26.05.2012

1

Unternehmenskommunikation – aber sicher!

Claudia Eckert

Fraunhofer AISEC, München

TU München, Lehrstuhl für IT-Sicherheit

C. Eckert, 9.11.2011

Fachforum Unternehmenskommunikation

Stuttgart, 9.11. 2011

Agenda

1. Motivation

2. Consumerized IT 

3. Sicherheitsprobleme und  Risiken

4. Lösungsansätze: Sicherheit als Service?

5. Zusammenfassung

C. Eckert, 9.11.2011

26.05.2012

2

1. MotivationUnternehmenskommunikation

These:  Unternehmenskommunikation kann

• Effektivität und Produktivität verbessern• Effektivität und Produktivität verbessern:

Information‐sharing, Vermeidung von 

redundanten Abläufen, schnell,…

• Qualität der Prozesse erhöhen: 

Information ist aktuell vollständig

C. Eckert, 9.11.2011

Information ist aktuell, vollständig, …

• Mitarbeiter‐ und Kunden‐Zufriedenheit 

erhöhen

Unternehmenskommunikation as a Service!

1. MotivationUnternehmenskommunikation als Service

Service für Mitarbeiter & Kunden

• Kommunikation as a ServiceKommunikation as a Service

Medienvielfalt, nahtlos, mobil

• Information as a Service

Austausch: von überall, auch von privaten Geräten

• Kooperation as a Service

l f k b b

C. Eckert, 9.11.2011

Tools für gemeinsame  Dokumentenbearbei‐

tung, Zugriff von überall, mit jedem Gerät

Technologie –Thema und Managementaufgabe

26.05.2012

3

1. MotivationUnternehmenskommunikation: aber sicher!

Herausforderungen

• Kontrollierbare Offenheit?Kontrollierbare Offenheit?

Vertraulichkeit, Data Leakage Prevention

• Beherrschbare Vielfalt und Mobilität? 

Einbindung mobiler, privater Geräte 

• Sichere digitale Identität?

h h

C. Eckert, 9.11.2011

Authentizität versus Privatheit

• Kultur‐Wandel?

Neue  Sicherheits‐ &Kommunikationskultur

Consumarization von IT

2. Consumerized IT

Consumerization

neue IKT Technologien, die sich zunächst

im Konsumenten‐Markt etablieren, 

dringen in Organisationsstrukturen

und Abläufe von Unternehmen vor

Consumerization Report 2011 

An increasing number of organizations take a strategic

C. Eckert, 9.11.2011

„An increasing number of organizations take a strategicapproach to Consumerization by providing IT support forpersonal devices and by deploying new IT tools to secureand manage them.“

Quelle: bringyourownit.com/2011/09/26/trend‐micro‐consumerization‐report‐2011/

26.05.2012

4

2. Consumerized ITVorteile für Unternehmen

Quelle: Booz & Company, Comsumerization of IT, 2010

Steigerung der Mitarbeiter‐Effektivität:

d h h h ll l• Recent studies have shown that allowing employees touse innovative, state‐of‐the‐art devices and servicesof their own choosing can increase their efficiency. 

Steigerung der Mitarbeiter‐Zufriedenheit:

• Companies that can offer an IT environment that embraces this new culture will have an advantage in the fight to hire and retain 

C. Eckert, 9.11.2011

talented young employees. 

Potential zur Kostensenkung:• Reduced capital expenditures are likely as employees turn to their 

own personal devices to perform work, with the added benefit of lower device management and maintenance costs.

Consumerization Report 2011:• über 56% der Firmen erlauben

2. Consumerized ITSchritt 1: Einbinden persönlicher Endgeräte

persönliche Geräte• Aber  wenig IT Support

C. Eckert, 9.11.2011

26.05.2012

5

2. Consumerized ITBeobachtung: Trend setzt sich durch

C. Eckert, 9.11.2011

Que

lle: G

artn

er, 2

010

2. Consumerized ITUnternehmenskommunikation as a Service

Nächste Entwicklungsschritte

• Consumerized IT unterstützt den Wunsch nach FlexibilitätConsumerized IT unterstützt den Wunsch nach Flexibilität 

und Mobilität von Mitarbeitern und Kunden

• Einbindung von Sozialen (Business)  Netzenfließende Grenzen: privat, Business

• Nutzung von Cloud‐Diensten:

