SlideShare ist ein Scribd-Unternehmen logo

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

ONE Schweiz
ONE Schweiz

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld von Reto Zbinden, Rechtsanwalt und CEO, Swiss Infosec AG https://www.facebook.com/internetbriefing

1 von 40
Downloaden Sie, um offline zu lesen
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012 Security – ONE Kongress Messe Zürich Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
Warum BYOD (Bring Your Own Device)?  Reduzieren von IT-Hardware-Kosten  Erhöhung der Mitarbeiterzufriedenheit (spez. im Management)  Attraktivität des Arbeitgebers  Ein Gerät an Stelle von zwei (Geschäft/Privat)  Erhöhung der Produktivität und Flexibilität  Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden  Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten  Erreichbarkeit des Kunden über neue Medien  «The Killing Application» nur auf mobiler Lösung verfügbar 09.05.2012 Security - ONE Kongress 2
Entwicklung privater Geräte im Geschäftsumfeld 2010 2011  Personally-owned Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en  Company-owned 09.05.2012 Security - ONE Kongress 3
Erfahrungen zu BYOD  Verbot mobiler privater Geräte ist nicht effizient  Gefahr der Schatten IT  Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD «Die Frage ist daher nicht, ob BYOD im Unternehmen eingeführt werden soll, sondern wie es aus Sicht Informationssicherheitsmanagement bestmöglich begleitet werden kann.» 09.05.2012 Security - ONE Kongress 4
BYOD – einige Anforderungen…  Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können  Time-to-Market neuer Geräte  BYOD = RYOS Run your own Service – Kein, wenig oder full Support?  Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes  Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen  Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte! 09.05.2012 Security - ONE Kongress 5
Problemfelder / Problemstellung Problemfelder / Widerstände  Sicherheitsbedenken  Keine Kontrolle über Endgerät  Sichere Ablage auf dem Endgerät  Geschäftliche Daten auf privatem Gerät  Private Daten im Geschäft  Sicherheitsperimeter «in den Händen» des Gerätenutzers  Fehlende Business Cases  Fehlende Unternehmens- und Sicherheitspolitik  Fehlende Supportorganisation und Know-how  Gefahr der Ablenkung durch das Private  Gefahr dass die Arbeit noch stärker das Privatleben durchdringt 09.05.2012 Security - ONE Kongress 6
Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer Arbeitgeber Arbeitnehmer  Zugriff auf  Private Nutzung von E-Mail und  geschäftliche Informationen im Mail- Internet System  Schutz der Privatsphäre  in persönlichen Laufwerken  Schutz der Ressourcen vor übermassiger  Keine Verhaltensüberwachung Belastung durch private Tätigkeiten  Transparenz  Kontrolle / Auditing / Durchsetzung  Archivierung  Admins: Schutz vor unberechtigten Forderungen und Vorwürfen  Transparenz  Reputation  Beweiszweck 09.05.2012 Security - ONE Kongress 7
Sicherheitsfragen Lösung?  Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen!  Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert!  Ziel also so häufig verfehlt…  Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor- Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!  Traditionelle Sicherheitskonzepte haben ausgedient.  Anpassung der Vorgaben auf vielen Ebenen notwendig: Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw. 8
Informationssicherheit Was ist Informationssicherheit? Definition laut ISO 27001: Angemessene Gewährleistung der  Vertraulichkeit: Lesender Zugriff nur für autorisierte Benutzer  Integrität: Nur berechtigte Veränderungen, Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden  Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen. Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen). 09.05.2012 Security - ONE Kongress 9
Sicherheitsfragen  Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten?  Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?  Verfügen die Geräte über angemessene Sicherheitsfeatures?  Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?  Können die Daten auf den Geräten verschlüsselt werden?  Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen?  Völliger Verzicht auf Support?  Support bis zur Virtualisierungsschicht?  Ersatzlösung für unbrauchbare oder verschwundene Geräte? 09.05.2012 Security - ONE Kongress 10
Sicherheitsanforderungen Schutz Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät umfasst folgende Punkte:  Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“  Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“  Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“  Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“ Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten? 11
VORGEHEN 09.05.2012 Security - ONE Kongress 12
Einführung BYOD Phase 1 «Commitment zu BYOD» Kernfragen  Was soll mit dem BYOD Einsatz erreicht werden?  Welche Gefahren ergeben sich daraus? Resultate  Risikoanalyse  BYOD Strategie  Integraler Massnahmenkatalog 09.05.2012 Security - ONE Kongress 13
Einführung BYOD Gefahren: Recht & Compliance Gefahren: Organisation  Zugriff auf Bewegungsprofile des  Unberechtigter Zugriff auf klassifizierte Mitarbeitenden Daten  Durchmischung von Privat- und  Unsicheres Verfahren: Austritt Geschäftsdaten Mitarbeitende  Zugriffe aus dem Ausland (BaG)  Unsichere Reparatur und Wechsel der  Wer trägt die Gerätekosten und Risiken? Mobile Devices  Abgeltung an Mitarbeitende, da  Zugelassene Devices Arbeitsgerät  Aktive Accounts  Angemessener Schutz lokal abgelegter Daten  Urheberechtsverletzungen  Fehlende Nachvollziehbarkeit 09.05.2012 Security - ONE Kongress 14
