SlideShare ist ein Scribd-Unternehmen logo
1 von 40
Downloaden Sie, um offline zu lesen
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012

Security – ONE Kongress
Messe Zürich
Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
Warum BYOD (Bring Your Own Device)?

 Reduzieren von IT-Hardware-Kosten
 Erhöhung der Mitarbeiterzufriedenheit (spez. im
  Management)
 Attraktivität des Arbeitgebers
 Ein Gerät an Stelle von zwei (Geschäft/Privat)
 Erhöhung der Produktivität und Flexibilität
 Anpassung des Arbeitsgerätes an die Mobilität des
  Mitarbeitenden
 Erlösung der Unternehmens-IT vom ständigen
  Technologiewandel bei Endgeräten
 Erreichbarkeit des Kunden über neue Medien
 «The Killing Application» nur auf mobiler Lösung
  verfügbar

09.05.2012                         Security - ONE Kongress   2
Entwicklung privater Geräte im Geschäftsumfeld


             2010                                                              2011




                                                                               Personally-owned
Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en                 Company-owned
09.05.2012                                          Security - ONE Kongress                        3
Erfahrungen zu BYOD

 Verbot mobiler privater Geräte ist nicht effizient
 Gefahr der Schatten IT
 Management hat sowohl Zugriff auf die höchst klassifizierten Daten
  und ist zugleich die treibende Kraft hinter BYOD



      «Die Frage ist daher nicht, ob BYOD im Unternehmen
        eingeführt werden soll, sondern wie es aus Sicht
         Informationssicherheitsmanagement bestmöglich
                      begleitet werden kann.»




09.05.2012                    Security - ONE Kongress                  4
BYOD – einige Anforderungen…

 Erwartung der Mitarbeitenden
  Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät
  integrieren können
 Time-to-Market neuer Geräte
 BYOD = RYOS
  Run your own Service – Kein, wenig oder full Support?
 Mobile Sicherheit
  Benutzung der mobilen Geräte ist standort- und zeitungebunden
  Gefahr des Diebstahls oder des unberechtigten Zugriffes
 Netzwerksicherheit
  Anforderungen an die Zugriffssicherheit des Unternehmensnetz
  steigen
 Private Nutzung
    Die mobilen Geräte werden geschäftlich UND privat verwendet
    oder befinden sich in privatem Besitz des Mitarbeitenden:
    Rollenkonflikte!
09.05.2012                        Security - ONE Kongress         5
Problemfelder / Problemstellung

Problemfelder / Widerstände
 Sicherheitsbedenken
     Keine Kontrolle über Endgerät
     Sichere Ablage auf dem Endgerät
     Geschäftliche Daten auf privatem Gerät
     Private Daten im Geschäft
 Sicherheitsperimeter «in den Händen» des Gerätenutzers
 Fehlende Business Cases
 Fehlende Unternehmens- und Sicherheitspolitik
 Fehlende Supportorganisation und Know-how
 Gefahr der Ablenkung durch das Private
 Gefahr dass die Arbeit noch stärker das Privatleben durchdringt

09.05.2012                        Security - ONE Kongress           6
Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer

 Arbeitgeber                                          Arbeitnehmer

  Zugriff auf                                         Private Nutzung von E-Mail und
      geschäftliche Informationen im Mail-             Internet
       System
                                                       Schutz der Privatsphäre
      in persönlichen Laufwerken
  Schutz der Ressourcen vor übermassiger              Keine Verhaltensüberwachung
   Belastung durch private Tätigkeiten
                                                       Transparenz
  Kontrolle / Auditing / Durchsetzung
  Archivierung                                        Admins: Schutz vor unberechtigten
                                                        Forderungen und Vorwürfen
  Transparenz
  Reputation
  Beweiszweck




09.05.2012                           Security - ONE Kongress                                7
Sicherheitsfragen

Lösung?
 Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht
  geschäftlich geschützten Systemen!
 Zugriff auf Daten nur über virtuelle, mobile oder webbasierte
  Anwendungen auf zentral gespeicherte Daten in einem sicheren
  Netzwerk? Gerät wird zum Interface degradiert!
 Ziel also so häufig verfehlt…
 Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel?
  Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor-
  Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe",
  Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement,
  Port-Security, NAC? Vielleicht!

  Traditionelle Sicherheitskonzepte haben ausgedient.
  Anpassung der Vorgaben auf vielen Ebenen notwendig:
   Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw.
                                                                        8
Informationssicherheit

Was ist Informationssicherheit?
Definition laut ISO 27001:
Angemessene Gewährleistung der
      Vertraulichkeit: Lesender Zugriff nur für
       autorisierte Benutzer
      Integrität: Nur berechtigte Veränderungen,
       Schutz vor unberechtigter Veränderung der
       Informationen und der
       Verarbeitungsmethoden
      Verfügbarkeit: Zugriff für autorisierte Benutzer
       auf Informationen und Services im
       vereinbarten Rahmen.
Zentrale Aufgabe der Organisation ist die laufende
Überprüfung der Angemessenheit
(Gesetz/Vertrag/interne Anforderungen).


