Digicomp Academy AG, profile picture
Hochgeladen vonDigicomp Academy AG
1,127 aufrufe

iOS Security

Das Dokument beschreibt die IT-Sicherheitsherausforderungen im Umgang mit mobilen Geräten und bietet einen Überblick über Sicherheitslösungen für iOS-Geräte. Es werden wichtige Punkte wie Device Management, Absicherung von Unternehmensdaten, Risiken durch Jailbreaks und Malware sowie Best Practices für die sichere Nutzung dargestellt. Eine Checkliste für den sicheren Businesseinsatz wird ebenfalls bereitgestellt.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
5/16/13 1 iOS Security Digicomp Hacking Day 2013 marco.bolliger@infotrust.ch 16.05.2013 Zur meiner Person 5/16/13 Info Trust AG2 Marco Bolliger Zur Person: •  Head Client-/Server Security und Gründungsmitglied der InfoTrust AG •  Studium EMBA / FH •  Studium Elektroingenieur / HTL •  >10 Jahre IT-Security-Erfahrung Meine Kontaktdaten: T. +41 43 4777010 marco.bolliger@infotrust.ch
5/16/13 2 Gründung 2002 Gesellschafts- form 100% selbstfinanzierte AG Umsatz 12.5 Mio. CHF Mitarbeiter 31 Kunden 150 Zur InfoTrust AG InfoTrust Lösungen & Services
5/16/13 3 InfoTrust Partner •  Was sind die Herausforderungen beim Einsatz mobiler Geräte? •  Überblick der Sicherheitsmöglichkeiten von iPhone/iPad •  Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden? •  Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)? •  Aufzeigen einer Checkliste für den sicheren Businesseinsatz •  Förderung der Awareness Ziele
5/16/13 4 5/16/13 Info Trust AG7 •  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013) •  davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010) •  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt? 1999 2002 2007 2008 2010 Nokia 7110 BlackBerry iPhone Android iPad PocketPC 2012 WP8 2013 BB 10 Mobile Device Market 5/16/13 Info Trust AG8 Mobile OS – Weltweite Verteilung
5/16/13 5 5/16/13 Info Trust AG9 Mobile OS – Weltweite Verteilung 5/16/13 Info Trust AG10 Mobile OS – Schweiz
5/16/13 6 5/16/13 Info Trust AG11 Mobile OS – Schweiz 5/16/13 Info Trust AG12 Herausforderungen für die IT Abteilung •  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies? •  Wem gehören die mobilen Geräte (BYOD)? •  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt? •  Schutz der Daten auf den mobilen Geräten •  Trennung zwischen Privat- und Unternehmensdaten •  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps) •  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte •  IT Betrieb bzw. Support 7x24h
5/16/13 7 5/16/13 Info Trust AG13 Sicherer Zugriff auf Unternehmensdaten •  Microsoft ActiveSync •  VPN •  Virtuelle Desktops •  Enterprise Apps •  Eigene Apps •  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum? 5/16/13 Info Trust AG14 iOS Application Security •  Sichere Architektur durch App Sandbox •  Kein Zugriff auf Daten einer anderen App •  Jede App muss digital signiert werden •  Nur signierte Apps werden ausgeführt •  iOS Developer Program •  Ad Hoc Distribution bis 100 Geräte •  In-House Verteilung möglich (iOS Developer Enterprise) •  Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple Quelle: Apple
5/16/13 8 Apple App Store – Verifikation durch Apple 5/16/13 Info Trust AG15 •  Functionality •  Metadata, ratings and rankings •  Location •  Push notifications •  Game Center •  iAds •  Trademarks and trade dress •  Media content •  User interface •  Purchasing and currencies •  Scraping and aggregation •  Damage to device •  Personal attacks •  Violence •  Objectionable content •  Privacy •  Pornography •  Religion, culture, and ethnicity •  Contests, sweepstakes, lotteries, and raffles •  Charities and contributions •  Legal requirements Quelle: Apple Guidelines October 2011 5/16/13 Info Trust AG16 iOS Sicherheitsfunktionen •  Device Security – Zugriffschutz mittels Passcode •  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0) •  Policy Enforcement und Device Restrictions •  Secure Device Configuration – verschlüsselte Configuration Profiles •  Remote und Local Wipe (basierend auf Full Disk Encryption) •  Network Security – VPN, SSL/TLS und WPA/WPA2 •  Secure Authentication Framework – Keychain – x509v3 Zertifikate •  Security Framework (API)