Einführung BYOD Gefahren: Mitarbeitende Gefahren: Technik  Fehlende Awareness im Umgang  Abhören der Übertragung  Zu tiefe Akzeptanz gegenüber den  Hacking des Devices (Jailbreak / Rooting) Security Massnahmen  Hacking des Passwortes  Verkauf / Verlust des Gerätes  Fehlende System- & Security-Updates  Mutwillige Beschädigung  Unsichere Datenablage auf dem Gerät  Unberechtigter Zugriff aus dem privaten  Kein Management der Devices Umfeld auf geschäftliche Daten  Funktionsumfang des Gerätes 09.05.2012 Security - ONE Kongress 15
Company Readiness für BYOD Phase 2 «Das Unternehmen vorbereiten» Kernfragen  Was muss aus Sicht Legal & Compliance berücksichtigt werden?  Welche Prozesse und Weisungen sind anzupassen?  Welche technischen Hürden gilt es zu überwinden?  Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert? Resultate  Abklärung durch Legal- und Compliance-Abteilung  Ergänzung des ISMS um die BYOD-Thematik  Anforderungskatalog für technische Management- Lösung  Forderungen aus Business- und Endanwender Sicht 09.05.2012 Security - ONE Kongress 16
Company Readiness für BYOD Readiness: Organisation Readiness: Recht & Compliance Integration in bestehende ISMS-Weisungen Input für: und Konzepte z.B:  Klassifizierungskonzept  BYOD-Erweiterungen im ISMS  Zugriffskonzept  Evaluation der Mobile Device  Datenschutzkonzept Management-Lösung  Weisung im Umgang mit mobilen  Awareness-Schulung zu BYOD Geräten  Company Access Management  Kontrollen/Controls bei Ein- und Austritt von Mitarbeitenden  Usability-Anforderungen von Business- Seite 09.05.2012 Security - ONE Kongress 17
Company Readiness für BYOD Readiness: Mitarbeitende Readiness: Technik  Anforderungen an Usability  Logische Trennung von privaten und  User Interface; Customization; geschäftlichen Daten: Authentisierung  Sandbox (z.B. DME, SafeZone, Good for Enterprise)  Gewünschte Applikationen  Device Virtualisierung (VMWare MVP) –  PIM (Mail, Kalender, Kontakte); (nahe) Zukunft Intranet; SAP Reports; Remote  Desktop Virtualisierung (z.B. Citrix Desktop; etc. Receiver)  Vorbereitung Mitarbeiterschulungen  Kriterienkatalog zur Evaluation einer  Awareness Mobile Device Management-Lösung inkl. PoC  Prozesse und Weisungen  Outsourcing in die Cloud?  Company Access Management  Verfügbarkeitsanforderungen 09.05.2012 Security - ONE Kongress 18
Company Readiness für BYOD Readiness: Evaluationskriterien  Security  Portability  Enrollment (Gerät und Software)  User Acceptance  Application Usage  Environment  Support  Availability  Legal & Compliance (Privacy, Intellectual Property) 09.05.2012 Security - ONE Kongress 19
Deployment von BYOD Phase 3 «Produktive Einführung» Kernfragen  Wie sollen die neuen Weisungen bekannt gemacht werden?  Wie kann die korrekte Anwendung sichergestellt werden?  Was muss bezüglich Awareness getan werden? Resultate  Weisungsschulung  Anwendungsschulung  Awareness-Schulung 09.05.2012 Security - ONE Kongress 20
Deployment von BYOD Step by step: Einführung & Schulungen Schrittweises Einführen  Organisatorisch z.B. Bereich oder Stufe  Standort Stufengerechte Schulungen  Management  Entwickler  IT  Anwender 09.05.2012 Security - ONE Kongress 21
Exkurs Datenschutz: Anforderungen seitens Arbeitgeber  Systemprotokollierung  Wer hat was wann wo gemacht?  Schutz der Systeme und der Reputation  Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente  Archivierung  Zugriff im Notfall  Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht  Private Laufwerk des Arbeitnehmenden 09.05.2012 Security - ONE Kongress 22
Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers  Wahrung des Briefgeheimnisses  Achtung persönlicher Sachen  Keine systematische Leistungskontrolle  Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“  Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“  Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG) 09.05.2012 Security - ONE Kongress 23
Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)  Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.  Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!  Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig  Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden  Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR 09.05.2012 Security - ONE Kongress 24
Exkurs Datenschutz Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des Arbeitgebers Weisungskompetenz Privatsphäre Mitarbeitende 09.05.2012 Security - ONE Kongress 25
Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E- Mail  Erfüllung der gesetzlichen Vorgaben  Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen  Vereinbarung der Zugriffsrechte im Notfall und Verfahren  Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren  Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger  Darlegung sämtlicher Protokollierungen  Darlegung der Archivierungsregeln  Einverständniserklärung des Mitarbeitenden notwendig  ‚Jeder weiss, was Sache ist.‘ 09.05.2012 Security - ONE Kongress 26
Exkurs Datenschutz: Inhalt Acceptable Use Policy  Information, dass Auswertungen stattfinden  Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.  Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert  Information bezüglich «General Wipe» oder «Selective Wipe»  Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss"  Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln  Einverständnis des Mitarbeitenden 09.05.2012 Security - ONE Kongress 27
