26.05.2012        Unternehmenskommunikation – aber sicher!                               Claudia Eckert                   ...
26.05.2012   1. Motivation      Unternehmenskommunikation   These:  Unternehmenskommunikation kann   •     Effektivität un...
26.05.2012   1. Motivation      Unternehmenskommunikation: aber sicher!Herausforderungen• Kontrollierbare Offenheit?   Kon...
26.05.2012   2. Consumerized IT      Vorteile für Unternehmen Quelle: Booz & Company, Comsumerization of IT, 2010 Steigeru...
26.05.2012    2. Consumerized IT       Beobachtung: Trend setzt sich durch                                                ...
26.05.2012   Kommunikation als Service   Viele Chancen, aber … Sicherheits- bedenken: • Datensicherheit, • Datenverlust • ...
26.05.2012   3. Sicherheitsprobleme und Risiken      Vergleich von Consumerization Modellen                         Quelle...
26.05.2012   3. Sicherheitsprobleme und Risiken      Sicherheitsprobleme beim Cloud-Computing Heute:                      ...
26.05.2012   Zwischenfazit   Consumerization & Öffnung erfordert  • Kosten‐/Nutzenanalyse  inklusive Sicherheitsanalyse  •...
26.05.2012   4. Technische Lösungsansätze     Vielzahl von technischen Einzellösungen     • VPN fü i h       VPN für siche...
26.05.2012   4. Technische Lösungsansätze      Sichere Identität as a Service     Neuer Personalausweis    Seriennummer   ...
26.05.2012    4. Lösungsansätze       Sicherheitsdienste des iOS (iPhone, iPad)  Schutz  gegen bösartige Apps  • Code Sign...
26.05.2012     4. Lösungsansätze        Nächste Generation sicherer mobiler Endgeräte  Noch in der Entwicklung: Isolation:...
26.05.2012  4. Lösungsansätze     Cloud-Monitoring Dienste Cloud‐Leitstand des Fraunhofer AISEC                           ...
26.05.2012   4. Lösungsansätze      Sichere Mail: „as a Service?  ePostbrief: vergleichbare Ziele wie De‐Mail  Absenderide...
26.05.2012  5. Zusammenfassung   Unternehmenskommunikation as a Service   • Viele Chancen: Effektivität, Zufriedenheit, Ko...
Upcoming SlideShare
Loading in...5
×

Unternehmenskommunikation – aber sicher!

754

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
754
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unternehmenskommunikation – aber sicher!

  1. 1. 26.05.2012 Unternehmenskommunikation – aber sicher! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für IT-Sicherheit Fachforum Unternehmenskommunikation Stuttgart, 9.11. 2011C. Eckert, 9.11.2011 Agenda 1. Motivation 2. Consumerized IT  3. Sicherheitsprobleme und  Risiken 4. Lösungsansätze: Sicherheit als Service? 5. ZusammenfassungC. Eckert, 9.11.2011 1
  2. 2. 26.05.2012 1. Motivation Unternehmenskommunikation These:  Unternehmenskommunikation kann • Effektivität und Produktivität verbessern: Effektivität und Produktivität verbessern Information‐sharing, Vermeidung von  redundanten Abläufen, schnell,… • Qualität der Prozesse erhöhen:  Information ist aktuell, vollständig, … Information ist aktuell vollständig • Mitarbeiter‐ und Kunden‐Zufriedenheit  erhöhen Unternehmenskommunikation as a Service!C. Eckert, 9.11.2011 1. Motivation Unternehmenskommunikation als Service Service für Mitarbeiter & Kunden • Kommunikation as a Service Kommunikation as a Service Medienvielfalt, nahtlos, mobil • Information as a Service Austausch: von überall, auch von privaten Geräten • Kooperation as a Service Tools für gemeinsame  Dokumentenbearbei‐ l f k b b tung, Zugriff von überall, mit jedem Gerät Technologie –Thema und ManagementaufgabeC. Eckert, 9.11.2011 2
