eigenverantwortung, Incentivierung Unternehmenskommunikation as a Service:  • Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur   • Basis: Technische (Sicherheits)‐Services C. Eckert, 9.11.2011 9
26.05.2012 4. Technische Lösungsansätze Vielzahl von technischen Einzellösungen • VPN fü i h VPN für sichere Kommunikation K ik i • Zugriffskontrolle auf Datenbanken (Rollen etc.) • Passwort‐basierte Identifizierung • Intrusion Detection in Unternehmen • Backup‐Regelungen • Update‐/Patchmanagement  Trend:  Auch Sicherheit as a Service nutzen C. Eckert, 9.11.2011 4. Lösungsansätze Sichere Identität as a Service eID beim nPA Hoheitlicher Bereich Internet Optional Signatur - Optional Daten für hoheitliche eID-Funktion (Identitätsnachweis) für Signatur für E- Anwendungen E-Government / E-Business (online) Government / (offline) E-Business (online / - Name, Vorname offline) - Gesichtsbild - Ordens-/Künstlername - 2 Fingerabdrücke - Signaturschlüssel - Doktorgrad (optional) - Signaturzertifikat - Geburtsdatum - MRZ-Daten (Name, Vorname, -G b t t Geburtsort für die qualifizierte Geburtsdatum etc.) - Adresse elektronische Signatur - Wohnort-ID nach deutschem Signaturgesetz - Altersverifikation - Verifikation des Wohnorts - Pseudonym - Sperrmerkmal C. Eckert, 9.11.2011 10
26.05.2012 4. Technische Lösungsansätze Sichere Identität as a Service Neuer Personalausweis Seriennummer Persönliche Daten Ablaufdatum Card Access Number (CAN) Machinenlesbare Zone (MRZ) - Doc-Typ, Seriennummer - Geburtsdatum - Ablaufdatum - Name, Vorname Gut verwendbar für Online‐Identifizierung (Portale etc.) Gut verwendbar für Online Identifizierung (Portale etc ) • Identifizierung von Mitarbeitern, Kunden Aber schwierig für flexibleren Einsatz im Unternehmen: • Z.B. Einsatz als Zutrittsausweis ist schwierig C. Eckert, 9.11.2011 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz des Geräts • Nutzer‐definierbarer Passcode • starke Verschlüsselung (AES‐256) von Nutzdaten Schlüssel : nicht auslesbar, mit Passcode schützbar • Keychain: Passcode‐geschützter  Speicher für  Passwörter, Schlüssel, Zertifikate etc.  • Remote Wipe : Löschbefehl und Deaktivierung des Geräts Remote Wipe : Löschbefehl und Deaktivierung des Geräts  über das Mobilfunknetz • Local Wipe: Daten auf dem Gerät werden nach 10       Falscheingaben des Passcodes  gelöscht und gesperrt C. Eckert, 9.11.2011 11
26.05.2012 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz  gegen bösartige Apps • Code Signing g g • Apps werden mit Developer Zertifikat signiert • Vor der Verteilung einer App im AppStore wird diese  zusätzlich von Apple signiert • Unsignierte Apps werden nicht ausgeführt • Application Sandboxing Application Sandboxing • Jede App kann nur auf eigene Dateien/Einstellungen  zugreifen • Kein direkter Zugriff auf OS Ressourcen C. Eckert, 9.11.2011 4. Lösungsansätze Schutzkonzepte von iOS (iPhone, iPad) Gut, aber nicht gut genug • Jailbreak: Erlangung von root‐Rechten auf System g g y • Zugriff auf System, Baseband  und Keychain • Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella • Erkennung von gejailbreakten Geräten durch  Unternehmen schwierig: Gefahr von Malware etc. • Forensische Analysen von verschlüsselten Daten Forensische Analysen von verschlüsselten Daten • Extrahierung von Passcode, Passwörtern, Schlüssel Zusätzliche Sicherheitsservices  sind notwendig: • Passcode Policies, Sperrungen, sichere Konfiguration, … C. Eckert, 9.11.2011 12