Exkurs Datenschutz: Inhalt Acceptable Use Policy Mitarbeitende müssen schriftlich Ihr Einverständnis geben  Beweiszeck  Achtung: Einverständniserklärung könnte widerrufen werden Mitarbeitende können Löschung privater Daten verlangen  Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt  E Mail Archivierung!  Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails) Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese vorlebt und selber auch einhält 09.05.2012 Security - ONE Kongress 28
Exkurs Datenschutz: Inhalt Acceptable Use Policy  Privatsphäre der Mitarbeiter ist geschützt  Unternehmensinteressen bleiben gewahrt  Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen  Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert. 09.05.2012 Security - ONE Kongress 29
Stolpersteine bei BYOD Mögliche Stolpersteine  Versuch das Problem nur technisch zu lösen  Akzeptanz der BYOD-Lösung  Einschränkungen durch Gesetze  «Me to»-Strategie bei Lösungsevaluation  Fehlende Supportorganisation  Integration von 3rd Parties  Fehlende Schulung und Awareness  Keine vorbereiteten Prozesse und Weisungen  Fehlende Berücksichtigung Verfügbarkeit und BCM 09.05.2012 Security - ONE Kongress 30
Ausblick Wie geht es weiter?  Rückgang der Business Workplace Computer  Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege  Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens 09.05.2012 Security - ONE Kongress 31
Ausblick Was bedeutet dies?  Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden  Neue Ansätze im Access-Management  Stärkere Verschmelzung von Privat und Geschäft  Verstärkte Anforderungen an die Privacy in heterogenen Daten  Verstärkung des Schutzes gegen Data-Mining  Neue Angriffsvektoren 09.05.2012 Security - ONE Kongress 32
Zusammenfassung  BYOD Einsatzstrategie unter Einschluss Risiken und Chancen  Informationssicherheit und Datenschutz umfassend berücksichtigen  Ableiten der Requirements und Evaluation  Ergänzung der technischen Infrastruktur  BYOD taugliche Mobile Security Policy  Anpassung der Benutzer-, Administrations- und Betriebsweisungen  Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden 09.05.2012 Security - ONE Kongress 33
VIELEN DANK Ihre Lösung beginnt mit einem Kontakt bei uns: +41 (0)41 984 12 12, infosec@infosec.ch reto.zbinden@infosec.ch | +41 (0)79 446 83 00
INTEGRALE SICHERHEIT Über uns Seit mehr als 20 Jahren befassen wir uns professionell mit allem rund um die Sicherheit von Informationen. Wir beraten und unterstützen Sie bei der Identifizierung und der Erreichung angemessener Sicherheitsziele und bilden Ihre Mitarbeitenden aus. Die Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand: kompetent durch Erfahrung, glaubwürdig durch Unabhängigkeit, praxisorientiert durch Kundennähe! Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig. Reto C. Zbinden Rechtsanwalt, CEO 09.05.2012 Security - ONE Kongress 35
Swiss Infosec AG CONSULTING & TRAINING Aktuelle Consulting-Projekte Wir sind Ihr kompetenter Partner,  Coaching ISO 27001 Zertifizierung wenn es um folgende Themen geht:  Firmenweite Awareness-Kampagnen unter Einschluss E Learning  Informationssicherheit  Business Impact Analyse und BCM  IT-Sicherheit Strategie  Datenschutz  Krisenmanagement  Krisenmanagement  Risikoanalysen/Risiko-Workshops  Security Check-ups/Sicherheitsaudits  Business Impact Analysen / BCM  Gutachten Datenschutz/Archivierung  Elektronische Archivierung  Zertifizierungsbegleitung  ISO 27001/27002/ISMS  Social Engineering Audits  Social Engineering  Audits, PoC’s, Elektronische Archivierung  Sicherheitsaudits aller Art  Audits von Firewalls, Applikationen 09.05.2012 Security - ONE Kongress 36
Integrale Sicherheit 37 09.05.2012 Security - ONE Kongress
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld Best Practice  Strategie  Benutzergruppen, Geräte, Prozesse  Policy  AUP, Monitoring, erlaubte Geräte und Apps  NAC  Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk  Secure Access Gateway  Applikationen, Mail, ERP etc.  Network Protection  IDS, DLP etc. (Cloud)  Geräte-Management  Konfigurierung, Kontrolle, Verschlüsselung etc.  Apps-Sicherung  Verschlüsselung, Patch Management, Datenschutz 09.05.2012 Security - ONE Kongress 38
Unterschiedliche Bedürfnisse intern / extern (1/2) Confidentiality Integrity Availability Management Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von (klassifizierte) der Daten unabhängig überall unabhängig Informationen vom Endgerät vom Endgerät Fachabteilungen Zugriff auf Kunden- Korrekte Bearbeitung - und Geschäftsdaten der Daten unabhängig vom Endgerät Marketing & Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von Sales Kundendaten der Daten unabhängig überall unabhängig vom Endgerät vom Endgerät HR / Recruitment Zugriff auf Korrekte Bearbeitung - Personaldaten der Daten unabhängig vom Endgerät 09.05.2012 Security - ONE Kongress 39
Unterschiedliche Bedürfnisse intern / extern (2/2) Confidentiality Integrity Availability IT-Abteilung • Sicherstellen Anbieten von Backups • Anbieten von Schutz der und Rollbacks Support Unternehmens- • Betrieb der daten auf BYOD/MDM- privatem Gerät; Lösung • Sicherstellen der • Integration der Zugriffsrechte Devices Kunde Daten Korrekte Bearbeitung Jederzeit Zugriff von • In Rest (lokal) der Daten unabhängig überall unabhängig • In Transit vom Endgerät vom Endgerät 09.05.2012 Security - ONE Kongress 40