09.05.2012                             Security - ONE Kongress   9
Sicherheitsfragen

 Welche Geräte haben überhaupt Zugang zu den
  Geschäftsdaten?
 Sind diese Geräte im Besitz der Mitarbeiter oder des
  Unternehmens?
 Verfügen die Geräte über angemessene Sicherheitsfeatures?
 Kann das Unternehmen verlorene Geräte vor unbefugten
  Zugriff auf Daten sperren?
 Können die Daten auf den Geräten verschlüsselt werden?
 Gibt es einen Mechanismus für das Management und die
  Authentifizierung aller Geräte im Unternehmen?
 Völliger Verzicht auf Support?
 Support bis zur Virtualisierungsschicht?
 Ersatzlösung für unbrauchbare oder verschwundene
  Geräte?
09.05.2012                         Security - ONE Kongress    10
Sicherheitsanforderungen

Schutz
Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät
umfasst folgende Punkte:
 Sicheren / Verschlüsselten Transfer der Geschäftsdaten
  „Data in transit“
 Verschlüsselung der Geschäftsdaten auf dem Endgerät
  „Data in rest“
 Löschen der Geschäftsdaten aus der Ferne
  „selective remote wipe“
 Lokaler Zugriffsschutz auf die Geschäftsdaten
  „Data separation“

 Wie werden die Geräte in das Unternehmensnetzwerk eingebunden,
   ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu
reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen
                Daten angemessen zu gewährleisten?                        11
VORGEHEN




09.05.2012 Security - ONE Kongress   12
Einführung BYOD

Phase 1 «Commitment zu BYOD»
Kernfragen
 Was soll mit dem BYOD Einsatz erreicht werden?
 Welche Gefahren ergeben sich daraus?


Resultate
 Risikoanalyse
 BYOD Strategie
 Integraler Massnahmenkatalog




09.05.2012                    Security - ONE Kongress   13
Einführung BYOD

 Gefahren: Recht & Compliance                          Gefahren: Organisation

  Zugriff auf Bewegungsprofile des                     Unberechtigter Zugriff auf klassifizierte
   Mitarbeitenden                                        Daten
  Durchmischung von Privat- und                        Unsicheres Verfahren: Austritt
   Geschäftsdaten                                        Mitarbeitende
  Zugriffe aus dem Ausland (BaG)                       Unsichere Reparatur und Wechsel der
  Wer trägt die Gerätekosten und Risiken?               Mobile Devices
  Abgeltung an Mitarbeitende, da                       Zugelassene Devices
   Arbeitsgerät                                         Aktive Accounts
  Angemessener Schutz lokal abgelegter
   Daten
  Urheberechtsverletzungen
  Fehlende Nachvollziehbarkeit



09.05.2012                            Security - ONE Kongress                                        14
Einführung BYOD

 Gefahren: Mitarbeitende                            Gefahren: Technik

  Fehlende Awareness im Umgang                      Abhören der Übertragung
  Zu tiefe Akzeptanz gegenüber den                  Hacking des Devices (Jailbreak / Rooting)
   Security Massnahmen                               Hacking des Passwortes
  Verkauf / Verlust des Gerätes                     Fehlende System- & Security-Updates
  Mutwillige Beschädigung                           Unsichere Datenablage auf dem Gerät
  Unberechtigter Zugriff aus dem privaten           Kein Management der Devices
   Umfeld auf geschäftliche Daten
                                                     Funktionsumfang des Gerätes




09.05.2012                         Security - ONE Kongress                                    15
Company Readiness für BYOD

Phase 2 «Das Unternehmen vorbereiten»
Kernfragen
 Was muss aus Sicht Legal & Compliance
  berücksichtigt werden?
 Welche Prozesse und Weisungen sind anzupassen?
 Welche technischen Hürden gilt es zu überwinden?
 Wie werden die jeweiligen Benutzer- und
  Interessensgruppen adressiert?
Resultate
 Abklärung durch Legal- und Compliance-Abteilung
 Ergänzung des ISMS um die BYOD-Thematik
 Anforderungskatalog für technische Management-
  Lösung
 Forderungen aus Business- und Endanwender Sicht
09.05.2012                     Security - ONE Kongress   16
Company Readiness für BYOD

 Readiness: Organisation                            Readiness: Recht & Compliance

 Integration in bestehende ISMS-Weisungen           Input für:
 und Konzepte z.B:
    Klassifizierungskonzept                            BYOD-Erweiterungen im ISMS
    Zugriffskonzept                                    Evaluation der Mobile Device
    Datenschutzkonzept                                  Management-Lösung
    Weisung im Umgang mit mobilen                      Awareness-Schulung zu BYOD
      Geräten
                                                        Company Access Management
    Kontrollen/Controls bei Ein- und
      Austritt von Mitarbeitenden
    Usability-Anforderungen von Business-
     Seite




09.05.2012                         Security - ONE Kongress                              17
Company Readiness für BYOD

 Readiness: Mitarbeitende                               Readiness: Technik

  Anforderungen an Usability                            Logische Trennung von privaten und
    User Interface; Customization;                       geschäftlichen Daten:
     Authentisierung                                       Sandbox (z.B. DME, SafeZone, Good
                                                            for Enterprise)
  Gewünschte Applikationen                                Device Virtualisierung (VMWare MVP) –
    PIM (Mail, Kalender, Kontakte);                        (nahe) Zukunft
     Intranet; SAP Reports; Remote                         Desktop Virtualisierung (z.B. Citrix
     Desktop; etc.                                          Receiver)
  Vorbereitung Mitarbeiterschulungen                    Kriterienkatalog zur Evaluation einer
    Awareness                                            Mobile Device Management-Lösung inkl.
                                                          PoC
    Prozesse und Weisungen
                                                         Outsourcing in die Cloud?
                                                         Company Access Management
                                                         Verfügbarkeitsanforderungen