C. Eckert, 9.11.2011

Nutzung von Cloud Diensten: 

eMails, Termine, CRM etc. in der Cloud 

• Effiziente gemeinsame Dokumentenbearbeitung im Web:

z.B. mit Google Docs, Dropbox

26.05.2012

6

Kommunikation als ServiceViele Chancen, aber …

Sicherheits-bedenken:bedenken:• Datensicherheit,• Datenverlust• Einhaltung von gesetzlichen VorgabenVerl st der Pri atsphäre

C. Eckert, 9.11.2011

Quelle: bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/

• Verlust der Privatsphäre• Virenverseuchte persönliche

Geräte• …

Enterprise IT security teams indicate that more of them are 

concerned about the use of smartphones (46%) than are 

3. Sicherheitsprobleme und RisikenAllgemeine Sicherheitsprobleme

concerned about cloud computing (37%) or data center

virtualization (34%)Quelle: http://www.windowsecurity.com/articles/Setting-Effective-Security-Policies-

Consumerized-IT-Environment.html

Probleme: u.a. 

• Governance: Compliance‐Prüfung bei Privatgeräten ist schwierig

C. Eckert, 9.11.2011

Governance:  Compliance Prüfung bei Privatgeräten ist schwierig

• E‐Discovery: Rechtlich problematischer Zugriff auf Daten von Privatgeräten durch das  Unternehmen

• Datenkontrolle: Default Konfiguration privater Geräte? Überwachung? Kontrollierter Software‐Update? 

26.05.2012

7

Quelle: Booz & Company, Comsumerization of IT, 2010

3. Sicherheitsprobleme und RisikenVergleich von Consumerization Modellen

C. Eckert, 9.11.2011

Risiken mit  (privaten) mobilen Endgeräte

• Verlust des Gerätes :

3. Sicherheitsprobleme und RisikenMobile Endgeräte

• Verlust des Gerätes :

Zugriff auf sensible Unternehmensdaten,

Missbrauch von Identifizierungsdaten

• Download von bösartigen Apps, … 

Ausspionieren, Manipulieren von Daten; 

C. Eckert, 9.11.2011

‚Durchgriff‘ auf Unternehmens‐IT: umgehen von Kontrollen, Firewalls, etc.

• Private und berufliche Nutzung:  

Fehlender Zugangsschutz, sorgloser Umgang

26.05.2012

8

Heute:

• Volle Kontrolle im

Bedenken :

• Wer kontrolliert?

3. Sicherheitsprobleme und RisikenSicherheitsprobleme beim Cloud-Computing

Unternehmen

• Speicherorte sind

bekannt

• Backups konfiguriert

• Zugriffskontrolle

d h i Ad i

• Wo sind die Daten?

• Wer ist für Backup

verantwortlich?

• Wer besitzt Zu‐

griffsrechte?

C. Eckert, 9.11.2011

durch eigene Admins.

• IT ist auditierbar

• Schutzmechanismen

sind konfiguriert

• Sind die Daten

verfügbar?

• Wie wird auditiert?

3. Sicherheitsprobleme und RisikenSoziale Netzwerke

Quelle: “IT Consumers Transform the Enterprise: Are You Ready?”IDC White Paper, 2011

C. Eckert, 9.11.2011

26.05.2012

9

• Kosten‐/Nutzenanalyse  inklusive Sicherheitsanalyse

• Anpassung der Unternehmens‐Sicherheitsleitlinien

ZwischenfazitConsumerization & Öffnung erfordert

Anpassung der Unternehmens Sicherheitsleitlinien 

Beispiele:

• Welche Endgeräte sind erlaubt? Welche WebApps sind erlaubt 

oder untersagt? Wie ist der Support organisiert?

• Welche Unternehmensdaten sind unter welchen Umständen 

zur Speicherung und/oder Verarbeitung gestattet?

C. Eckert, 9.11.2011

zur Speicherung und/oder Verarbeitung gestattet?

• Social media Policy: welche Daten sind vertraulich, ….

• Was passiert bei Verlust des Geräts, Ausscheiden des 

Mitarbeiters?

• Wie ist das Backup organisiert?