Empfohlen

Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionAcertigo
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Fraunhofer AISEC
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02SuperB2
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...usability.de
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
Information Rights Management
Information Rights ManagementInformation Rights Management
Information Rights ManagementHans Brender
 

Empfohlen

Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionAcertigo
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Fraunhofer AISEC
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02SuperB2
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...usability.de
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
Information Rights Management
Information Rights ManagementInformation Rights Management
Information Rights ManagementHans Brender
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Microsoft Österreich
 
Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Susanne Aukes, M.A.
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io M-Way Consulting
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - ProphylaxeCyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxejiricejka
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX AG
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016bhoeck
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Bring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtBring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtAndreas Skowronek
 
Präsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendPräsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendDaniel Bernsen
 

Weitere ähnliche Inhalte

Was ist angesagt?

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Microsoft Österreich
 
Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Susanne Aukes, M.A.
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io M-Way Consulting
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - ProphylaxeCyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxejiricejka
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX AG
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016bhoeck
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 

Was ist angesagt? (20)

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
 
Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)Soliton secure container-dme-dsgvo-de (2)
Soliton secure container-dme-dsgvo-de (2)
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io App-Sicherheit am Arbeitsplatz - mTrust.io
App-Sicherheit am Arbeitsplatz - mTrust.io
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - ProphylaxeCyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016Entrust Datacard auf der IDC Security Conference 2016
Entrust Datacard auf der IDC Security Conference 2016
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 

Andere mochten auch

Bring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtBring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtAndreas Skowronek
 
Präsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendPräsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendDaniel Bernsen
 
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule GoldauBrings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule GoldauBeat Döbeli Honegger
 
MDM Mobile Device Management
MDM Mobile Device ManagementMDM Mobile Device Management
MDM Mobile Device ManagementThomas Schuy
 
Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012Manfred_Bremmer
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 

Andere mochten auch (9)

Bring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das ArbeitsrechtBring Your Own Device und das Arbeitsrecht
Bring Your Own Device und das Arbeitsrecht
 
Präsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse ElternabendPräsentation Byod-Klasse Elternabend
Präsentation Byod-Klasse Elternabend
 
BYOD Bring your own device
BYOD Bring your own deviceBYOD Bring your own device
BYOD Bring your own device
 
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule GoldauBrings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
Brings mIT! - Von 1:1 zu BYOD - Erfahrungen der Projektschule Goldau
 
MDM Mobile Device Management
MDM Mobile Device ManagementMDM Mobile Device Management
MDM Mobile Device Management
 
Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012Computerwoche Matrix42 BYOD Studie2012
Computerwoche Matrix42 BYOD Studie2012
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
 

Ähnlich wie Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Bernd Fuhlert
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Praxistage
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfFLorian Laumer
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012jenny_splunk
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGrunerAxel S. Gruner
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplettAllessandra Negri
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMichael Hettich
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.orgBert82
 
DACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDNUG e.V.
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...Martin Merck
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Ivanti
 

Ähnlich wie Sicherheitsprobleme mit privaten Geräten im Firmenumfeld (20)

Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGruner
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplett
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.org
 
DACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdf
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
 

Mehr von ONE Schweiz

Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508ONE Schweiz
 
Sven Ruoss_watson
Sven Ruoss_watsonSven Ruoss_watson
Sven Ruoss_watsonONE Schweiz
 
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...ONE Schweiz
 
Magazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AGMagazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AGONE Schweiz
 
20140507 one keynote mc_donald's strachwitz
20140507 one keynote mc_donald's strachwitz20140507 one keynote mc_donald's strachwitz
20140507 one keynote mc_donald's strachwitzONE Schweiz
 
Barrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten TippsBarrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten TippsONE Schweiz
 
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste WebgestaltungAlexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste WebgestaltungONE Schweiz
 
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machenGregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machenONE Schweiz
 
