Darf es ein bisschen mehr sein - Konzepte und Strategien zur Bewältigung groß...
Mobile Datensicherheit IHK 2012
1. Mobile Security –
Was ist Mobile Security und welche Bedeutung
hat es für mein Unternehmen?
Präsentation für die Veranstaltung
„Mobile Datensicherheit“
der IHK Wuppertal-Solingen-Remscheid
24.10.2012
Autoren:
Paul Dziwoki, Hans-Jörg Stangor
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 2 / 57
2. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 3 / 57
3. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 4 / 57
4. Smartphones im Unternehmen: Traditionell
Eigentlich ein altes Thema
Primär E-Mail & Personal Information
Management (PIM)
Begrenztes App Angebot
Eingeschränkte Internetnutzung
Tendenziell „sicher“
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 5 / 57
5. Smartphones und Tablets: Aktuell
Ob Android, iOS oder Windows Mobile:
allesamt „Schweizer Taschenmesser“
Riesiges Angebot an Produktiv-Apps
Mobiles Internet & WLAN
Integration von Firmen-Backends
GPS Funktionalität
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 6 / 57
6. Einsatzszenarien
Komfort-Faktor (leichter als Laptop)
Fahrzeiten nutzen
Mit Kollegen & Kunden in Kontakt bleiben
Die nötigen Dokumente stets dabei
Recherche-Möglichkeit
Navigationshilfe
Vor Ort Daten erfassen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 7 / 57
7. Einsatzorte
In der Firma
Im Auto / ÖPNV
Zu Hause
Beim Kunden
Im Hotel und Restaurant
- weltweit -
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 8 / 57
8. Beurteilung Unternehmenseinsatz
Reichlich sinnvolles Nutzungspotential…
…aber auch großes Gefahrenpotential!
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 9 / 57
9. Vor der Einführung im Unternehmen
Richtlinie für den Unternehmenseinsatz
Konfiguration / Einstellungen Firmen-Geräte festlegen
Schwierigeres Thema: „Bring your own devices“ („BYOD“)
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 10 / 57
10. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 11 / 57
11. Integration Unternehmens-Ressourcen
SIM Karte einlegen (EDGE/3G/LTE)
WiFi-Zugänge einrichten
VPN zum Firmen-Intranet
E-Mail, Adressbuch, Kalender anbinden
Produktiv-Apps installieren
Firmen-Dokumente offline verfügbar machen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 12 / 57
12. Basics der Geräteabsicherung
Studium der Richtlinie für den Unternehmens-Einsatz
Passcodes einrichten (Password oder PIN für den Gerätezugang)
Einstellen wie lange das Gerät nach Passcode-Eingabe offen ist
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 13 / 57
13. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 14 / 57
14. Passcodes: Generelle Fragen
Wer schaut Ihnen bei der Eingabe des Passcodes zu?
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 15 / 57
15. Passcode-Typen
4 Ziffern
Passwort
Pattern-Lock
Gesichtserkennung (Facial Recognition)
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 16 / 57
16. Passcode Beispiele
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 17 / 57
17. Passcode Beispiele
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 18 / 57
18. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 19 / 57
19. Integration privater Netze
Private WiFi-Zugänge einrichten
Private Dokumente und Inhalte aufspielen
Ankopplung an Nicht-Firmen-PCs:
– Eigener PC
– PCs Familienmitglieder
– PCs von Freunden & Bekannten
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 20 / 57
20. iTunes / iPhone Backup
Oft unverschlüsselt (Standardeinstellung)
Backup ist lediglich Ordnerstruktur mit allen Benutzerdaten
– PIM (Kalender, Notizen, Adressen, …)
– App-Daten oft in sqlite-Datenbanken
Sich absichern: Lediglich ein
Häkchen in iTunes
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 21 / 57
21. iTunes Komfort
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 22 / 57
22. Wie entsteht dieser Komfort?
iTunes erstellt nach
Entsperrung der Device
Lockdown Zertifikate
Sobald diese auf dem
Rechner sind:
Passcode unnötig
Andere Anwendungen
können diese nutzen…
…auch nach Passcode-
Änderung!
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 23 / 57
23. Lokation der Lockdown Zertifikate
OSX /private/var/db/lockdown
Windows 7 C:ProgramDataAppleLockdown
Übertragbar… selbst zwischen Betriebssystemen!
– Der Grund warum Polizei mit Smartphone auch PC beschlagnahmt
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 24 / 57
24. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 25 / 57
25. Szenario: Verlust / Diebstahl
Gutes Gefühl: Möglichkeit zur Fernlöschung
– Kann unterbunden werden!