09.05.2012                             Security - ONE Kongress                                      18
Company Readiness für BYOD

Readiness: Evaluationskriterien
 Security
 Portability
 Enrollment (Gerät und Software)
 User Acceptance
 Application Usage
 Environment
 Support
 Availability
 Legal & Compliance (Privacy, Intellectual Property)




09.05.2012                        Security - ONE Kongress   19
Deployment von BYOD

Phase 3 «Produktive Einführung»
Kernfragen
 Wie sollen die neuen Weisungen bekannt gemacht
  werden?
 Wie kann die korrekte Anwendung sichergestellt
  werden?
 Was muss bezüglich Awareness getan werden?


Resultate
 Weisungsschulung
 Anwendungsschulung
 Awareness-Schulung


09.05.2012                        Security - ONE Kongress   20
Deployment von BYOD

Step by step: Einführung & Schulungen
Schrittweises Einführen
 Organisatorisch z.B. Bereich oder Stufe
 Standort


Stufengerechte Schulungen
 Management
 Entwickler
 IT
 Anwender




09.05.2012                      Security - ONE Kongress   21
Exkurs Datenschutz: Anforderungen seitens Arbeitgeber

 Systemprotokollierung
     Wer hat was wann wo gemacht?
     Schutz der Systeme und der Reputation
     Legalisierung bereits bestehender Überwachungsmechanismen
      und Verdachtsmomente
 Archivierung
 Zugriff im Notfall
     Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails
      des Arbeitnehmenden falls keine Stellvertreter-Regelung
      besteht
     Private Laufwerk des Arbeitnehmenden




09.05.2012                       Security - ONE Kongress          22
Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers

 Wahrung des Briefgeheimnisses
 Achtung persönlicher Sachen
 Keine systematische Leistungskontrolle
 Kein Zugriff auf private E-Mails und keine
  personenbezogene Auswertung des „Surfens“
 Personenbezogene Protokollierung nur zulässig basierend auf
  Überwachungsreglement und „Vorwarnung“
 Schutz der Privatsphäre
  Protokollierung der privaten Kommunikation ist i.d.R. unzulässig
  Protokollierung der geschäftlichen Kommunikation ist bei
  Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG)




09.05.2012                      Security - ONE Kongress                      23
Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)

 Rechtfertigungsgründe
    Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und
    Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt.
    Keine Beurteilung einzig gestützt auf die Kontrolle.
 Einblick in private Daten durch Arbeitgeber: unzulässig
    Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist
    der höhere Schutzstandard zu beachten!
 Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig
 Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als
  widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich
  beurteilt werden
 Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B.
  missbräuchliche Kündigung nach Art. 336 OR



09.05.2012                            Security - ONE Kongress                                 24
Exkurs Datenschutz

Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des
Arbeitgebers




      Weisungskompetenz



                                                         Privatsphäre
                                                         Mitarbeitende




09.05.2012                     Security - ONE Kongress                   25
Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit

Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E-
Mail
 Erfüllung der gesetzlichen Vorgaben
 Wahrnehmung der Sorgfalt seitens Management
  zum Schutz der unternehmenseigenen Informationen
 Vereinbarung der Zugriffsrechte im Notfall und Verfahren
 Schutz der Administratoren durch Festlegung der
  Rechte und Pflichten der IT-Abteilung und Administratoren
 Klare Festlegung der Verfahren: Wer entscheidet auf
  wessen Antrag über welche Zugriffe und Datenempfänger
 Darlegung sämtlicher Protokollierungen
 Darlegung der Archivierungsregeln
 Einverständniserklärung des Mitarbeitenden notwendig
 ‚Jeder weiss, was Sache ist.‘
09.05.2012                      Security - ONE Kongress                        26
Exkurs Datenschutz: Inhalt Acceptable Use Policy

 Information, dass Auswertungen stattfinden
 Information, dass personenbezogene, teilweise
  automatisierte Auswertungen stattfinden.
     Somit werden auch intensivere Inhouse
      Ermittlungen ermöglicht und legalisiert
 Information bezüglich «General Wipe» oder
  «Selective Wipe»
 Verantwortlichkeiten, Regelungen zu Wartung,
  Ersatz und Leihgeräte und Bestimmungen zum
  finanziellen "Zuschuss"
 Datenschutzrecht: Einsicht, Nutzungs- und
  Zugriffsrechte des Arbeitgebers auf die privaten
  Geräte explizit regeln unter Beachtung der
  zwingenden Regeln
 Einverständnis des Mitarbeitenden
09.05.2012                       Security - ONE Kongress   27
Exkurs Datenschutz: Inhalt Acceptable Use Policy

Mitarbeitende müssen schriftlich Ihr Einverständnis geben
    Beweiszeck
    Achtung: Einverständniserklärung könnte widerrufen werden
Mitarbeitende können Löschung privater Daten verlangen
 Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt
 E Mail Archivierung!
 Sollten private oder als privat markierte E-Mails der Mitarbeitenden
  archiviert worden sein, haben die MA das Recht, diese löschen zu
  lassen (selbst einzelne E-Mails)


    Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass
    Management seinerseits hinter den definierten Regeln steht, diese
                     vorlebt und selber auch einhält


09.05.2012                          Security - ONE Kongress              28
Exkurs Datenschutz: Inhalt Acceptable Use Policy

 Privatsphäre der Mitarbeiter ist geschützt
 Unternehmensinteressen bleiben gewahrt
 Handelnde Personen kennen ihre Rechte und
  Pflichten und verstossen nicht gegen Gesetze oder
  die Rechte der Betroffenen
 Die Rechte und Pflichten aller Mitarbeitenden
  bezüglich Umgang mit IT Mitteln sind klar
  definiert.