• Technische Kontroll‐ und Überprüfungsmaßnahmen:

• ‚Health‘ Monitoring, Unternehmens‐App‐Store,…

ZwischenfazitConsumerization & Öffnung erfordert

‚ ea t o to g, U te e e s pp Sto e,…

• Sicherheitsschulungen und Awarenessmaßnahmen 

• Zielgruppengerechte Schulung

• Entwicklung einer unternehmensweiten 

Kommunikations‐ und Sicherheitskultur

C. Eckert, 9.11.2011

• Eigenverantwortung, Incentivierung

Unternehmenskommunikation as a Service: 

• Notwendig: Regelwerke, Awareness & Sicherheits‐Kultur  

• Basis: Technische (Sicherheits)‐Services

26.05.2012

10

Vielzahl von technischen Einzellösungen

VPN fü i h K ik i

4. Technische Lösungsansätze

• VPN für sichere Kommunikation

• Zugriffskontrolle auf Datenbanken (Rollen etc.)

• Passwort‐basierte Identifizierung

• Intrusion Detection in Unternehmen

C. Eckert, 9.11.2011

• Backup‐Regelungen

• Update‐/Patchmanagement 

Trend:  Auch Sicherheit as a Service nutzen

4. LösungsansätzeSichere Identität as a Service

eID beim nPA

Daten für hoheitliche Anwendungen (offline)

- Gesichtsbild

- 2 Fingerabdrücke (optional)

- MRZ-Daten

eID-Funktion (Identitätsnachweis) für E-Government / E-Business (online)

- Name, Vorname

- Ordens-/Künstlername

- Doktorgrad

- Geburtsdatum

G b t t

Signatur für E-Government / E-Business (online / offline)

- Signaturschlüssel

- Signaturzertifikat

Hoheitlicher Bereich Internet Optional Signatur - Optional

C. Eckert, 9.11.2011

(Name, Vorname, Geburtsdatum etc.)

- Geburtsort

- Adresse

- Wohnort-ID

- Altersverifikation

- Verifikation des Wohnorts

- Pseudonym

- Sperrmerkmal

für die qualifizierte elektronische Signatur nach deutschem Signaturgesetz

26.05.2012

11

Seriennummer

Persönliche Daten

4. Technische LösungsansätzeSichere Identität as a Service

Neuer Personalausweis

Card Access Number(CAN)

Machinenlesbare Zone (MRZ) - Doc-Typ, Seriennummer- Geburtsdatum- Ablaufdatum- Name, Vorname

Ablaufdatum

Gut verwendbar für Online Identifizierung (Portale etc )

C. Eckert, 9.11.2011

Gut verwendbar für Online‐Identifizierung (Portale etc.)

• Identifizierung von Mitarbeitern, Kunden

Aber schwierig für flexibleren Einsatz im Unternehmen:

• Z.B. Einsatz als Zutrittsausweis ist schwierig

4. LösungsansätzeSicherheitsdienste des iOS (iPhone, iPad)

Schutz des Geräts

• Nutzer‐definierbarer Passcode• starke Verschlüsselung (AES‐256) von NutzdatenSchlüssel : nicht auslesbar, mit Passcode schützbar

• Keychain: Passcode‐geschützter  Speicher für Passwörter, Schlüssel, Zertifikate etc. 

• Remote Wipe : Löschbefehl und Deaktivierung des Geräts

C. Eckert, 9.11.2011

• Remote Wipe : Löschbefehl und Deaktivierung des Geräts 

über das Mobilfunknetz

• Local Wipe: Daten auf dem Gerät werden nach 10      

Falscheingaben des Passcodes  gelöscht und gesperrt

26.05.2012

12

4. LösungsansätzeSicherheitsdienste des iOS (iPhone, iPad)

Schutz  gegen bösartige Apps

• Code Signingg g

• Apps werden mit Developer Zertifikat signiert

• Vor der Verteilung einer App im AppStore wird diese 

zusätzlich von Apple signiert

• Unsignierte Apps werden nicht ausgeführt

• Application Sandboxing

C. Eckert, 9.11.2011

• Application Sandboxing• Jede App kann nur auf eigene Dateien/Einstellungen 

zugreifen

• Kein direkter Zugriff auf OS Ressourcen

4. LösungsansätzeSchutzkonzepte von iOS (iPhone, iPad)

Gut, aber nicht gut genug

• Jailbreak: Erlangung von root‐Rechten auf Systemg g y

• Zugriff auf System, Baseband  und Keychain

• Viele Hacking‐Tools : Redsn0w, sn0wbreeze, TinyUmbrella

• Erkennung von gejailbreakten Geräten durch 

Unternehmen schwierig: Gefahr von Malware etc.