26.05.2012 4. Lösungsansätze Nächste Generation sicherer mobiler Endgeräte Noch in der Entwicklung: Isolation: Business/privat Mobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Mobile Public Services Services Quelle: Giesecke&Devrient C. Eckert, 9.11.2011 4. Lösungsansätze Sicheres Cloud-Computing „Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess Checkliste des BSI als Hilfestellung • Schritt 1: Sicherheitsanalyse Planungs- phase • Schritt 2: Auswahl des Dienstleisters • Schritt 3: Vertragsgestaltung Umsetzun g und • Schritt 4: Migration Migration Betriebs- • Schritt 5: Aufrechterhaltung des sicheren Betriebs phase Beendigu • Schritt 6: sichere Beendigung der Auslagerung ng C. Eckert, 9.11.2011 13
26.05.2012 4. Lösungsansätze Cloud-Monitoring Dienste Cloud‐Leitstand des Fraunhofer AISEC  Innovation  Workflow GRC Individuell konfigurierbare Individuell konfigurierbare die für Cloud Manager Manager Policy Metrics Monitoringdienste Manager Manager  Datenflußanalyse,  … PLUGINS Application Log‐Überwachung, Modelle Vorlagen Event Bus Application Server DSL Interpreter Störfallmonitoring, … App Controller Complex Event Processing p g … Java VM MONITORING FRAMEWORK Virtuelle Maschine Virtuelle Maschine Xen / KVM Hypervisor Betriebssystem C. Eckert, 9.11.2011 4. Lösungsansätze Sichere Mail: „as a Service? De‐Mail: Verschlüsselt, authentisch, nachweisbar C. Eckert, 9.11.2011 14
26.05.2012 4. Lösungsansätze Sichere Mail: „as a Service? ePostbrief: vergleichbare Ziele wie De‐Mail Absenderidentität:  • Registrierung mit   POSTIDENT Vertraulich:  • verschlüsselter ePostBrief Verlässlich:  Verlässlich: • Absender erhält Bestätigung  über  Versand, Zustellung  Sichere Mail‐Service: Strukturen sind anzupassen C. Eckert, 9.11.2011 4. Lösungsansätze Fazit Sichere Unternehmenskommunikation as a Service • Viele Einzellösungen sind vorhanden, aber  • ein Bauplan für das Gesamtsystem ist erforderlich! • Kombination der Einzellösungen  u e e t ag ä ge Syste zu einem tragfähigen System • Individuelle Anforderungen sind zu beachten • ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem Markt C. Eckert, 9.11.2011 15
26.05.2012 5. Zusammenfassung Unternehmenskommunikation as a Service • Viele Chancen: Effektivität, Zufriedenheit, Kosten Customerized IT ist ein wichtiger Trend hierfür • Medienvielfalt, always‐on, ubiquitärer Zugriff Heterogenität, Offenheit und Mobilität: • Vielzahl von Sicherheitsproblemen & Risiken Umfassendes Konzept erforderlich: • Technisch, organisatorisch, Awareness, Kultur Unternehmenskommunikation als Dienstleistung:  Eine Investition in die Zukunftsfähigkeit! Aber sicher! C. Eckert, 9.11.2011 Vielen Dank für Ihre Aufmerksamkeit Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: E M il claudia.eckert@aisec.fraunhofer.de l di k t@ i f h f d Internet: http://www.aisec.fraunhofer.de C. Eckert, 9.11.2011 32 16