09.05.2012                      Security - ONE Kongress   29
Stolpersteine bei BYOD

Mögliche Stolpersteine
 Versuch das Problem nur technisch zu lösen
 Akzeptanz der BYOD-Lösung
 Einschränkungen durch Gesetze
 «Me to»-Strategie bei Lösungsevaluation
 Fehlende Supportorganisation
 Integration von 3rd Parties
 Fehlende Schulung und Awareness
 Keine vorbereiteten Prozesse und Weisungen
 Fehlende Berücksichtigung Verfügbarkeit und BCM




09.05.2012                       Security - ONE Kongress   30
Ausblick

Wie geht es weiter?
 Rückgang der Business Workplace Computer
 Konsolidierung der Geschäftsapplikationen auf die neue
  Gerätelandschaft und Vertriebswege
 Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in
  die (Private-) Cloud des Unternehmens




09.05.2012                     Security - ONE Kongress           31
Ausblick

Was bedeutet dies?
 Höhere Anforderungen an die Identifikation und Authentizität
  (SuisseID?) des Mitarbeiters, wie auch die des Kunden
 Neue Ansätze im Access-Management
 Stärkere Verschmelzung von Privat und Geschäft
 Verstärkte Anforderungen an die Privacy in heterogenen Daten
 Verstärkung des Schutzes gegen Data-Mining
 Neue Angriffsvektoren




09.05.2012                     Security - ONE Kongress           32
Zusammenfassung

 BYOD Einsatzstrategie unter Einschluss Risiken und
  Chancen
 Informationssicherheit und Datenschutz umfassend
  berücksichtigen
 Ableiten der Requirements und Evaluation
 Ergänzung der technischen Infrastruktur
 BYOD taugliche Mobile Security Policy
 Anpassung der Benutzer-, Administrations- und
  Betriebsweisungen
 Ausbildungs- und Awareness Programm für die
  Mitarbeiterbeitenden




09.05.2012                      Security - ONE Kongress   33
VIELEN DANK

Ihre Lösung beginnt mit einem Kontakt bei uns:
+41 (0)41 984 12 12, infosec@infosec.ch
reto.zbinden@infosec.ch | +41 (0)79 446 83 00
INTEGRALE SICHERHEIT

Über uns
Seit mehr als 20 Jahren befassen wir uns professionell
mit allem rund um die Sicherheit von Informationen.
Wir beraten und unterstützen Sie bei der
Identifizierung und der Erreichung angemessener
Sicherheitsziele und bilden Ihre Mitarbeitenden aus.
Die Swiss Infosec AG bietet Ihnen Beratung und
Ausbildung aus einer Hand: kompetent durch
Erfahrung, glaubwürdig durch Unabhängigkeit,
praxisorientiert durch Kundennähe!
Mit der Swiss Infosec AG sind Sie sicher, dass Ihre
Informationen so sicher sind wie nötig.

                                                    Reto C. Zbinden
                                                  Rechtsanwalt, CEO

09.05.2012                        Security - ONE Kongress             35
Swiss Infosec AG

CONSULTING & TRAINING                            Aktuelle Consulting-Projekte
Wir sind Ihr kompetenter Partner,                 Coaching ISO 27001 Zertifizierung
wenn es um folgende Themen geht:                  Firmenweite Awareness-Kampagnen
                                                   unter Einschluss E Learning
 Informationssicherheit
                                                  Business Impact Analyse und BCM
 IT-Sicherheit                                    Strategie
 Datenschutz                                     Krisenmanagement
 Krisenmanagement                                Risikoanalysen/Risiko-Workshops
                                                  Security Check-ups/Sicherheitsaudits
 Business Impact Analysen / BCM
                                                  Gutachten Datenschutz/Archivierung
 Elektronische Archivierung                      Zertifizierungsbegleitung
 ISO 27001/27002/ISMS                            Social Engineering Audits
 Social Engineering                              Audits, PoC’s, Elektronische Archivierung
 Sicherheitsaudits aller Art                     Audits von Firewalls, Applikationen



09.05.2012                      Security - ONE Kongress                                        36
Integrale Sicherheit




37
09.05.2012             Security - ONE Kongress
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

Best Practice
 Strategie
     Benutzergruppen, Geräte, Prozesse
 Policy
     AUP, Monitoring, erlaubte Geräte und Apps
 NAC
     Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk
 Secure Access Gateway
     Applikationen, Mail, ERP etc.
 Network Protection
     IDS, DLP etc. (Cloud)
 Geräte-Management
     Konfigurierung, Kontrolle, Verschlüsselung etc.
 Apps-Sicherung
     Verschlüsselung, Patch Management, Datenschutz
09.05.2012                            Security - ONE Kongress                         38
Unterschiedliche Bedürfnisse intern / extern (1/2)