  3. 3. 26.05.2012 1. Motivation Unternehmenskommunikation: aber sicher!Herausforderungen• Kontrollierbare Offenheit? Kontrollierbare Offenheit? Vertraulichkeit, Data Leakage Prevention• Beherrschbare Vielfalt und Mobilität?  Einbindung mobiler, privater Geräte • Sichere digitale Identität? Authentizität versus Privatheit h h• Kultur‐Wandel? Neue  Sicherheits‐ &Kommunikationskultur Consumarization von ITC. Eckert, 9.11.2011 2. Consumerized IT Consumerization neue IKT Technologien, die sich zunächst im Konsumenten‐ Markt etablieren,  dringen in Organisationsstrukturen und Abläufe von Unternehmen vor Consumerization Report 2011  „An increasing number of organizations take a strategic An increasing a strategic approach to Consumerization by providing IT support for personal devices and by deploying new IT tools to secure and manage them.“ Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/C. Eckert, 9.11.2011 3
  4. 4. 26.05.2012 2. Consumerized IT Vorteile für Unternehmen Quelle: Booz & Company, Comsumerization of IT, 2010 Steigerung der Mitarbeiter‐Effektivität: • Recent studies have shown that allowing employees to d h h h ll l use innovative, state‐of‐the‐art devices and services of their own choosing can increase their efficiency.  Steigerung der Mitarbeiter‐Zufriedenheit: • Companies that can offer an IT environment that embraces this new  culture will have an advantage in the fight to hire and retain  talented young employees.  Potential zur Kostensenkung: • Reduced capital expenditures are likely as employees turn to their  own personal devices to perform work, with the added benefit of  lower device management and maintenance costs.C. Eckert, 9.11.2011 2. Consumerized IT Schritt 1: Einbinden persönlicher Endgeräte Consumerization Report 2011: • über 56% der Firmen erlauben persönliche Geräte • Aber  wenig IT SupportC. Eckert, 9.11.2011 4
  5. 5. 26.05.2012 2. Consumerized IT Beobachtung: Trend setzt sich durch Quelle: Gartner, 2010C. Eckert, 9.11.2011 2. Consumerized IT Unternehmenskommunikation as a Service Nächste Entwicklungsschritte • Consumerized IT unterstützt den Wunsch nach Flexibilität Consumerized IT unterstützt den Wunsch nach Flexibilität  und Mobilität von Mitarbeitern und Kunden • Einbindung von Sozialen (Business)  Netzen fließende Grenzen: privat, Business • Nutzung von Cloud‐Diensten: Nutzung von Cloud Diensten:  eMails, Termine, CRM etc. in der Cloud  • Effiziente gemeinsame Dokumentenbearbeitung im Web: z.B. mit Google Docs, DropboxC. Eckert, 9.11.2011 5
  6. 6. 26.05.2012 Kommunikation als Service Viele Chancen, aber … Sicherheits- bedenken: • Datensicherheit, • Datenverlust • Einhaltung von gesetzlichen Vorgaben • Verl st der Privatsphäre Verlust Pri atsphäre • Virenverseuchte persönliche Geräte •… Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Allgemeine Sicherheitsprobleme Enterprise IT security teams indicate that more of them are  concerned about the use of smartphones (46%) than are  concerned about cloud computing (37%) or data center virtualization (34%) Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies- Consumerized-IT-Environment.html Probleme: u.a.  • Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig Governance:  Compliance Prüfung bei Privatgeräten ist schwierig • E‐Discovery: Rechtlich problematischer Zugriff auf Daten von  Privatgeräten durch das  Unternehmen • Datenkontrolle: Default Konfiguration privater Geräte?  Überwachung? Kontrollierter Software‐Update? C. Eckert, 9.11.2011 6
  7. 7. 26.05.2012 3. Sicherheitsprobleme und Risiken Vergleich von Consumerization Modellen Quelle: Booz & Company, Comsumerization of IT, 2010C. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Mobile Endgeräte Risiken mit  (privaten) mobilen Endgeräte • Verlust des Gerätes : Verlust des Gerätes : Zugriff auf sensible Unternehmensdaten, Missbrauch von Identifizierungsdaten • Download von bösartigen Apps, …  Ausspionieren, Manipulieren von Daten;  ‚Durchgriff‘ auf Unternehmens‐IT: umgehen von  Kontrollen, Firewalls, etc. • Private und berufliche Nutzung:   Fehlender Zugangsschutz, sorgloser UmgangC. Eckert, 9.11.2011 7