Empfohlen

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceFraunhofer AISEC
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Praxistage
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02SuperB2
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 

Empfohlen

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceFraunhofer AISEC
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Praxistage
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02SuperB2
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 
1propagation
1propagation1propagation
1propagationCanzie
 
Pbh
PbhPbh
PbhPatricia carolina Baez Herrera
 
Team Building Patricia Baez
Team Building Patricia BaezTeam Building Patricia Baez
Team Building Patricia BaezPatricia carolina Baez Herrera
 
Raid 091113193838-phpapp01
Raid 091113193838-phpapp01Raid 091113193838-phpapp01
Raid 091113193838-phpapp01basca4
 
Head Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding CoachHead Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding CoachPatricia carolina Baez Herrera
 
Cittadinanza.diritto
Cittadinanza.dirittoCittadinanza.diritto
Cittadinanza.dirittoGabriele Giordano
 
Cittadinanza.diritto
Cittadinanza.dirittoCittadinanza.diritto
Cittadinanza.dirittoGabriele Giordano
 
Patricia carolina baez herrera 2
Patricia carolina baez herrera 2Patricia carolina baez herrera 2
Patricia carolina baez herrera 2Patricia carolina Baez Herrera
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsFraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
Password based door locking system
Password based door locking systemPassword based door locking system
Password based door locking systemArjun Singh
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenUniversity St. Gallen
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Citirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisCitirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisDigicomp Academy AG
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 

Weitere ähnliche Inhalte

Andere mochten auch

40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 
1propagation
1propagation1propagation
1propagationCanzie
 
Raid 091113193838-phpapp01
Raid 091113193838-phpapp01Raid 091113193838-phpapp01
Raid 091113193838-phpapp01basca4
 
Head Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding CoachHead Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding CoachPatricia carolina Baez Herrera
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsFraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
Password based door locking system
Password based door locking systemPassword based door locking system
Password based door locking systemArjun Singh
 

Andere mochten auch (16)

40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
1propagation
1propagation1propagation
1propagation
 
Pbh
PbhPbh
Pbh
 
Team Building Patricia Baez
Team Building Patricia BaezTeam Building Patricia Baez
Team Building Patricia Baez
 
Raid 091113193838-phpapp01
Raid 091113193838-phpapp01Raid 091113193838-phpapp01
Raid 091113193838-phpapp01
 
Head Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding CoachHead Hunter,Liderazgo, Patricia Baez Teambuilding Coach
Head Hunter,Liderazgo, Patricia Baez Teambuilding Coach
 
Cittadinanza.diritto
Cittadinanza.dirittoCittadinanza.diritto
Cittadinanza.diritto
 
Cittadinanza.diritto
Cittadinanza.dirittoCittadinanza.diritto
Cittadinanza.diritto
 
Patricia carolina baez herrera 2
Patricia carolina baez herrera 2Patricia carolina baez herrera 2
Patricia carolina baez herrera 2
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
Password based door locking system
Password based door locking systemPassword based door locking system
Password based door locking system
 

Ähnlich wie Unternehmenskommunikation – aber sicher!

Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenUniversity St. Gallen
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Citirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisCitirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisDigicomp Academy AG
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Trends in der digitalen Analyse
Trends in der digitalen AnalyseTrends in der digitalen Analyse
Trends in der digitalen AnalyseUnic
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!AFF Group
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICTChris H. Leeb
 
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...Christian Ruf
 
Enterprise Knowledge Networking - a HowTo
Enterprise Knowledge Networking - a HowToEnterprise Knowledge Networking - a HowTo
Enterprise Knowledge Networking - a HowToThomas Kunz
 

Ähnlich wie Unternehmenskommunikation – aber sicher! (20)

Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und Herausforderungen
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) Device
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
 
Citirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisCitirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der Praxis
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
 
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
[DE] Aktuelle Entwicklungen im Information Management | Vereon Entscheiderfor...
 
Linked Open Data Business
Linked Open Data BusinessLinked Open Data Business
Linked Open Data Business
 
Trends in der digitalen Analyse
Trends in der digitalen AnalyseTrends in der digitalen Analyse
Trends in der digitalen Analyse
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICT
 
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...
St.Gallen Mobile Business Forum 2014 - Keynote IWI HSG Prof. Dr. Andrea Back ...
 