                   Confidentiality              Integrity              Availability


 Management        Zugriff auf                  Korrekte Bearbeitung   Jederzeit Zugriff von
                   (klassifizierte)             der Daten unabhängig   überall unabhängig
                   Informationen                vom Endgerät           vom Endgerät
 Fachabteilungen   Zugriff auf Kunden-          Korrekte Bearbeitung   -
                   und Geschäftsdaten           der Daten unabhängig
                                                vom Endgerät
 Marketing &       Zugriff auf                  Korrekte Bearbeitung   Jederzeit Zugriff von
 Sales             Kundendaten                  der Daten unabhängig   überall unabhängig
                                                vom Endgerät           vom Endgerät
 HR / Recruitment Zugriff auf                   Korrekte Bearbeitung   -
                  Personaldaten                 der Daten unabhängig
                                                vom Endgerät



09.05.2012                            Security - ONE Kongress                                  39
Unterschiedliche Bedürfnisse intern / extern (2/2)

                  Confidentiality               Integrity              Availability


 IT-Abteilung     •   Sicherstellen             Anbieten von Backups   •   Anbieten von
                      Schutz der                und Rollbacks              Support
                      Unternehmens-                                    •   Betrieb der
                      daten auf                                            BYOD/MDM-
                      privatem Gerät;                                      Lösung
                  •   Sicherstellen der                                •   Integration der
                      Zugriffsrechte                                       Devices
 Kunde            Daten                         Korrekte Bearbeitung   Jederzeit Zugriff von
                  • In Rest (lokal)             der Daten unabhängig   überall unabhängig
                  • In Transit                  vom Endgerät           vom Endgerät




09.05.2012                            Security - ONE Kongress                                  40

Weitere ähnliche Inhalte

Was ist angesagt?

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
Symposia 360°
 

Was ist angesagt? (20)

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
 
Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis  - ProphylaxeCyberrisiken in der Zahnarztpraxis  - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 

Andere mochten auch

Präsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendPräsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse Elternabend
Daniel Bernsen
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
Stephan Schmidt
 

Andere mochten auch (9)

Bring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtBring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das Arbeitsrecht
 
Präsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendPräsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse Elternabend
 
BYOD Bring your own device
BYOD Bring your own deviceBYOD Bring your own device
BYOD Bring your own device
 
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule GoldauBrings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
 
MDM Mobile Device Management
MDM Mobile Device ManagementMDM Mobile Device Management
MDM Mobile Device Management
 
Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
 

Ähnlich wie Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
FLorian Laumer
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
jenny_splunk
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGruner
Axel S. Gruner
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
Alexander Junk
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.org
Bert82
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
Martin Merck
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 

Ähnlich wie Sicherheitsprobleme mit privaten Geräten im Firmenumfeld (20)

Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGruner
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Microsoft security workshop komplett
Microsoft security workshop   komplettMicrosoft security workshop   komplett
Microsoft security workshop komplett
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.org
 
DACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdf
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 

Mehr von ONE Schweiz

Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508
ONE Schweiz
 
Sven Ruoss_watson
Sven Ruoss_watsonSven Ruoss_watson
Sven Ruoss_watson
ONE Schweiz
 
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste WebgestaltungAlexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
ONE Schweiz
 
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machenGregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
ONE Schweiz
 
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex LibrisJürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
ONE Schweiz
 
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als ThemaHeinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
ONE Schweiz
 
Ivan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop LösungenIvan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop Lösungen
ONE Schweiz
 
John Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.chJohn Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.ch
ONE Schweiz
 
Vera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist ChefsacheVera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist Chefsache
ONE Schweiz
 
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als InnovationstreiberThorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
ONE Schweiz
 
ONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, BoxalinoONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, Boxalino
ONE Schweiz
 
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbHONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE Schweiz
 
ONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITBONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITB
ONE Schweiz
 
10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen
ONE Schweiz
 

Mehr von ONE Schweiz (20)

Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508
 
Sven Ruoss_watson
Sven Ruoss_watsonSven Ruoss_watson
Sven Ruoss_watson
 
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
 
Magazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AGMagazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AG
 
20140507 one keynote mc_donald's strachwitz
20140507 one  keynote mc_donald's strachwitz20140507 one  keynote mc_donald's strachwitz
20140507 one keynote mc_donald's strachwitz
 
Barrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten TippsBarrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten Tipps
 
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste WebgestaltungAlexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
 
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machenGregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
 
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex LibrisJürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
 
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als ThemaHeinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
 
Ivan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop LösungenIvan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop Lösungen
 
John Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.chJohn Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.ch
 
Vera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist ChefsacheVera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist Chefsache
 
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als InnovationstreiberThorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
 
10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-Sellers10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-Sellers
 
ONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, BoxalinoONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, Boxalino
 
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbHONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
 
ONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITBONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITB
 
10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen
 
SimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud DatenbankSimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud Datenbank
 