  8. 8. 26.05.2012 3. Sicherheitsprobleme und Risiken Sicherheitsprobleme beim Cloud-Computing Heute: Bedenken : • Volle Kontrolle im • Wer kontrolliert? Unternehmen • Wo sind die Daten? • Speicherorte sind • Wer ist für Backup bekannt verantwortlich? • Backups konfiguriert • Wer besitzt Zu‐ • Zugriffskontrolle griffsrechte? durch i d h eigene Ad iAdmins. • Sind die Daten • IT ist auditierbar verfügbar? • Schutzmechanismen • Wie wird auditiert? sind konfiguriertC. Eckert, 9.11.2011 3. Sicherheitsprobleme und Risiken Soziale Netzwerke Quelle: “IT Consumers Transform the Enterprise: Are You Ready?” IDC White Paper, 2011C. Eckert, 9.11.2011 8
  9. 9. 26.05.2012 Zwischenfazit Consumerization & Öffnung erfordert • Kosten‐/Nutzenanalyse  inklusive Sicherheitsanalyse • Anpassung der Unternehmens‐Sicherheitsleitlinien Anpassung der Unternehmens Sicherheitsleitlinien  Beispiele: • Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt  oder untersagt? Wie ist der Support organisiert? • Welche Unternehmensdaten sind unter welchen Umständen  zur Speicherung und/oder Verarbeitung gestattet? zur Speicherung und/oder Verarbeitung gestattet? • Social media Policy: welche Daten sind vertraulich, …. • Was passiert bei Verlust des Geräts, Ausscheiden des  Mitarbeiters? • Wie ist das Backup organisiert?C. Eckert, 9.11.2011 Zwischenfazit Consumerization & Öffnung erfordert • Technische Kontroll‐ und Überprüfungsmaßnahmen: • ‚Health‘ Monitoring, Unternehmens‐App‐Store,… ‚ ea t o to g, U te e e s pp Sto e,… • Sicherheitsschulungen und Awarenessmaßnahmen  • Zielgruppengerechte Schulung • Entwicklung einer unternehmensweiten  Kommunikations‐ und Sicherheitskultur • Eigenverantwortung, Incentivierung Unternehmenskommunikation as a Service:  • Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur   • Basis: Technische (Sicherheits)‐ServicesC. Eckert, 9.11.2011 9
  10. 10. 26.05.2012 4. Technische Lösungsansätze Vielzahl von technischen Einzellösungen • VPN fü i h VPN für sichere Kommunikation K ik i • Zugriffskontrolle auf Datenbanken (Rollen etc.) • Passwort‐basierte Identifizierung • Intrusion Detection in Unternehmen • Backup‐Regelungen • Update‐/Patchmanagement  Trend:  Auch Sicherheit as a Service nutzenC. Eckert, 9.11.2011 4. Lösungsansätze Sichere Identität as a Service eID beim nPA Hoheitlicher Bereich Internet Optional Signatur - Optional Daten für hoheitliche eID-Funktion (Identitätsnachweis) für Signatur für E- Anwendungen E-Government / E-Business (online) Government / (offline) E-Business (online / - Name, Vorname offline) - Gesichtsbild - Ordens-/Künstlername - 2 Fingerabdrücke - Signaturschlüssel - Doktorgrad (optional) - Signaturzertifikat - Geburtsdatum - MRZ-Daten (Name, Vorname, -G b t t Geburtsort für die qualifizierte Geburtsdatum etc.) - Adresse elektronische Signatur - Wohnort-ID nach deutschem Signaturgesetz - Altersverifikation - Verifikation des Wohnorts - Pseudonym - SperrmerkmalC. Eckert, 9.11.2011 10
  11. 11. 26.05.2012 4. Technische Lösungsansätze Sichere Identität as a Service Neuer Personalausweis Seriennummer Persönliche Daten Ablaufdatum Card Access Number (CAN) Machinenlesbare Zone (MRZ) - Doc-Typ, Seriennummer - Geburtsdatum - Ablaufdatum - Name, Vorname Gut verwendbar für Online‐Identifizierung (Portale etc.) Gut verwendbar für Online Identifizierung (Portale etc ) • Identifizierung von Mitarbeitern, Kunden Aber schwierig für flexibleren Einsatz im Unternehmen: • Z.B. Einsatz als Zutrittsausweis ist schwierigC. Eckert, 9.11.2011 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz des Geräts • Nutzer‐definierbarer Passcode • starke Verschlüsselung (AES‐256) von Nutzdaten Schlüssel : nicht auslesbar, mit Passcode schützbar • Keychain: Passcode‐geschützter  Speicher für  Passwörter, Schlüssel, Zertifikate etc.  • Remote Wipe : Löschbefehl und Deaktivierung des Geräts Remote Wipe : Löschbefehl und Deaktivierung des Geräts  über das Mobilfunknetz • Local Wipe: Daten auf dem Gerät werden nach 10       Falscheingaben des Passcodes  gelöscht und gesperrtC. Eckert, 9.11.2011 11