Enterprise Knowledge Networking - a HowTo
Enterprise Knowledge Networking - a HowToEnterprise Knowledge Networking - a HowTo
Enterprise Knowledge Networking - a HowTo
 

Mehr von Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthFraunhofer AISEC
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftFraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity ManagementFraunhofer AISEC
 
Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012Fraunhofer AISEC
 
tapndrop - secure information sharing
tapndrop - secure information sharingtapndrop - secure information sharing
tapndrop - secure information sharingFraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 
Product Protection
Product ProtectionProduct Protection
Product Protection
 
Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012
 
tapndrop - secure information sharing
tapndrop - secure information sharingtapndrop - secure information sharing
tapndrop - secure information sharing
 

Unternehmenskommunikation – aber sicher!

  • 1. 26.05.2012 Unternehmenskommunikation – aber sicher! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für IT-Sicherheit Fachforum Unternehmenskommunikation Stuttgart, 9.11. 2011 C. Eckert, 9.11.2011 Agenda 1. Motivation 2. Consumerized IT  3. Sicherheitsprobleme und  Risiken 4. Lösungsansätze: Sicherheit als Service? 5. Zusammenfassung C. Eckert, 9.11.2011 1
  • 2. 26.05.2012 1. Motivation Unternehmenskommunikation These:  Unternehmenskommunikation kann • Effektivität und Produktivität verbessern: Effektivität und Produktivität verbessern Information‐sharing, Vermeidung von  redundanten Abläufen, schnell,… • Qualität der Prozesse erhöhen:  Information ist aktuell, vollständig, … Information ist aktuell vollständig • Mitarbeiter‐ und Kunden‐Zufriedenheit  erhöhen Unternehmenskommunikation as a Service! C. Eckert, 9.11.2011 1. Motivation Unternehmenskommunikation als Service Service für Mitarbeiter & Kunden • Kommunikation as a Service Kommunikation as a Service Medienvielfalt, nahtlos, mobil • Information as a Service Austausch: von überall, auch von privaten Geräten • Kooperation as a Service Tools für gemeinsame  Dokumentenbearbei‐ l f k b b tung, Zugriff von überall, mit jedem Gerät Technologie –Thema und Managementaufgabe C. Eckert, 9.11.2011 2
  • 3. 26.05.2012 1. Motivation Unternehmenskommunikation: aber sicher! Herausforderungen • Kontrollierbare Offenheit? Kontrollierbare Offenheit? Vertraulichkeit, Data Leakage Prevention • Beherrschbare Vielfalt und Mobilität?  Einbindung mobiler, privater Geräte  • Sichere digitale Identität? Authentizität versus Privatheit h h • Kultur‐Wandel? Neue  Sicherheits‐ &Kommunikationskultur Consumarization von IT C. Eckert, 9.11.2011 2. Consumerized IT Consumerization neue IKT Technologien, die sich zunächst im Konsumenten‐ Markt etablieren,  dringen in Organisationsstrukturen und Abläufe von Unternehmen vor Consumerization Report 2011  „An increasing number of organizations take a strategic An increasing a strategic approach to Consumerization by providing IT support for personal devices and by deploying new IT tools to secure and manage them.“ Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/ C. Eckert, 9.11.2011 3