• Forensische Analysen von verschlüsselten Daten

C. Eckert, 9.11.2011

• Forensische Analysen von verschlüsselten Daten• Extrahierung von Passcode, Passwörtern, Schlüssel

Zusätzliche Sicherheitsservices  sind notwendig:

• Passcode Policies, Sperrungen, sichere Konfiguration, …

26.05.2012

13

4. LösungsansätzeNächste Generation sicherer mobiler Endgeräte

Noch in der Entwicklung: Isolation: Business/privat

Mobile Payment Mobile Banking Mobile Ticketing Mobile Visa Mobile Health Services

Mobile Public Services

C. Eckert, 9.11.2011

Quelle: Giesecke&Devrient

4. LösungsansätzeSicheres Cloud-Computing

„Cloudisierung“: IT‐Sicherheit im Life Cycle Prozess

Checkliste des BSI als HilfestellungCheckliste des BSI als Hilfestellung

Planungs-phase

• Schritt 1: Sicherheitsanalyse• Schritt 2: Auswahl des Dienstleisters

Umsetzung und

Migration

• Schritt 3: Vertragsgestaltung• Schritt 4: Migration

C. Eckert, 9.11.2011

Betriebs-phase

• Schritt 5: Aufrechterhaltung des sicheren Betriebs

Beendigung

• Schritt 6: sichere Beendigung der Auslagerung

26.05.2012

14

Individuell konfigurierbareWorkflowManager

GRCManager

Innovationfür die

Cloud‐Leitstand des Fraunhofer AISEC 

4. LösungsansätzeCloud-Monitoring Dienste

Individuell konfigurierbare

Monitoringdienste

Datenflußanalyse, 

Log‐Überwachung,

Störfallmonitoring, …App Controller

Application Server

Application Modelle

DSL Interpreter

Complex Event ProcessingEve

nt

Bu

s

Vorlagen

PLUGINS

PolicyManager

MetricsManager

…

Cloud

C. Eckert, 9.11.2011

…MONITORING FRAMEWORK

Betriebssystem

Xen / KVM Hypervisor

Virtuelle Maschine Virtuelle Maschine

Java VM

p g

4. LösungsansätzeSichere Mail: „as a Service?

De‐Mail: Verschlüsselt, authentisch, nachweisbar

C. Eckert, 9.11.2011

26.05.2012

15

4. LösungsansätzeSichere Mail: „as a Service?

ePostbrief: vergleichbare Ziele wie De‐MailAbsenderidentität: • Registrierung mit  POSTIDENT

Vertraulich: • verschlüsselter ePostBrief

Verlässlich:

C. Eckert, 9.11.2011

Verlässlich: • Absender erhält Bestätigung über  Versand, Zustellung 

Sichere Mail‐Service: Strukturen sind anzupassen

4. LösungsansätzeFazit

Sichere Unternehmenskommunikation as a Service

• Viele Einzellösungen sind vorhanden, aber 

• ein Bauplan für das Gesamtsystem ist erforderlich!

• Kombination der Einzellösungen 

zu einem tragfähigen System

C. Eckert, 9.11.2011

u e e t ag ä ge Syste

• Individuelle Anforderungen sind zu beachten

• ‚Fertighäuser‘ gibt es derzeit noch nicht auf dem Markt

26.05.2012

16

5. Zusammenfassung

Unternehmenskommunikation as a Service

• Viele Chancen: Effektivität, Zufriedenheit, Kosten

Customerized IT ist ein wichtiger Trend hierfür

• Medienvielfalt, always‐on, ubiquitärer Zugriff

Heterogenität, Offenheit und Mobilität:

• Vielzahl von Sicherheitsproblemen & Risiken

Umfassendes Konzept erforderlich:

C. Eckert, 9.11.2011

Umfassendes Konzept erforderlich:

• Technisch, organisatorisch, Awareness, Kultur

Unternehmenskommunikation als Dienstleistung: 

Eine Investition in die Zukunftsfähigkeit! Aber sicher!

Vielen Dank für Ihre Aufmerksamkeit

Claudia Eckert

Fraunhofer AISEC, München

TU München, Lehrstuhl für Sicherheit in der

Informatik

E M il l di k t@ i f h f d

C. Eckert, 9.11.2011 32

E-Mail: claudia.eckert@aisec.fraunhofer.de

Internet: http://www.aisec.fraunhofer.de