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex LibrisJürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex LibrisONE Schweiz
 
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als ThemaHeinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als ThemaONE Schweiz
 
Ivan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop LösungenIvan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop LösungenONE Schweiz
 
John Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.chJohn Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.chONE Schweiz
 
Vera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist ChefsacheVera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist ChefsacheONE Schweiz
 
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als InnovationstreiberThorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als InnovationstreiberONE Schweiz
 
10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-Sellers10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-SellersONE Schweiz
 
ONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, BoxalinoONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, BoxalinoONE Schweiz
 
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbHONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbHONE Schweiz
 
ONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITBONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITBONE Schweiz
 
10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungenONE Schweiz
 
SimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud DatenbankSimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud DatenbankONE Schweiz
 

Mehr von ONE Schweiz (20)

Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508Stefan Zanetti__qipp_140508
Stefan Zanetti__qipp_140508
 
Sven Ruoss_watson
Sven Ruoss_watsonSven Ruoss_watson
Sven Ruoss_watson
 
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
Sarah Safri, Head of Marketing,Tutti: User mit Expertentipps und Do-it-yourse...
 
Magazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AGMagazin blog.homegate.ch, Homegate AG
Magazin blog.homegate.ch, Homegate AG
 
20140507 one keynote mc_donald's strachwitz
20140507 one keynote mc_donald's strachwitz20140507 one keynote mc_donald's strachwitz
20140507 one keynote mc_donald's strachwitz
 
Barrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten TippsBarrierefreie Websites: Die 10 wichtigsten Tipps
Barrierefreie Websites: Die 10 wichtigsten Tipps
 
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste WebgestaltungAlexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
Alexander Seifert: Altersgerechtes Internet durch angepasste Webgestaltung
 
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machenGregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
Gregor Patorski: Mitarbeiter zu Ko-Autoren im Firmenblog machen
 
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex LibrisJürg Bühler: Cross-Channel vertrieb bei Ex Libris
Jürg Bühler: Cross-Channel vertrieb bei Ex Libris
 
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als ThemaHeinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
Heinrich von Grüningen: eBalance-Blog – Abnehmen als Thema
 
Ivan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop LösungenIvan Schmid: Moderne Website und Online-Shop Lösungen
Ivan Schmid: Moderne Website und Online-Shop Lösungen
 
John Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.chJohn Riordan: Mobile Business Alerts von local.ch
John Riordan: Mobile Business Alerts von local.ch
 
Vera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist ChefsacheVera Brannen: Brand Experience Design ist Chefsache
Vera Brannen: Brand Experience Design ist Chefsache
 
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als InnovationstreiberThorsten Büring: Kundenerlebniskette als Innovationstreiber
Thorsten Büring: Kundenerlebniskette als Innovationstreiber
 
10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-Sellers10 Tipps entlang der Wertschöpfungskette eines E-Sellers
10 Tipps entlang der Wertschöpfungskette eines E-Sellers
 
ONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, BoxalinoONE2013 Experience 04 Michael Ammann, Boxalino
ONE2013 Experience 04 Michael Ammann, Boxalino
 
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbHONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
ONE2013 Experience 02 - Thomas Betz, Seitenbau GmbH
 
ONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITBONE2013 Experience 01 - Yves Meyer, ITB
ONE2013 Experience 01 - Yves Meyer, ITB
 
10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen10 do’s und dont’s der gestaltung mobiler anwendungen
10 do’s und dont’s der gestaltung mobiler anwendungen
 
SimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud DatenbankSimpleDB - Chancen einer Cloud Datenbank
SimpleDB - Chancen einer Cloud Datenbank
 