  • 4. 26.05.2012 2. Consumerized IT Vorteile für Unternehmen Quelle: Booz & Company, Comsumerization of IT, 2010 Steigerung der Mitarbeiter‐Effektivität: • Recent studies have shown that allowing employees to d h h h ll l use innovative, state‐of‐the‐art devices and services of their own choosing can increase their efficiency.  Steigerung der Mitarbeiter‐Zufriedenheit: • Companies that can offer an IT environment that embraces this new  culture will have an advantage in the fight to hire and retain  talented young employees.  Potential zur Kostensenkung: • Reduced capital expenditures are likely as employees turn to their  own personal devices to perform work, with the added benefit of  lower device management and maintenance costs. C. Eckert, 9.11.2011 2. Consumerized IT Schritt 1: Einbinden persönlicher Endgeräte Consumerization Report 2011: • über 56% der Firmen erlauben persönliche Geräte • Aber  wenig IT Support C. Eckert, 9.11.2011 4
  • 5. 26.05.2012 2. Consumerized IT Beobachtung: Trend setzt sich durch Quelle: Gartner, 2010 C. Eckert, 9.11.2011 2. Consumerized IT Unternehmenskommunikation as a Service Nächste Entwicklungsschritte • Consumerized IT unterstützt den Wunsch nach Flexibilität Consumerized IT unterstützt den Wunsch nach Flexibilität  und Mobilität von Mitarbeitern und Kunden • Einbindung von Sozialen (Business)  Netzen fließende Grenzen: privat, Business • Nutzung von Cloud‐Diensten: Nutzung von Cloud Diensten:  eMails, Termine, CRM etc. in der Cloud  • Effiziente gemeinsame Dokumentenbearbeitung im Web: z.B. mit Google Docs, Dropbox C. Eckert, 9.11.2011 5
  • 6. 26.05.2012 Kommunikation als Service Viele Chancen, aber … Sicherheits- bedenken: • Datensicherheit, • Datenverlust • Einhaltung von gesetzlichen Vorgaben • Verl st der Privatsphäre Verlust Pri atsphäre • Virenverseuchte persönliche Geräte •… Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/ C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Allgemeine Sicherheitsprobleme Enterprise IT security teams indicate that more of them are  concerned about the use of smartphones (46%) than are  concerned about cloud computing (37%) or data center virtualization (34%) Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies- Consumerized-IT-Environment.html Probleme: u.a.  • Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig Governance:  Compliance Prüfung bei Privatgeräten ist schwierig • E‐Discovery: Rechtlich problematischer Zugriff auf Daten von  Privatgeräten durch das  Unternehmen • Datenkontrolle: Default Konfiguration privater Geräte?  Überwachung? Kontrollierter Software‐Update?  C. Eckert, 9.11.2011 6
  • 7. 26.05.2012 3. Sicherheitsprobleme und Risiken Vergleich von Consumerization Modellen Quelle: Booz & Company, Comsumerization of IT, 2010 C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Mobile Endgeräte Risiken mit  (privaten) mobilen Endgeräte • Verlust des Gerätes : Verlust des Gerätes : Zugriff auf sensible Unternehmensdaten, Missbrauch von Identifizierungsdaten • Download von bösartigen Apps, …  Ausspionieren, Manipulieren von Daten;  ‚Durchgriff‘ auf Unternehmens‐IT: umgehen von  Kontrollen, Firewalls, etc. • Private und berufliche Nutzung:   Fehlender Zugangsschutz, sorgloser Umgang C. Eckert, 9.11.2011 7
  • 8. 26.05.2012 3. Sicherheitsprobleme und Risiken Sicherheitsprobleme beim Cloud-Computing Heute: Bedenken : • Volle Kontrolle im • Wer kontrolliert? Unternehmen • Wo sind die Daten? • Speicherorte sind • Wer ist für Backup bekannt verantwortlich? • Backups konfiguriert • Wer besitzt Zu‐ • Zugriffskontrolle griffsrechte? durch i d h eigene Ad iAdmins. • Sind die Daten • IT ist auditierbar verfügbar? • Schutzmechanismen • Wie wird auditiert? sind konfiguriert C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Soziale Netzwerke Quelle: “IT Consumers Transform the Enterprise: Are You Ready?” IDC White Paper, 2011 C. Eckert, 9.11.2011 8