5/16/13 9 5/16/13 Info Trust AG17 Malware auf mobilen Geräten Quelle: McAfee Threats Reports Q1/2012Q2/2011 Q4/2012 5/16/13 Info Trust AG18 iOS Sicherheitslücken und Malware •  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen •  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes •  MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler •  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak •  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4 •  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen •  iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich •  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion
5/16/13 10 5/16/13 Info Trust AG19 Jailbreak •  Sicherheitsmechanismen und Restriktionen des iOS umgehen •  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System) •  Eigene Applikationen installieren •  Ausnutzen einer Sicherheitslücke •  Resultat: Sicherheitsrisiken entstehen! 5/16/13 Info Trust AG20 Data Protection •  Verschlüsselte Dateien •  Key Chain •  Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,… •  Applikation hat nur Zugang auf eigene Daten Device Key (Hardware) Protected File Passcode (User) Class Key File Key File Meta Data
5/16/13 11 5/16/13 Info Trust AG21 Live Demo – Bruteforce Attacke auf Daten Boot des iPhones im DFU Modus mit modifiziertem OS SSH Verbindung aufbauen über USB Anschluss 1 2 Mounten der internen System- und Daten-Disks 3 Zugriff nur auf ungeschützte Dateien möglich Bruteforce Attacke, um Passcode zu erraten 4 5 Zugriff auch auf geschützte Dateien möglich 6 5/16/13 Info Trust AG22 Bruteforce Erfolge nach Passwortlänge •  4 Stellen numerisch : max. 30 Minuten •  6 Stellen numerisch : max. 50 Stunden •  8 Stellen numerisch : max. 208 Tage •  6 Stellen alphanumerisch : max. 360 Jahre •  iPhone 4, im extremsten Fall, ohne Ausschlüsse
5/16/13 12 5/16/13 Info Trust AG23 Backup •  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich •  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz •  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz) •  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner 5/16/13 Info Trust AG24 Backup •  Backups können verschlüsselt abgelegt werden – dringend empfohlen •  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts •  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind •  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird. •  Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien
5/16/13 13 5/16/13 Info Trust AG25 Live Demo – Backup Datei auslesen 5/16/13 Info Trust AG26 Mobile Device Management - MDM •  Daten auf die mobilen Geräte synchronisieren •  Betriebssystemeinstellungen vom iOS zentral konfigurieren •  Sicherheitspolicies umsetzen •  Geräte überwachen und inventarisieren •  Geräte oder Daten löschen von Remote
5/16/13 14 5/16/13 Info Trust AG27 Gerätemanagement – 3 Ansätze •  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien) •  Configuration Utility via USB •  Download mit Safari Browser •  Versand via E-Mail •  Exchange Active Sync Policies •  Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller) 5/16/13 Info Trust AG28 Gerätemanagement – 3 Ansätze Manuelle Konfiguration Exchange ActiveSync MDM System Ausrollprozess Aufwändig Einfach Sehr Einfach Überwachung Gerätestatus Remote Administration (lock, wipe, reset, update) Sicherheitseinstellungen Policy Updates über die Luft (OTA)
5/16/13 15 5/16/13 Info Trust AG29 Checkliste für den sicheren Businesseinsatz •  Security Policy und Benutzungsrichtlinien für mobile Geräte •  Benutzer Awareness •  Jailbreak und Einsatz im Unternehmen passen nicht zusammen •  Passcode mindestens 8 Stellen (nummerisch) •  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt •  Zentrales Mobile Device Management •  Compliance Prüfung und Reporting •  Definition wo die Daten liegen Haben Sie noch Fragen ??? Vielen Dank für Ihre Aufmerksamkeit.