  12. 12. 26.05.2012 4. Lösungsansätze Sicherheitsdienste des iOS (iPhone, iPad) Schutz  gegen bösartige Apps • Code Signing g g • Apps werden mit Developer Zertifikat signiert • Vor der Verteilung einer App im AppStore wird diese  zusätzlich von Apple signiert • Unsignierte Apps werden nicht ausgeführt • Application Sandboxing Application Sandboxing • Jede App kann nur auf eigene Dateien/Einstellungen  zugreifen • Kein direkter Zugriff auf OS RessourcenC. Eckert, 9.11.2011 4. Lösungsansätze Schutzkonzepte von iOS (iPhone, iPad) Gut, aber nicht gut genug • Jailbreak: Erlangung von root‐Rechten auf System g g y • Zugriff auf System, Baseband  und Keychain • Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella • Erkennung von gejailbreakten Geräten durch  Unternehmen schwierig: Gefahr von Malware etc. • Forensische Analysen von verschlüsselten Daten Forensische Analysen von verschlüsselten Daten • Extrahierung von Passcode, Passwörtern, Schlüssel Zusätzliche Sicherheitsservices  sind notwendig: • Passcode Policies, Sperrungen, sichere Konfiguration, …C. Eckert, 9.11.2011 12
  13. 13. 26.05.2012 4. Lösungsansätze Nächste Generation sicherer mobiler Endgeräte Noch in der Entwicklung: Isolation: Business/privatMobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Mobile Public Services Services Quelle: Giesecke&Devrient C. Eckert, 9.11.2011 4. Lösungsansätze Sicheres Cloud-Computing „Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess Checkliste des BSI als Hilfestellung • Schritt 1: Sicherheitsanalyse Planungs- phase • Schritt 2: Auswahl des Dienstleisters • Schritt 3: Vertragsgestaltung Umsetzun g und • Schritt 4: Migration Migration Betriebs- • Schritt 5: Aufrechterhaltung des sicheren Betriebs phase Beendigu • Schritt 6: sichere Beendigung der Auslagerung ng C. Eckert, 9.11.2011 13
  14. 14. 26.05.2012 4. Lösungsansätze Cloud-Monitoring Dienste Cloud‐Leitstand des Fraunhofer AISEC  Innovation  Workflow GRC Individuell konfigurierbare Individuell konfigurierbare die für Cloud Manager Manager Policy Metrics Monitoringdienste Manager Manager  Datenflußanalyse,  … PLUGINS Application Log‐Überwachung, Modelle Vorlagen Event Bus Application Server DSL Interpreter Störfallmonitoring, … App Controller Complex Event Processing p g … Java VM MONITORING FRAMEWORK Virtuelle Maschine Virtuelle Maschine Xen / KVM Hypervisor BetriebssystemC. Eckert, 9.11.2011 4. Lösungsansätze Sichere Mail: „as a Service? De‐Mail: Verschlüsselt, authentisch, nachweisbarC. Eckert, 9.11.2011 14
  15. 15. 26.05.2012 4. Lösungsansätze Sichere Mail: „as a Service? ePostbrief: vergleichbare Ziele wie De‐Mail Absenderidentität:  • Registrierung mit   POSTIDENT Vertraulich:  • verschlüsselter ePostBrief Verlässlich:  Verlässlich: • Absender erhält Bestätigung  über  Versand, Zustellung  Sichere Mail‐Service: Strukturen sind anzupassenC. Eckert, 9.11.2011 4. Lösungsansätze Fazit Sichere Unternehmenskommunikation as a Service • Viele Einzellösungen sind vorhanden, aber  • ein Bauplan für das Gesamtsystem ist erforderlich! • Kombination der Einzellösungen  u e e t ag ä ge Syste zu einem tragfähigen System • Individuelle Anforderungen sind zu beachten • ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem MarktC. Eckert, 9.11.2011 15
  16. 16. 26.05.2012 5. Zusammenfassung Unternehmenskommunikation as a Service • Viele Chancen: Effektivität, Zufriedenheit, Kosten Customerized IT ist ein wichtiger Trend hierfür • Medienvielfalt, always‐on, ubiquitärer Zugriff Heterogenität, Offenheit und Mobilität: • Vielzahl von Sicherheitsproblemen & Risiken Umfassendes Konzept erforderlich: • Technisch, organisatorisch, Awareness, Kultur Unternehmenskommunikation als Dienstleistung:  Eine Investition in die Zukunftsfähigkeit! Aber sicher!C. Eckert, 9.11.2011 Vielen Dank für Ihre Aufmerksamkeit Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: E M il claudia.eckert@aisec.fraunhofer.de l di k t@ i f h f d Internet: http://www.aisec.fraunhofer.deC. Eckert, 9.11.2011 32 16

×