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

  • 1. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012 Security – ONE Kongress Messe Zürich Reto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
  • 2. Warum BYOD (Bring Your Own Device)?  Reduzieren von IT-Hardware-Kosten  Erhöhung der Mitarbeiterzufriedenheit (spez. im Management)  Attraktivität des Arbeitgebers  Ein Gerät an Stelle von zwei (Geschäft/Privat)  Erhöhung der Produktivität und Flexibilität  Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden  Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten  Erreichbarkeit des Kunden über neue Medien  «The Killing Application» nur auf mobiler Lösung verfügbar 09.05.2012 Security - ONE Kongress 2
  • 3. Entwicklung privater Geräte im Geschäftsumfeld 2010 2011  Personally-owned Quelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en  Company-owned 09.05.2012 Security - ONE Kongress 3
  • 4. Erfahrungen zu BYOD  Verbot mobiler privater Geräte ist nicht effizient  Gefahr der Schatten IT  Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD «Die Frage ist daher nicht, ob BYOD im Unternehmen eingeführt werden soll, sondern wie es aus Sicht Informationssicherheitsmanagement bestmöglich begleitet werden kann.» 09.05.2012 Security - ONE Kongress 4
  • 5. BYOD – einige Anforderungen…  Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können  Time-to-Market neuer Geräte  BYOD = RYOS Run your own Service – Kein, wenig oder full Support?  Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes  Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen  Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte! 09.05.2012 Security - ONE Kongress 5
  • 6. Problemfelder / Problemstellung Problemfelder / Widerstände  Sicherheitsbedenken  Keine Kontrolle über Endgerät  Sichere Ablage auf dem Endgerät  Geschäftliche Daten auf privatem Gerät  Private Daten im Geschäft  Sicherheitsperimeter «in den Händen» des Gerätenutzers  Fehlende Business Cases  Fehlende Unternehmens- und Sicherheitspolitik  Fehlende Supportorganisation und Know-how  Gefahr der Ablenkung durch das Private  Gefahr dass die Arbeit noch stärker das Privatleben durchdringt 09.05.2012 Security - ONE Kongress 6
  • 7. Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer Arbeitgeber Arbeitnehmer  Zugriff auf  Private Nutzung von E-Mail und  geschäftliche Informationen im Mail- Internet System  Schutz der Privatsphäre  in persönlichen Laufwerken  Schutz der Ressourcen vor übermassiger  Keine Verhaltensüberwachung Belastung durch private Tätigkeiten  Transparenz  Kontrolle / Auditing / Durchsetzung  Archivierung  Admins: Schutz vor unberechtigten Forderungen und Vorwürfen  Transparenz  Reputation  Beweiszweck 09.05.2012 Security - ONE Kongress 7
  • 8. Sicherheitsfragen Lösung?  Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen!  Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert!  Ziel also so häufig verfehlt…  Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor- Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!  Traditionelle Sicherheitskonzepte haben ausgedient.  Anpassung der Vorgaben auf vielen Ebenen notwendig: Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw. 8
  • 9. Informationssicherheit Was ist Informationssicherheit? Definition laut ISO 27001: Angemessene Gewährleistung der  Vertraulichkeit: Lesender Zugriff nur für autorisierte Benutzer  Integrität: Nur berechtigte Veränderungen, Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden  Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen. Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen). 09.05.2012 Security - ONE Kongress 9
  • 10. Sicherheitsfragen  Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten?  Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?  Verfügen die Geräte über angemessene Sicherheitsfeatures?  Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?  Können die Daten auf den Geräten verschlüsselt werden?  Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen?  Völliger Verzicht auf Support?  Support bis zur Virtualisierungsschicht?  Ersatzlösung für unbrauchbare oder verschwundene Geräte? 09.05.2012 Security - ONE Kongress 10
  • 11. Sicherheitsanforderungen Schutz Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät umfasst folgende Punkte:  Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“  Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“  Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“  Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“ Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten? 11
  • 13. Einführung BYOD Phase 1 «Commitment zu BYOD» Kernfragen  Was soll mit dem BYOD Einsatz erreicht werden?  Welche Gefahren ergeben sich daraus? Resultate  Risikoanalyse  BYOD Strategie  Integraler Massnahmenkatalog 09.05.2012 Security - ONE Kongress 13
  • 14. Einführung BYOD Gefahren: Recht & Compliance Gefahren: Organisation  Zugriff auf Bewegungsprofile des  Unberechtigter Zugriff auf klassifizierte Mitarbeitenden Daten  Durchmischung von Privat- und  Unsicheres Verfahren: Austritt Geschäftsdaten Mitarbeitende  Zugriffe aus dem Ausland (BaG)  Unsichere Reparatur und Wechsel der  Wer trägt die Gerätekosten und Risiken? Mobile Devices  Abgeltung an Mitarbeitende, da  Zugelassene Devices Arbeitsgerät  Aktive Accounts  Angemessener Schutz lokal abgelegter Daten  Urheberechtsverletzungen  Fehlende Nachvollziehbarkeit 09.05.2012 Security - ONE Kongress 14