Weitere ähnliche Inhalte

PDF
eDay Wlan & Security auf der Skipiste
vonUnwired Networks GmbH
 
PDF
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
vongo4mobile ag
 
PPTX
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
vonFujitsu Central Europe
 
PDF
We4IT docLinkr (de)
vonWe4IT Group
 
PDF
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
vonDigicomp Academy AG
 
PDF
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
vonDigicomp Academy AG
 
PDF
Aktuelles zu ISO 27000
vonDigicomp Academy AG
 
PDF
Highlights in Illustrator CS6
vonDigicomp Academy AG
 
eDay Wlan & Security auf der Skipiste
vonUnwired Networks GmbH
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
vongo4mobile ag
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
vonFujitsu Central Europe
 
We4IT docLinkr (de)
vonWe4IT Group
 
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
vonDigicomp Academy AG
 
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
vonDigicomp Academy AG
 
Aktuelles zu ISO 27000
vonDigicomp Academy AG
 
Highlights in Illustrator CS6
vonDigicomp Academy AG
 

Ähnlich wie iOS Security

PDF
Rahmenbedingungen mobile security
vonPeter Teufl
 
PPT
Fachfrühstück iPhone Juni 2010
vongo4mobile
 
PDF
Das iPad sicher im Unternehmen einsetzen
vonjekel & team
 
PPT
iPad sicher im Unternehmen einsetzen
vonjekel & team
 
PDF
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
vonmVISEAG
 
PDF
Internet of (Every)Thing
vonFraunhofer AISEC
 
Rahmenbedingungen mobile security
vonPeter Teufl
 
Fachfrühstück iPhone Juni 2010
vongo4mobile
 
Das iPad sicher im Unternehmen einsetzen
vonjekel & team
 
iPad sicher im Unternehmen einsetzen
vonjekel & team
 
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
vonmVISEAG
 
Internet of (Every)Thing
vonFraunhofer AISEC
 

Mehr von Digicomp Academy AG

PDF
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
vonDigicomp Academy AG
 
PDF
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
vonDigicomp Academy AG
 
PPTX
Innovation durch kollaboration gennex 2018
vonDigicomp Academy AG
 
PDF
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
vonDigicomp Academy AG
 
PDF
Roger basler meetup_21082018_work-smarter-not-harder_handout
vonDigicomp Academy AG
 
PDF
Xing expertendialog zu nudge unit x
vonDigicomp Academy AG
 
PDF
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
vonDigicomp Academy AG
 
PDF
IPv6 Security Talk mit Joe Klein
vonDigicomp Academy AG
 
PDF
Agiles Management - Wie geht das?
vonDigicomp Academy AG
 
PPTX
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
vonDigicomp Academy AG
 
PDF
Querdenken mit Kreativitätsmethoden – XING Expertendialog
vonDigicomp Academy AG
 
PDF
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
vonDigicomp Academy AG
 
PDF
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
vonDigicomp Academy AG
 
PDF
UX – Schlüssel zum Erfolg im Digital Business
vonDigicomp Academy AG
 
PDF
Minenfeld IPv6
vonDigicomp Academy AG
 
PDF
Was ist design thinking
vonDigicomp Academy AG
 
PDF
Die IPv6 Journey der ETH Zürich
vonDigicomp Academy AG
 
PDF
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
vonDigicomp Academy AG
 
PDF
General data protection regulation-slides
vonDigicomp Academy AG
 
PDF
Möglichkeiten der Online-Werbung - Referat von Matteo Schürch
vonDigicomp Academy AG
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
vonDigicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
vonDigicomp Academy AG
 
Innovation durch kollaboration gennex 2018
vonDigicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
vonDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
vonDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
vonDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
vonDigicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
vonDigicomp Academy AG
 
Agiles Management - Wie geht das?
vonDigicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
vonDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
vonDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
vonDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
vonDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
vonDigicomp Academy AG
 
Minenfeld IPv6
vonDigicomp Academy AG
 
Was ist design thinking
vonDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
vonDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
vonDigicomp Academy AG
 