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

  • 1. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012 Security – ONE Kongress Messe Zürich Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
  • 2. Warum BYOD (Bring Your Own Device)?  Reduzieren von IT-Hardware-Kosten  Erhöhung der Mitarbeiterzufriedenheit (spez. im Management)  Attraktivität des Arbeitgebers  Ein Gerät an Stelle von zwei (Geschäft/Privat)  Erhöhung der Produktivität und Flexibilität  Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden  Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten  Erreichbarkeit des Kunden über neue Medien  «The Killing Application» nur auf mobiler Lösung verfügbar 09.05.2012 Security - ONE Kongress 2
  • 3. Entwicklung privater Geräte im Geschäftsumfeld 2010 2011  Personally-owned Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en  Company-owned 09.05.2012 Security - ONE Kongress 3
  • 4. Erfahrungen zu BYOD  Verbot mobiler privater Geräte ist nicht effizient  Gefahr der Schatten IT  Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD «Die Frage ist daher nicht, ob BYOD im Unternehmen eingeführt werden soll, sondern wie es aus Sicht Informationssicherheitsmanagement bestmöglich begleitet werden kann.» 09.05.2012 Security - ONE Kongress 4
  • 5. BYOD – einige Anforderungen…  Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können  Time-to-Market neuer Geräte  BYOD = RYOS Run your own Service – Kein, wenig oder full Support?  Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes  Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen  Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte! 09.05.2012 Security - ONE Kongress 5
  • 6. Problemfelder / Problemstellung Problemfelder / Widerstände  Sicherheitsbedenken  Keine Kontrolle über Endgerät  Sichere Ablage auf dem Endgerät  Geschäftliche Daten auf privatem Gerät  Private Daten im Geschäft  Sicherheitsperimeter «in den Händen» des Gerätenutzers  Fehlende Business Cases  Fehlende Unternehmens- und Sicherheitspolitik  Fehlende Supportorganisation und Know-how  Gefahr der Ablenkung durch das Private  Gefahr dass die Arbeit noch stärker das Privatleben durchdringt 09.05.2012 Security - ONE Kongress 6
  • 7. Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer Arbeitgeber Arbeitnehmer  Zugriff auf  Private Nutzung von E-Mail und  geschäftliche Informationen im Mail- Internet System  Schutz der Privatsphäre  in persönlichen Laufwerken  Schutz der Ressourcen vor übermassiger  Keine Verhaltensüberwachung Belastung durch private Tätigkeiten  Transparenz  Kontrolle / Auditing / Durchsetzung  Archivierung  Admins: Schutz vor unberechtigten Forderungen und Vorwürfen  Transparenz  Reputation  Beweiszweck 09.05.2012 Security - ONE Kongress 7
  • 8. Sicherheitsfragen Lösung?  Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen!  Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert!  Ziel also so häufig verfehlt…  Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor- Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!  Traditionelle Sicherheitskonzepte haben ausgedient.  Anpassung der Vorgaben auf vielen Ebenen notwendig: Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw. 8
  • 9. Informationssicherheit Was ist Informationssicherheit? Definition laut ISO 27001: Angemessene Gewährleistung der  Vertraulichkeit: Lesender Zugriff nur für autorisierte Benutzer  Integrität: Nur berechtigte Veränderungen, Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden  Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen. Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen). 09.05.2012 Security - ONE Kongress 9
  • 10. Sicherheitsfragen  Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten?  Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?  Verfügen die Geräte über angemessene Sicherheitsfeatures?  Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?  Können die Daten auf den Geräten verschlüsselt werden?  Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen?  Völliger Verzicht auf Support?  Support bis zur Virtualisierungsschicht?  Ersatzlösung für unbrauchbare oder verschwundene Geräte? 09.05.2012 Security - ONE Kongress 10
  • 11. Sicherheitsanforderungen Schutz Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät umfasst folgende Punkte:  Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“  Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“  Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“  Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“ Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten? 11
  • 13. Einführung BYOD Phase 1 «Commitment zu BYOD» Kernfragen  Was soll mit dem BYOD Einsatz erreicht werden?  Welche Gefahren ergeben sich daraus? Resultate  Risikoanalyse  BYOD Strategie  Integraler Massnahmenkatalog 09.05.2012 Security - ONE Kongress 13
  • 14. Einführung BYOD Gefahren: Recht & Compliance Gefahren: Organisation  Zugriff auf Bewegungsprofile des  Unberechtigter Zugriff auf klassifizierte Mitarbeitenden Daten  Durchmischung von Privat- und  Unsicheres Verfahren: Austritt Geschäftsdaten Mitarbeitende  Zugriffe aus dem Ausland (BaG)  Unsichere Reparatur und Wechsel der  Wer trägt die Gerätekosten und Risiken? Mobile Devices  Abgeltung an Mitarbeitende, da  Zugelassene Devices Arbeitsgerät  Aktive Accounts  Angemessener Schutz lokal abgelegter Daten  Urheberechtsverletzungen  Fehlende Nachvollziehbarkeit 09.05.2012 Security - ONE Kongress 14