• SIM entfernen
• Flugmodus
• In Faraday Bag verpacken
Drama: Falls Smartphone nicht mit Passcode
gesichert ist
Aber auch mit aktiviertem Passcode gibt es
Probleme
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 26 / 57
26. Sicherheit von Passcodes
Maschinelle Entschlüsselungsdauer
4 Ziffern ca. 0,5 h
6 Ziffern 2 Tage
8 Ziffern 6 Monate
6 Buchstaben 1,5 Jahre
4 Ziffern/Buchstaben 3 Tage
6 Ziffern/Buchstaben 10 Jahre
Quelle: c‘t 2011 Heft 15, Artikel „iOpener“
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 27 / 57
27. Angriff ohne Lockdown Zertifikat
Fraunhofer SIT Hack
Kann gesetzten Passcode umgehen und Schlüsselbund extrahieren
App Passwörter zum Teil entschlüsselbar (z.B. SIM Pin)
Bis iPhone4 auf diese Art Zugang zu Exchange Server Accounts
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 28 / 57
28. Angriffsschwierigkeit je nach Einstellung
Passcode BruteForce Lockdown- Fraunhofer
Angriff Zertifikate Angriff **
Ohne 0 min 0 min 0 min
Numerisches
< 30min 0 min 6 min
Passwort
Langes
Je nach
„sicheres“ 0 min 6 min
Passwort-Länge
Passwort
** ermittelt nur Teil der Passwörter, nicht den Passcode
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 29 / 57
29. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 30 / 57
30. Jailbreaks/Rootkits – Warum?
Alternative App Stores zulassen (iOS)
Apps kostenlos installieren (iOS)
Oberfläche/Systemelemente verändern,
neue Optik, etc.
Eventuelle Einschränkungen
entfernen, die durch Firmen-
Richtlinien gesetzt wurden (iOS)
(SIM-Sperre entfernen)
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 31 / 57
31. Jailbreaks/Rootkits – Risiken
Nach Jailbreak lässt sich ein
Smartphone fernsteuern (SSH-
Server)
Apps haben danach Zugriff auf alle
Bereiche (Root-Rechte), können
sensible Daten auslesen (z.B.
Passwörter) und verändern
Aktuelle Sicherheitsupdates
werden meistens nicht eingespielt,
da diese ein erneutes Jailbreaking
erfordern!
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 32 / 57
32. Jailbreaks/Rootkits – Risiken (iOS)
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 33 / 57
33. Jailbreaks/Rootkits – Gegenmaßnahmen
Standardpasswörter ändern und/oder
entsprechende Serverdienste (z.B. SSH)
ausschalten!
Nur Apps von vertrauenswürdigen Quellen
installieren
Problem: für die neuesten Sicherheitsupdates
existiert meistens noch kein Jailbreak (z.B.
iOS 6, Android JB)
Besser: nicht Jailbreaken
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 34 / 57
34. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Livedemo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 35 / 57
35. Nutzung Public WLAN – Warum?
Besonders im Ausland attraktiv
(spart hohe Roaming-Gebühren)
Schneller Datentransfer
Manchmal hat man kein 3G/4G
Netzempfang
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 36 / 57
36. Nutzung Public WLAN / Hotspot - Risiken
Datenverkehr kann leicht mitgelesen
und manipuliert werden
– Passwörter
– Einschleusen von Hintertüren
Public WLAN kann auch vom
Angreifer selbst stammen:
– Einmal mit einem Zugangsnamen
verbunden, verbindet sich
Smartphone automatisch immer
wieder mit dieser WLAN-Kennung, MITM = „Man in the Middle“
egal an welchem Ort
Jailbreaks mit SSH-Server und
Standardpasswort: offene Tür für
Angreifer
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 37 / 57
37. Nutzung Public WLAN – Gegenmaßnahmen
Nur Apps nutzen, die Datenverkehr
gut verschlüsseln
Beispiele:
– VoIP: verschlüsselt nicht
– Skype: verschlüsselt
Nicht mit dem Browser im Internet
surfen => Gefahr das Code
eingeschleust wird
Besser: Sich selbst um
Verschlüsselungsschicht kümmern:
VPN-Tunnel
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 38 / 57
38. Man in the Middle Angriff ohne WLAN (iPhone)
Möglich durch Proxyserver in
Internet-Einstellungen
Diese Proxyserver Einstellungen
kann man z.B. per E-Mail erhalten
(siehe Bild)
Gleiche Risiken wie beim Angriff
über das Public WLAN, darüber
hinaus sind selbst SSL
verschlüsselte Verbindungen
betroffen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 39 / 57
39. Man in the Middle Angriff ohne WLAN (iPhone) -
Gegenmaßnahmen
Update auf iOS6
Keine Konfigurationsdateien
installieren, die nicht überprüft
sind!