  • 9. 26.05.2012 Zwischenfazit Consumerization & Öffnung erfordert • Kosten‐/Nutzenanalyse  inklusive Sicherheitsanalyse • Anpassung der Unternehmens‐Sicherheitsleitlinien Anpassung der Unternehmens Sicherheitsleitlinien  Beispiele: • Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt  oder untersagt? Wie ist der Support organisiert? • Welche Unternehmensdaten sind unter welchen Umständen  zur Speicherung und/oder Verarbeitung gestattet? zur Speicherung und/oder Verarbeitung gestattet? • Social media Policy: welche Daten sind vertraulich, …. • Was passiert bei Verlust des Geräts, Ausscheiden des  Mitarbeiters? • Wie ist das Backup organisiert? C. Eckert, 9.11.2011 Zwischenfazit Consumerization & Öffnung erfordert • Technische Kontroll‐ und Überprüfungsmaßnahmen: • ‚Health‘ Monitoring, Unternehmens‐App‐Store,… ‚ ea t o to g, U te e e s pp Sto e,… • Sicherheitsschulungen und Awarenessmaßnahmen  • Zielgruppengerechte Schulung • Entwicklung einer unternehmensweiten  Kommunikations‐ und Sicherheitskultur • Eigenverantwortung, Incentivierung Unternehmenskommunikation as a Service:  • Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur   • Basis: Technische (Sicherheits)‐Services C. Eckert, 9.11.2011 9
  • 10. 26.05.2012 4. Technische Lösungsansätze Vielzahl von technischen Einzellösungen • VPN fü i h VPN für sichere Kommunikation K ik i • Zugriffskontrolle auf Datenbanken (Rollen etc.) • Passwort‐basierte Identifizierung • Intrusion Detection in Unternehmen • Backup‐Regelungen • Update‐/Patchmanagement  Trend:  Auch Sicherheit as a Service nutzen C. Eckert, 9.11.2011 4. Lösungsansätze Sichere Identität as a Service eID beim nPA Hoheitlicher Bereich Internet Optional Signatur - Optional Daten für hoheitliche eID-Funktion (Identitätsnachweis) für Signatur für E- Anwendungen E-Government / E-Business (online) Government / (offline) E-Business (online / - Name, Vorname offline) - Gesichtsbild - Ordens-/Künstlername - 2 Fingerabdrücke - Signaturschlüssel - Doktorgrad (optional) - Signaturzertifikat - Geburtsdatum - MRZ-Daten (Name, Vorname, -G b t t Geburtsort für die qualifizierte Geburtsdatum etc.) - Adresse elektronische Signatur - Wohnort-ID nach deutschem Signaturgesetz - Altersverifikation - Verifikation des Wohnorts - Pseudonym - Sperrmerkmal C. Eckert, 9.11.2011 10
  • 11. 26.05.2012 4. Technische Lösungsansätze Sichere Identität as a Service Neuer Personalausweis Seriennummer Persönliche Daten Ablaufdatum Card Access Number (CAN) Machinenlesbare Zone (MRZ) - Doc-Typ, Seriennummer - Geburtsdatum - Ablaufdatum - Name, Vorname Gut verwendbar für Online‐Identifizierung (Portale etc.) Gut verwendbar für Online Identifizierung (Portale etc ) • Identifizierung von Mitarbeitern, Kunden Aber schwierig für flexibleren Einsatz im Unternehmen: • Z.B. Einsatz als Zutrittsausweis ist schwierig C. Eckert, 9.11.2011 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz des Geräts • Nutzer‐definierbarer Passcode • starke Verschlüsselung (AES‐256) von Nutzdaten Schlüssel : nicht auslesbar, mit Passcode schützbar • Keychain: Passcode‐geschützter  Speicher für  Passwörter, Schlüssel, Zertifikate etc.  • Remote Wipe : Löschbefehl und Deaktivierung des Geräts Remote Wipe : Löschbefehl und Deaktivierung des Geräts  über das Mobilfunknetz • Local Wipe: Daten auf dem Gerät werden nach 10       Falscheingaben des Passcodes  gelöscht und gesperrt C. Eckert, 9.11.2011 11