  • 15. Einführung BYOD Gefahren: Mitarbeitende Gefahren: Technik  Fehlende Awareness im Umgang  Abhören der Übertragung  Zu tiefe Akzeptanz gegenüber den  Hacking des Devices (Jailbreak / Rooting) Security Massnahmen  Hacking des Passwortes  Verkauf / Verlust des Gerätes  Fehlende System- & Security-Updates  Mutwillige Beschädigung  Unsichere Datenablage auf dem Gerät  Unberechtigter Zugriff aus dem privaten  Kein Management der Devices Umfeld auf geschäftliche Daten  Funktionsumfang des Gerätes 09.05.2012 Security - ONE Kongress 15
  • 16. Company Readiness für BYOD Phase 2 «Das Unternehmen vorbereiten» Kernfragen  Was muss aus Sicht Legal & Compliance berücksichtigt werden?  Welche Prozesse und Weisungen sind anzupassen?  Welche technischen Hürden gilt es zu überwinden?  Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert? Resultate  Abklärung durch Legal- und Compliance-Abteilung  Ergänzung des ISMS um die BYOD-Thematik  Anforderungskatalog für technische Management- Lösung  Forderungen aus Business- und Endanwender Sicht 09.05.2012 Security - ONE Kongress 16
  • 17. Company Readiness für BYOD Readiness: Organisation Readiness: Recht & Compliance Integration in bestehende ISMS-Weisungen Input für: und Konzepte z.B:  Klassifizierungskonzept  BYOD-Erweiterungen im ISMS  Zugriffskonzept  Evaluation der Mobile Device  Datenschutzkonzept Management-Lösung  Weisung im Umgang mit mobilen  Awareness-Schulung zu BYOD Geräten  Company Access Management  Kontrollen/Controls bei Ein- und Austritt von Mitarbeitenden  Usability-Anforderungen von Business- Seite 09.05.2012 Security - ONE Kongress 17
  • 18. Company Readiness für BYOD Readiness: Mitarbeitende Readiness: Technik  Anforderungen an Usability  Logische Trennung von privaten und  User Interface; Customization; geschäftlichen Daten: Authentisierung  Sandbox (z.B. DME, SafeZone, Good for Enterprise)  Gewünschte Applikationen  Device Virtualisierung (VMWare MVP) –  PIM (Mail, Kalender, Kontakte); (nahe) Zukunft Intranet; SAP Reports; Remote  Desktop Virtualisierung (z.B. Citrix Desktop; etc. Receiver)  Vorbereitung Mitarbeiterschulungen  Kriterienkatalog zur Evaluation einer  Awareness Mobile Device Management-Lösung inkl. PoC  Prozesse und Weisungen  Outsourcing in die Cloud?  Company Access Management  Verfügbarkeitsanforderungen 09.05.2012 Security - ONE Kongress 18
  • 19. Company Readiness für BYOD Readiness: Evaluationskriterien  Security  Portability  Enrollment (Gerät und Software)  User Acceptance  Application Usage  Environment  Support  Availability  Legal & Compliance (Privacy, Intellectual Property) 09.05.2012 Security - ONE Kongress 19
  • 20. Deployment von BYOD Phase 3 «Produktive Einführung» Kernfragen  Wie sollen die neuen Weisungen bekannt gemacht werden?  Wie kann die korrekte Anwendung sichergestellt werden?  Was muss bezüglich Awareness getan werden? Resultate  Weisungsschulung  Anwendungsschulung  Awareness-Schulung 09.05.2012 Security - ONE Kongress 20
  • 21. Deployment von BYOD Step by step: Einführung & Schulungen Schrittweises Einführen  Organisatorisch z.B. Bereich oder Stufe  Standort Stufengerechte Schulungen  Management  Entwickler  IT  Anwender 09.05.2012 Security - ONE Kongress 21
  • 22. Exkurs Datenschutz: Anforderungen seitens Arbeitgeber  Systemprotokollierung  Wer hat was wann wo gemacht?  Schutz der Systeme und der Reputation  Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente  Archivierung  Zugriff im Notfall  Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht  Private Laufwerk des Arbeitnehmenden 09.05.2012 Security - ONE Kongress 22
  • 23. Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers  Wahrung des Briefgeheimnisses  Achtung persönlicher Sachen  Keine systematische Leistungskontrolle  Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“  Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“  Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG) 09.05.2012 Security - ONE Kongress 23
  • 24. Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)  Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.  Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!  Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig  Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden  Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR 09.05.2012 Security - ONE Kongress 24
  • 25. Exkurs Datenschutz Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des Arbeitgebers Weisungskompetenz Privatsphäre Mitarbeitende 09.05.2012 Security - ONE Kongress 25
  • 26. Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E- Mail  Erfüllung der gesetzlichen Vorgaben  Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen  Vereinbarung der Zugriffsrechte im Notfall und Verfahren  Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren  Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger  Darlegung sämtlicher Protokollierungen  Darlegung der Archivierungsregeln  Einverständniserklärung des Mitarbeitenden notwendig  ‚Jeder weiss, was Sache ist.‘ 09.05.2012 Security - ONE Kongress 26
  • 27. Exkurs Datenschutz: Inhalt Acceptable Use Policy  Information, dass Auswertungen stattfinden  Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.  Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert  Information bezüglich «General Wipe» oder «Selective Wipe»  Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss"  Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln  Einverständnis des Mitarbeitenden 09.05.2012 Security - ONE Kongress 27