General data protection regulation-slides
vonDigicomp Academy AG
 
Möglichkeiten der Online-Werbung - Referat von Matteo Schürch
vonDigicomp Academy AG
 

iOS Security

  • 1.
    5/16/13 1 iOS Security DigicompHacking Day 2013 marco.bolliger@infotrust.ch 16.05.2013 Zur meiner Person 5/16/13 Info Trust AG2 Marco Bolliger Zur Person: •  Head Client-/Server Security und Gründungsmitglied der InfoTrust AG •  Studium EMBA / FH •  Studium Elektroingenieur / HTL •  >10 Jahre IT-Security-Erfahrung Meine Kontaktdaten: T. +41 43 4777010 marco.bolliger@infotrust.ch
  • 2.
    5/16/13 2 Gründung 2002 Gesellschafts- form 100%selbstfinanzierte AG Umsatz 12.5 Mio. CHF Mitarbeiter 31 Kunden 150 Zur InfoTrust AG InfoTrust Lösungen & Services
  • 3.
    5/16/13 3 InfoTrust Partner • Was sind die Herausforderungen beim Einsatz mobiler Geräte? •  Überblick der Sicherheitsmöglichkeiten von iPhone/iPad •  Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden? •  Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)? •  Aufzeigen einer Checkliste für den sicheren Businesseinsatz •  Förderung der Awareness Ziele
  • 4.
    5/16/13 4 5/16/13 InfoTrust AG7 •  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013) •  davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010) •  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt? 1999 2002 2007 2008 2010 Nokia 7110 BlackBerry iPhone Android iPad PocketPC 2012 WP8 2013 BB 10 Mobile Device Market 5/16/13 Info Trust AG8 Mobile OS – Weltweite Verteilung
  • 5.
    5/16/13 5 5/16/13 InfoTrust AG9 Mobile OS – Weltweite Verteilung 5/16/13 Info Trust AG10 Mobile OS – Schweiz
  • 6.
    5/16/13 6 5/16/13 InfoTrust AG11 Mobile OS – Schweiz 5/16/13 Info Trust AG12 Herausforderungen für die IT Abteilung •  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies? •  Wem gehören die mobilen Geräte (BYOD)? •  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt? •  Schutz der Daten auf den mobilen Geräten •  Trennung zwischen Privat- und Unternehmensdaten •  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps) •  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte •  IT Betrieb bzw. Support 7x24h
  • 7.
    5/16/13 7 5/16/13 InfoTrust AG13 Sicherer Zugriff auf Unternehmensdaten •  Microsoft ActiveSync •  VPN •  Virtuelle Desktops •  Enterprise Apps •  Eigene Apps •  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum? 5/16/13 Info Trust AG14 iOS Application Security •  Sichere Architektur durch App Sandbox •  Kein Zugriff auf Daten einer anderen App •  Jede App muss digital signiert werden •  Nur signierte Apps werden ausgeführt •  iOS Developer Program •  Ad Hoc Distribution bis 100 Geräte •  In-House Verteilung möglich (iOS Developer Enterprise) •  Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple Quelle: Apple
  • 8.
    5/16/13 8 Apple AppStore – Verifikation durch Apple 5/16/13 Info Trust AG15 •  Functionality •  Metadata, ratings and rankings •  Location •  Push notifications •  Game Center •  iAds •  Trademarks and trade dress •  Media content •  User interface •  Purchasing and currencies •  Scraping and aggregation •  Damage to device •  Personal attacks •  Violence •  Objectionable content •  Privacy •  Pornography •  Religion, culture, and ethnicity •  Contests, sweepstakes, lotteries, and raffles •  Charities and contributions •  Legal requirements Quelle: Apple Guidelines October 2011 5/16/13 Info Trust AG16 iOS Sicherheitsfunktionen •  Device Security – Zugriffschutz mittels Passcode •  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0) •  Policy Enforcement und Device Restrictions •  Secure Device Configuration – verschlüsselte Configuration Profiles •  Remote und Local Wipe (basierend auf Full Disk Encryption) •  Network Security – VPN, SSL/TLS und WPA/WPA2 •  Secure Authentication Framework – Keychain – x509v3 Zertifikate •  Security Framework (API)
  • 9.