  • 12. 26.05.2012 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz  gegen bösartige Apps • Code Signing g g • Apps werden mit Developer Zertifikat signiert • Vor der Verteilung einer App im AppStore wird diese  zusätzlich von Apple signiert • Unsignierte Apps werden nicht ausgeführt • Application Sandboxing Application Sandboxing • Jede App kann nur auf eigene Dateien/Einstellungen  zugreifen • Kein direkter Zugriff auf OS Ressourcen C. Eckert, 9.11.2011 4. Lösungsansätze Schutzkonzepte von iOS (iPhone, iPad) Gut, aber nicht gut genug • Jailbreak: Erlangung von root‐Rechten auf System g g y • Zugriff auf System, Baseband  und Keychain • Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella • Erkennung von gejailbreakten Geräten durch  Unternehmen schwierig: Gefahr von Malware etc. • Forensische Analysen von verschlüsselten Daten Forensische Analysen von verschlüsselten Daten • Extrahierung von Passcode, Passwörtern, Schlüssel Zusätzliche Sicherheitsservices  sind notwendig: • Passcode Policies, Sperrungen, sichere Konfiguration, … C. Eckert, 9.11.2011 12
  • 13. 26.05.2012 4. Lösungsansätze Nächste Generation sicherer mobiler Endgeräte Noch in der Entwicklung: Isolation: Business/privat Mobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Mobile Public Services Services Quelle: Giesecke&Devrient C. Eckert, 9.11.2011 4. Lösungsansätze Sicheres Cloud-Computing „Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess Checkliste des BSI als Hilfestellung • Schritt 1: Sicherheitsanalyse Planungs- phase • Schritt 2: Auswahl des Dienstleisters • Schritt 3: Vertragsgestaltung Umsetzun g und • Schritt 4: Migration Migration Betriebs- • Schritt 5: Aufrechterhaltung des sicheren Betriebs phase Beendigu • Schritt 6: sichere Beendigung der Auslagerung ng C. Eckert, 9.11.2011 13
  • 14. 26.05.2012 4. Lösungsansätze Cloud-Monitoring Dienste Cloud‐Leitstand des Fraunhofer AISEC  Innovation  Workflow GRC Individuell konfigurierbare Individuell konfigurierbare die für Cloud Manager Manager Policy Metrics Monitoringdienste Manager Manager  Datenflußanalyse,  … PLUGINS Application Log‐Überwachung, Modelle Vorlagen Event Bus Application Server DSL Interpreter Störfallmonitoring, … App Controller Complex Event Processing p g … Java VM MONITORING FRAMEWORK Virtuelle Maschine Virtuelle Maschine Xen / KVM Hypervisor Betriebssystem C. Eckert, 9.11.2011 4. Lösungsansätze Sichere Mail: „as a Service? De‐Mail: Verschlüsselt, authentisch, nachweisbar C. Eckert, 9.11.2011 14
  • 15. 26.05.2012 4. Lösungsansätze Sichere Mail: „as a Service? ePostbrief: vergleichbare Ziele wie De‐Mail Absenderidentität:  • Registrierung mit   POSTIDENT Vertraulich:  • verschlüsselter ePostBrief Verlässlich:  Verlässlich: • Absender erhält Bestätigung  über  Versand, Zustellung  Sichere Mail‐Service: Strukturen sind anzupassen C. Eckert, 9.11.2011 4. Lösungsansätze Fazit Sichere Unternehmenskommunikation as a Service • Viele Einzellösungen sind vorhanden, aber  • ein Bauplan für das Gesamtsystem ist erforderlich! • Kombination der Einzellösungen  u e e t ag ä ge Syste zu einem tragfähigen System • Individuelle Anforderungen sind zu beachten • ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem Markt C. Eckert, 9.11.2011 15
  • 16. 26.05.2012 5. Zusammenfassung Unternehmenskommunikation as a Service • Viele Chancen: Effektivität, Zufriedenheit, Kosten Customerized IT ist ein wichtiger Trend hierfür • Medienvielfalt, always‐on, ubiquitärer Zugriff Heterogenität, Offenheit und Mobilität: • Vielzahl von Sicherheitsproblemen & Risiken Umfassendes Konzept erforderlich: • Technisch, organisatorisch, Awareness, Kultur Unternehmenskommunikation als Dienstleistung:  Eine Investition in die Zukunftsfähigkeit! Aber sicher! C. Eckert, 9.11.2011 Vielen Dank für Ihre Aufmerksamkeit Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: E M il claudia.eckert@aisec.fraunhofer.de l di k t@ i f h f d Internet: http://www.aisec.fraunhofer.de C. Eckert, 9.11.2011 32 16