  • 15. Einführung BYOD Gefahren: Mitarbeitende Gefahren: Technik  Fehlende Awareness im Umgang  Abhören der Übertragung  Zu tiefe Akzeptanz gegenüber den  Hacking des Devices (Jailbreak / Rooting) Security Massnahmen  Hacking des Passwortes  Verkauf / Verlust des Gerätes  Fehlende System- & Security-Updates  Mutwillige Beschädigung  Unsichere Datenablage auf dem Gerät  Unberechtigter Zugriff aus dem privaten  Kein Management der Devices Umfeld auf geschäftliche Daten  Funktionsumfang des Gerätes 09.05.2012 Security - ONE Kongress 15
  • 16. Company Readiness für BYOD Phase 2 «Das Unternehmen vorbereiten» Kernfragen  Was muss aus Sicht Legal & Compliance berücksichtigt werden?  Welche Prozesse und Weisungen sind anzupassen?  Welche technischen Hürden gilt es zu überwinden?  Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert? Resultate  Abklärung durch Legal- und Compliance-Abteilung  Ergänzung des ISMS um die BYOD-Thematik  Anforderungskatalog für technische Management- Lösung  Forderungen aus Business- und Endanwender Sicht 09.05.2012 Security - ONE Kongress 16
  • 17. Company Readiness für BYOD Readiness: Organisation Readiness: Recht & Compliance Integration in bestehende ISMS-Weisungen Input für: und Konzepte z.B:  Klassifizierungskonzept  BYOD-Erweiterungen im ISMS  Zugriffskonzept  Evaluation der Mobile Device  Datenschutzkonzept Management-Lösung  Weisung im Umgang mit mobilen  Awareness-Schulung zu BYOD Geräten  Company Access Management  Kontrollen/Controls bei Ein- und Austritt von Mitarbeitenden  Usability-Anforderungen von Business- Seite 09.05.2012 Security - ONE Kongress 17
  • 18. Company Readiness für BYOD Readiness: Mitarbeitende Readiness: Technik  Anforderungen an Usability  Logische Trennung von privaten und  User Interface; Customization; geschäftlichen Daten: Authentisierung  Sandbox (z.B. DME, SafeZone, Good for Enterprise)  Gewünschte Applikationen  Device Virtualisierung (VMWare MVP) –  PIM (Mail, Kalender, Kontakte); (nahe) Zukunft Intranet; SAP Reports; Remote  Desktop Virtualisierung (z.B. Citrix Desktop; etc. Receiver)  Vorbereitung Mitarbeiterschulungen  Kriterienkatalog zur Evaluation einer  Awareness Mobile Device Management-Lösung inkl. PoC  Prozesse und Weisungen  Outsourcing in die Cloud?  Company Access Management  Verfügbarkeitsanforderungen 09.05.2012 Security - ONE Kongress 18
  • 19. Company Readiness für BYOD Readiness: Evaluationskriterien  Security  Portability  Enrollment (Gerät und Software)  User Acceptance  Application Usage  Environment  Support  Availability  Legal & Compliance (Privacy, Intellectual Property) 09.05.2012 Security - ONE Kongress 19
  • 20. Deployment von BYOD Phase 3 «Produktive Einführung» Kernfragen  Wie sollen die neuen Weisungen bekannt gemacht werden?  Wie kann die korrekte Anwendung sichergestellt werden?  Was muss bezüglich Awareness getan werden? Resultate  Weisungsschulung  Anwendungsschulung  Awareness-Schulung 09.05.2012 Security - ONE Kongress 20
  • 21. Deployment von BYOD Step by step: Einführung & Schulungen Schrittweises Einführen  Organisatorisch z.B. Bereich oder Stufe  Standort Stufengerechte Schulungen  Management  Entwickler  IT  Anwender 09.05.2012 Security - ONE Kongress 21
  • 22. Exkurs Datenschutz: Anforderungen seitens Arbeitgeber  Systemprotokollierung  Wer hat was wann wo gemacht?  Schutz der Systeme und der Reputation  Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente  Archivierung  Zugriff im Notfall  Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht  Private Laufwerk des Arbeitnehmenden 09.05.2012 Security - ONE Kongress 22
  • 23. Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers  Wahrung des Briefgeheimnisses  Achtung persönlicher Sachen  Keine systematische Leistungskontrolle  Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“  Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“  Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG) 09.05.2012 Security - ONE Kongress 23
  • 24. Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal»)  Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.  Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!  Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig  Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden  Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR 09.05.2012 Security - ONE Kongress 24
  • 25. Exkurs Datenschutz Persönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz des Arbeitgebers Weisungskompetenz Privatsphäre Mitarbeitende 09.05.2012 Security - ONE Kongress 25
  • 26. Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und Sicherheit Benutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E- Mail  Erfüllung der gesetzlichen Vorgaben  Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen  Vereinbarung der Zugriffsrechte im Notfall und Verfahren  Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren  Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger  Darlegung sämtlicher Protokollierungen  Darlegung der Archivierungsregeln  Einverständniserklärung des Mitarbeitenden notwendig  ‚Jeder weiss, was Sache ist.‘ 09.05.2012 Security - ONE Kongress 26
  • 27. Exkurs Datenschutz: Inhalt Acceptable Use Policy  Information, dass Auswertungen stattfinden  Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.  Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert  Information bezüglich «General Wipe» oder «Selective Wipe»  Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss"  Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln  Einverständnis des Mitarbeitenden 09.05.2012 Security - ONE Kongress 27