  • 28. Exkurs Datenschutz: Inhalt Acceptable Use Policy Mitarbeitende müssen schriftlich Ihr Einverständnis geben  Beweiszeck  Achtung: Einverständniserklärung könnte widerrufen werden Mitarbeitende können Löschung privater Daten verlangen  Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt  E Mail Archivierung!  Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails) Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese vorlebt und selber auch einhält 09.05.2012 Security - ONE Kongress 28
  • 29. Exkurs Datenschutz: Inhalt Acceptable Use Policy  Privatsphäre der Mitarbeiter ist geschützt  Unternehmensinteressen bleiben gewahrt  Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen  Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert. 09.05.2012 Security - ONE Kongress 29
  • 30. Stolpersteine bei BYOD Mögliche Stolpersteine  Versuch das Problem nur technisch zu lösen  Akzeptanz der BYOD-Lösung  Einschränkungen durch Gesetze  «Me to»-Strategie bei Lösungsevaluation  Fehlende Supportorganisation  Integration von 3rd Parties  Fehlende Schulung und Awareness  Keine vorbereiteten Prozesse und Weisungen  Fehlende Berücksichtigung Verfügbarkeit und BCM 09.05.2012 Security - ONE Kongress 30
  • 31. Ausblick Wie geht es weiter?  Rückgang der Business Workplace Computer  Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege  Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens 09.05.2012 Security - ONE Kongress 31
  • 32. Ausblick Was bedeutet dies?  Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden  Neue Ansätze im Access-Management  Stärkere Verschmelzung von Privat und Geschäft  Verstärkte Anforderungen an die Privacy in heterogenen Daten  Verstärkung des Schutzes gegen Data-Mining  Neue Angriffsvektoren 09.05.2012 Security - ONE Kongress 32
  • 33. Zusammenfassung  BYOD Einsatzstrategie unter Einschluss Risiken und Chancen  Informationssicherheit und Datenschutz umfassend berücksichtigen  Ableiten der Requirements und Evaluation  Ergänzung der technischen Infrastruktur  BYOD taugliche Mobile Security Policy  Anpassung der Benutzer-, Administrations- und Betriebsweisungen  Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden 09.05.2012 Security - ONE Kongress 33
  • 34. VIELEN DANK Ihre Lösung beginnt mit einem Kontakt bei uns: +41 (0)41 984 12 12, infosec@infosec.ch reto.zbinden@infosec.ch | +41 (0)79 446 83 00
  • 35. INTEGRALE SICHERHEIT Über uns Seit mehr als 20 Jahren befassen wir uns professionell mit allem rund um die Sicherheit von Informationen. Wir beraten und unterstützen Sie bei der Identifizierung und der Erreichung angemessener Sicherheitsziele und bilden Ihre Mitarbeitenden aus. Die Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand: kompetent durch Erfahrung, glaubwürdig durch Unabhängigkeit, praxisorientiert durch Kundennähe! Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig. Reto C. Zbinden Rechtsanwalt, CEO 09.05.2012 Security - ONE Kongress 35
  • 36. Swiss Infosec AG CONSULTING & TRAINING Aktuelle Consulting-Projekte Wir sind Ihr kompetenter Partner,  Coaching ISO 27001 Zertifizierung wenn es um folgende Themen geht:  Firmenweite Awareness-Kampagnen unter Einschluss E Learning  Informationssicherheit  Business Impact Analyse und BCM  IT-Sicherheit Strategie  Datenschutz  Krisenmanagement  Krisenmanagement  Risikoanalysen/Risiko-Workshops  Security Check-ups/Sicherheitsaudits  Business Impact Analysen / BCM  Gutachten Datenschutz/Archivierung  Elektronische Archivierung  Zertifizierungsbegleitung  ISO 27001/27002/ISMS  Social Engineering Audits  Social Engineering  Audits, PoC’s, Elektronische Archivierung  Sicherheitsaudits aller Art  Audits von Firewalls, Applikationen 09.05.2012 Security - ONE Kongress 36
  • 37. Integrale Sicherheit 37 09.05.2012 Security - ONE Kongress
  • 38. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld Best Practice  Strategie  Benutzergruppen, Geräte, Prozesse  Policy  AUP, Monitoring, erlaubte Geräte und Apps  NAC  Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk  Secure Access Gateway  Applikationen, Mail, ERP etc.  Network Protection  IDS, DLP etc. (Cloud)  Geräte-Management  Konfigurierung, Kontrolle, Verschlüsselung etc.  Apps-Sicherung  Verschlüsselung, Patch Management, Datenschutz 09.05.2012 Security - ONE Kongress 38
  • 39. Unterschiedliche Bedürfnisse intern / extern (1/2) Confidentiality Integrity Availability Management Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von (klassifizierte) der Daten unabhängig überall unabhängig Informationen vom Endgerät vom Endgerät Fachabteilungen Zugriff auf Kunden- Korrekte Bearbeitung - und Geschäftsdaten der Daten unabhängig vom Endgerät Marketing & Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von Sales Kundendaten der Daten unabhängig überall unabhängig vom Endgerät vom Endgerät HR / Recruitment Zugriff auf Korrekte Bearbeitung - Personaldaten der Daten unabhängig vom Endgerät 09.05.2012 Security - ONE Kongress 39
  • 40. Unterschiedliche Bedürfnisse intern / extern (2/2) Confidentiality Integrity Availability IT-Abteilung • Sicherstellen Anbieten von Backups • Anbieten von Schutz der und Rollbacks Support Unternehmens- • Betrieb der daten auf BYOD/MDM- privatem Gerät; Lösung • Sicherstellen der • Integration der Zugriffsrechte Devices Kunde Daten Korrekte Bearbeitung Jederzeit Zugriff von • In Rest (lokal) der Daten unabhängig überall unabhängig • In Transit vom Endgerät vom Endgerät 09.05.2012 Security - ONE Kongress 40