    5/16/13 9 5/16/13 InfoTrust AG17 Malware auf mobilen Geräten Quelle: McAfee Threats Reports Q1/2012Q2/2011 Q4/2012 5/16/13 Info Trust AG18 iOS Sicherheitslücken und Malware •  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen •  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes •  MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler •  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak •  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4 •  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen •  iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich •  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion
  • 10.
    5/16/13 10 5/16/13 InfoTrust AG19 Jailbreak •  Sicherheitsmechanismen und Restriktionen des iOS umgehen •  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System) •  Eigene Applikationen installieren •  Ausnutzen einer Sicherheitslücke •  Resultat: Sicherheitsrisiken entstehen! 5/16/13 Info Trust AG20 Data Protection •  Verschlüsselte Dateien •  Key Chain •  Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,… •  Applikation hat nur Zugang auf eigene Daten Device Key (Hardware) Protected File Passcode (User) Class Key File Key File Meta Data
  • 11.
    5/16/13 11 5/16/13 InfoTrust AG21 Live Demo – Bruteforce Attacke auf Daten Boot des iPhones im DFU Modus mit modifiziertem OS SSH Verbindung aufbauen über USB Anschluss 1 2 Mounten der internen System- und Daten-Disks 3 Zugriff nur auf ungeschützte Dateien möglich Bruteforce Attacke, um Passcode zu erraten 4 5 Zugriff auch auf geschützte Dateien möglich 6 5/16/13 Info Trust AG22 Bruteforce Erfolge nach Passwortlänge •  4 Stellen numerisch : max. 30 Minuten •  6 Stellen numerisch : max. 50 Stunden •  8 Stellen numerisch : max. 208 Tage •  6 Stellen alphanumerisch : max. 360 Jahre •  iPhone 4, im extremsten Fall, ohne Ausschlüsse
  • 12.
    5/16/13 12 5/16/13 InfoTrust AG23 Backup •  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich •  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz •  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz) •  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner 5/16/13 Info Trust AG24 Backup •  Backups können verschlüsselt abgelegt werden – dringend empfohlen •  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts •  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind •  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird. •  Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien
  • 13.
    5/16/13 13 5/16/13 InfoTrust AG25 Live Demo – Backup Datei auslesen 5/16/13 Info Trust AG26 Mobile Device Management - MDM •  Daten auf die mobilen Geräte synchronisieren •  Betriebssystemeinstellungen vom iOS zentral konfigurieren •  Sicherheitspolicies umsetzen •  Geräte überwachen und inventarisieren •  Geräte oder Daten löschen von Remote
  • 14.
    5/16/13 14 5/16/13 InfoTrust AG27 Gerätemanagement – 3 Ansätze •  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien) •  Configuration Utility via USB •  Download mit Safari Browser •  Versand via E-Mail •  Exchange Active Sync Policies •  Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller) 5/16/13 Info Trust AG28 Gerätemanagement – 3 Ansätze Manuelle Konfiguration Exchange ActiveSync MDM System Ausrollprozess Aufwändig Einfach Sehr Einfach Überwachung Gerätestatus Remote Administration (lock, wipe, reset, update) Sicherheitseinstellungen Policy Updates über die Luft (OTA)
  • 15.
    5/16/13 15 5/16/13 InfoTrust AG29 Checkliste für den sicheren Businesseinsatz •  Security Policy und Benutzungsrichtlinien für mobile Geräte •  Benutzer Awareness •  Jailbreak und Einsatz im Unternehmen passen nicht zusammen •  Passcode mindestens 8 Stellen (nummerisch) •  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt •  Zentrales Mobile Device Management •  Compliance Prüfung und Reporting •  Definition wo die Daten liegen Haben Sie noch Fragen ??? Vielen Dank für Ihre Aufmerksamkeit.