  • 28. Exkurs Datenschutz: Inhalt Acceptable Use Policy Mitarbeitende müssen schriftlich Ihr Einverständnis geben  Beweiszeck  Achtung: Einverständniserklärung könnte widerrufen werden Mitarbeitende können Löschung privater Daten verlangen  Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt  E Mail Archivierung!  Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails) Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese vorlebt und selber auch einhält 09.05.2012 Security - ONE Kongress 28
  • 29. Exkurs Datenschutz: Inhalt Acceptable Use Policy  Privatsphäre der Mitarbeiter ist geschützt  Unternehmensinteressen bleiben gewahrt  Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen  Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert. 09.05.2012 Security - ONE Kongress 29
  • 30. Stolpersteine bei BYOD Mögliche Stolpersteine  Versuch das Problem nur technisch zu lösen  Akzeptanz der BYOD-Lösung  Einschränkungen durch Gesetze  «Me to»-Strategie bei Lösungsevaluation  Fehlende Supportorganisation  Integration von 3rd Parties  Fehlende Schulung und Awareness  Keine vorbereiteten Prozesse und Weisungen  Fehlende Berücksichtigung Verfügbarkeit und BCM 09.05.2012 Security - ONE Kongress 30
  • 31. Ausblick Wie geht es weiter?  Rückgang der Business Workplace Computer  Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege  Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens 09.05.2012 Security - ONE Kongress 31
  • 32. Ausblick Was bedeutet dies?  Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden  Neue Ansätze im Access-Management  Stärkere Verschmelzung von Privat und Geschäft  Verstärkte Anforderungen an die Privacy in heterogenen Daten  Verstärkung des Schutzes gegen Data-Mining  Neue Angriffsvektoren 09.05.2012 Security - ONE Kongress 32
  • 33. Zusammenfassung  BYOD Einsatzstrategie unter Einschluss Risiken und Chancen  Informationssicherheit und Datenschutz umfassend berücksichtigen  Ableiten der Requirements und Evaluation  Ergänzung der technischen Infrastruktur  BYOD taugliche Mobile Security Policy  Anpassung der Benutzer-, Administrations- und Betriebsweisungen  Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden 09.05.2012 Security - ONE Kongress 33
  • 34. VIELEN DANK Ihre Lösung beginnt mit einem Kontakt bei uns: +41 (0)41 984 12 12, infosec@infosec.ch reto.zbinden@infosec.ch | +41 (0)79 446 83 00
  • 35. INTEGRALE SICHERHEIT Über uns Seit mehr als 20 Jahren befassen wir uns professionell mit allem rund um die Sicherheit von Informationen. Wir beraten und unterstützen Sie bei der Identifizierung und der Erreichung angemessener Sicherheitsziele und bilden Ihre Mitarbeitenden aus. Die Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand: kompetent durch Erfahrung, glaubwürdig durch Unabhängigkeit, praxisorientiert durch Kundennähe! Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig. Reto C. Zbinden Rechtsanwalt, CEO 09.05.2012 Security - ONE Kongress 35
  • 36. Swiss Infosec AG CONSULTING & TRAINING Aktuelle Consulting-Projekte Wir sind Ihr kompetenter Partner,  Coaching ISO 27001 Zertifizierung wenn es um folgende Themen geht:  Firmenweite Awareness-Kampagnen unter Einschluss E Learning  Informationssicherheit  Business Impact Analyse und BCM  IT-Sicherheit Strategie  Datenschutz  Krisenmanagement  Krisenmanagement  Risikoanalysen/Risiko-Workshops  Security Check-ups/Sicherheitsaudits  Business Impact Analysen / BCM  Gutachten Datenschutz/Archivierung  Elektronische Archivierung  Zertifizierungsbegleitung  ISO 27001/27002/ISMS  Social Engineering Audits  Social Engineering  Audits, PoC’s, Elektronische Archivierung  Sicherheitsaudits aller Art  Audits von Firewalls, Applikationen 09.05.2012 Security - ONE Kongress 36
  • 37. Integrale Sicherheit 37 09.05.2012 Security - ONE Kongress
  • 38. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld Best Practice  Strategie  Benutzergruppen, Geräte, Prozesse  Policy  AUP, Monitoring, erlaubte Geräte und Apps  NAC  Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk  Secure Access Gateway  Applikationen, Mail, ERP etc.  Network Protection  IDS, DLP etc. (Cloud)  Geräte-Management  Konfigurierung, Kontrolle, Verschlüsselung etc.  Apps-Sicherung  Verschlüsselung, Patch Management, Datenschutz 09.05.2012 Security - ONE Kongress 38
  • 39. Unterschiedliche Bedürfnisse intern / extern (1/2) Confidentiality Integrity Availability Management Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von (klassifizierte) der Daten unabhängig überall unabhängig Informationen vom Endgerät vom Endgerät Fachabteilungen Zugriff auf Kunden- Korrekte Bearbeitung - und Geschäftsdaten der Daten unabhängig vom Endgerät Marketing & Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von Sales Kundendaten der Daten unabhängig überall unabhängig vom Endgerät vom Endgerät HR / Recruitment Zugriff auf Korrekte Bearbeitung - Personaldaten der Daten unabhängig vom Endgerät 09.05.2012 Security - ONE Kongress 39
  • 40. Unterschiedliche Bedürfnisse intern / extern (2/2) Confidentiality Integrity Availability IT-Abteilung • Sicherstellen Anbieten von Backups • Anbieten von Schutz der und Rollbacks Support Unternehmens- • Betrieb der daten auf BYOD/MDM- privatem Gerät; Lösung • Sicherstellen der • Integration der Zugriffsrechte Devices Kunde Daten Korrekte Bearbeitung Jederzeit Zugriff von • In Rest (lokal) der Daten unabhängig überall unabhängig • In Transit vom Endgerät vom Endgerät 09.05.2012 Security - ONE Kongress 40