Aufpassen bei Änderungen der
Internet-Einstellungen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 40 / 57
40. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 41 / 57
41. Altes Smartphone entsorgen
Löschen aller Daten „per Hand“ vor
Verkauf des alten Smartphones
Risiken:
– Undelete-Tools (finden überraschend
viele Inhalte wieder)
– Man findet manchmal Daten die vor
Jahren gelöscht wurden
Gegenmaßnahmen:
– Speicher vorher vollständig mit anderen
Daten überschreiben
– Spezielle Formattools nutzen
(z.B. DiskWipe)
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 42 / 57
42. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 43 / 57
43. Live-Demo – Aufbau und Verlauf
Verlauf
1. Verbindung iPhone ->
WLAN
2. Ermitteln der iPhone
Adresse
3. Datenverkehr mitlesen
4. iPhone Sicherheits-
lücken suchen
5. iPhone Adressbuch
kopieren
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 44 / 57
44. Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 45 / 57
45. Richtlinie für den Einsatz
Keine unverschlüsselten vertraulichen Inhalte (Passwörter)
Legitime Bezugsquellen für Apps und Inhalte
Keine Jailbreaks oder Änderung
an Konfiguration
Nutzung der Cloud, Nutzung
sozialer Netzwerke
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 46 / 57
46. Geräteauswahl in der Firma
Häufig iOS, Grund: geschlossene Plattform
– Zugang zu aktuellsten Betriebssystemversionen
– Konfigurationsprogramme für Firmengeräte
– Zentraler App-Store mit Review vor Freigabe
– Keine unsignierten Programme
– Speicher grundverschlüsselt
Android deutlich flexiblere / offenere Plattform
– Hersteller/Geräte auf Möglichkeit zur Absicherung prüfen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 48 / 57
47. Wie sicher ist Android im Vergleich?
Gut: Seit Android 4.x keine universellen Hacks
Forensik-Software nutzen Sammlungen von
Angriffsmöglichkeiten für verschiedene
Hersteller, Geräte & Betriebssystem-Stände
Sicherheit = Frage der Update-Moral der
Hersteller
Hauptangriffspunkte:
– Verzicht auf Passcode
– Nutzung Speicherkarten
– Sorglos installierte Anwendungen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 49 / 57
48. Zusammenfassung
Angriffsmöglichkeiten sind vielfältig
Unternehmensrichtlinien einhalten: Sie haben ihren Sinn!
Keine Jailbreaks und Rootkits
Augen auf bei der Nutzung!
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 50 / 57
50. Vielen Dank!
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 52 / 57
51. Fragen?
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 53 / 57
52. Allgemeines
iks ist IT-Beratungs- und Softwarepartner für Finanzdienstleister,
Logistik- und Handelsunternehmen sowie namhafte Unternehmen
anderer Branchen. Wir erstellen individuelle IT-Konzepte und
Softwarelösungen im Auftrag unserer Kunden.
Gründung: 1989
Firmensitz: Hilden
Team: ca. 90 BeraterInnen
Geschäftsführung: Dipl.-Informatikerin Monika Stoll
Prokuristen: Dipl.-Ing. (FH) Thomas Kondring
Hartwig Tödter
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 54 / 57
53. Geschäftsfelder iks
Softwareentwicklung IT-Konzepte
– Java – Anforderungsanalyse
– .NET – Fachkonzepte
– Mobile Applikationen – Pflichtenhefte
– iSeries / Host – DV-Konzepte
IT-Beratung Business Intelligence
– Softwarearchitektur – MS SQL Server
– Technologie – ETL
– Methoden – Reporting
– Projektmanagement – Analyse
– Schulung, Coaching
– Soziale Applikationen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 55 / 57
54. Wer sind unsere Kunden?
Wir beraten und betreuen internationale Konzerne sowie große
und mittlere Unternehmen aus unterschiedlichen Branchen, oft
als „first supplier“:
Industrie
Finanzdienstleistungen
Versicherungen
Handel
Transport / Verkehr / Logistik
Verbände / Vereine / Interessenvertretungen
Dienstleistungsunternehmen
Gesundheitswesen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 56 / 57
55. Kontakt
iks Gesellschaft für
Informations- und
Kommunikationssysteme mbH
Thomas Kondring
Siemensstraße 27
40721 Hilden
Internet: http://www.iks-gmbh.com
E-Mail: T.Kondring@iks-gmbh.com
Folien rund um die Softwareentwicklung finden Sie im Internet unter:
http://www.iks-gmbh.com/veroeffentlichungen
Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen? Seite 57 / 57