mobile datensicherheit ihk 2012
Upload: iks-gesellschaft-fuer-informations-und-kommunikationssysteme-mbh
Post on 29-Nov-2014
978 views
DESCRIPTION
TRANSCRIPT
Seite 2 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Präsentation für die Veranstaltung
„Mobile Datensicherheit“
der IHK Wuppertal-Solingen-Remscheid
24.10.2012
Mobile Security –
Was ist Mobile Security und welche Bedeutung
hat es für mein Unternehmen?
Autoren:
Paul Dziwoki, Hans-Jörg Stangor
Seite 3 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 4 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 5 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Smartphones im Unternehmen: Traditionell
Eigentlich ein altes Thema
Primär E-Mail & Personal Information
Management (PIM)
Begrenztes App Angebot
Eingeschränkte Internetnutzung
Tendenziell „sicher“
Seite 6 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Smartphones und Tablets: Aktuell
Ob Android, iOS oder Windows Mobile:
allesamt „Schweizer Taschenmesser“
Riesiges Angebot an Produktiv-Apps
Mobiles Internet & WLAN
Integration von Firmen-Backends
GPS Funktionalität
Seite 7 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Einsatzszenarien
Komfort-Faktor (leichter als Laptop)
Fahrzeiten nutzen
Mit Kollegen & Kunden in Kontakt bleiben
Die nötigen Dokumente stets dabei
Recherche-Möglichkeit
Navigationshilfe
Vor Ort Daten erfassen
Seite 8 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Einsatzorte
In der Firma
Im Auto / ÖPNV
Zu Hause
Beim Kunden
Im Hotel und Restaurant
- weltweit -
Seite 9 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Beurteilung Unternehmenseinsatz
Reichlich sinnvolles Nutzungspotential…
…aber auch großes Gefahrenpotential!
Seite 10 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Vor der Einführung im Unternehmen
Richtlinie für den Unternehmenseinsatz
Konfiguration / Einstellungen Firmen-Geräte festlegen
Schwierigeres Thema: „Bring your own devices“ („BYOD“)
Seite 11 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 12 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Integration Unternehmens-Ressourcen
SIM Karte einlegen (EDGE/3G/LTE)
WiFi-Zugänge einrichten
VPN zum Firmen-Intranet
E-Mail, Adressbuch, Kalender anbinden
Produktiv-Apps installieren
Firmen-Dokumente offline verfügbar machen
Seite 13 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Basics der Geräteabsicherung
Studium der Richtlinie für den Unternehmens-Einsatz
Passcodes einrichten (Password oder PIN für den Gerätezugang)
Einstellen wie lange das Gerät nach Passcode-Eingabe offen ist
Seite 14 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 15 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Passcodes: Generelle Fragen
Wer schaut Ihnen bei der Eingabe des Passcodes zu?
Seite 16 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Passcode-Typen
4 Ziffern
Passwort
Pattern-Lock
Gesichtserkennung (Facial Recognition)
Seite 17 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Passcode Beispiele
Seite 18 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Passcode Beispiele
Seite 19 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 20 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Integration privater Netze
Private WiFi-Zugänge einrichten
Private Dokumente und Inhalte aufspielen
Ankopplung an Nicht-Firmen-PCs:
– Eigener PC
– PCs Familienmitglieder
– PCs von Freunden & Bekannten
Seite 21 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
iTunes / iPhone Backup
Oft unverschlüsselt (Standardeinstellung)
Backup ist lediglich Ordnerstruktur mit allen Benutzerdaten
– PIM (Kalender, Notizen, Adressen, …)
– App-Daten oft in sqlite-Datenbanken
Sich absichern: Lediglich ein
Häkchen in iTunes
Seite 22 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
iTunes Komfort
Seite 23 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Wie entsteht dieser Komfort?
iTunes erstellt nach
Entsperrung der Device
Lockdown Zertifikate
Sobald diese auf dem
Rechner sind:
Passcode unnötig
Andere Anwendungen
können diese nutzen…
…auch nach Passcode-
Änderung!
Seite 24 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Lokation der Lockdown Zertifikate
OSX /private/var/db/lockdown
Windows 7 C:\ProgramData\Apple\Lockdown
Übertragbar… selbst zwischen Betriebssystemen!
– Der Grund warum Polizei mit Smartphone auch PC beschlagnahmt
Seite 25 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 26 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Szenario: Verlust / Diebstahl
Gutes Gefühl: Möglichkeit zur Fernlöschung
– Kann unterbunden werden!
• SIM entfernen
• Flugmodus
• In Faraday Bag verpacken
Drama: Falls Smartphone nicht mit Passcode
gesichert ist
Aber auch mit aktiviertem Passcode gibt es
Probleme
Seite 27 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Sicherheit von Passcodes
Maschinelle Entschlüsselungsdauer
4 Ziffern ca. 0,5 h
6 Ziffern 2 Tage
8 Ziffern 6 Monate
6 Buchstaben 1,5 Jahre
4 Ziffern/Buchstaben 3 Tage
6 Ziffern/Buchstaben 10 Jahre
Quelle: c‘t 2011 Heft 15, Artikel „iOpener“
Seite 28 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Angriff ohne Lockdown Zertifikat
Fraunhofer SIT Hack
Kann gesetzten Passcode umgehen und Schlüsselbund extrahieren
App Passwörter zum Teil entschlüsselbar (z.B. SIM Pin)
Bis iPhone4 auf diese Art Zugang zu Exchange Server Accounts
Seite 29 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Angriffsschwierigkeit je nach Einstellung
Passcode BruteForce
Angriff
Lockdown-
Zertifikate
Fraunhofer
Angriff **
Ohne 0 min 0 min 0 min
Numerisches
Passwort < 30min 0 min 6 min
Langes
„sicheres“
Passwort
Je nach
Passwort-Länge 0 min 6 min
** ermittelt nur Teil der Passwörter, nicht den Passcode
Seite 30 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 31 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Jailbreaks/Rootkits – Warum?
Alternative App Stores zulassen (iOS)
Apps kostenlos installieren (iOS)
Oberfläche/Systemelemente verändern,
neue Optik, etc.
Eventuelle Einschränkungen
entfernen, die durch Firmen-
Richtlinien gesetzt wurden (iOS)
(SIM-Sperre entfernen)
Seite 32 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Jailbreaks/Rootkits – Risiken
Nach Jailbreak lässt sich ein
Smartphone fernsteuern (SSH-
Server)
Apps haben danach Zugriff auf alle
Bereiche (Root-Rechte), können
sensible Daten auslesen (z.B.
Passwörter) und verändern
Aktuelle Sicherheitsupdates
werden meistens nicht eingespielt,
da diese ein erneutes Jailbreaking
erfordern!
Seite 33 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Jailbreaks/Rootkits – Risiken (iOS)
Seite 34 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Jailbreaks/Rootkits – Gegenmaßnahmen
Standardpasswörter ändern und/oder
entsprechende Serverdienste (z.B. SSH)
ausschalten!
Nur Apps von vertrauenswürdigen Quellen
installieren
Problem: für die neuesten Sicherheitsupdates
existiert meistens noch kein Jailbreak (z.B.
iOS 6, Android JB)
Besser: nicht Jailbreaken
Seite 35 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Livedemo
Fazit und Zusammenfassung
Seite 36 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Nutzung Public WLAN – Warum?
Besonders im Ausland attraktiv
(spart hohe Roaming-Gebühren)
Schneller Datentransfer
Manchmal hat man kein 3G/4G
Netzempfang
Seite 37 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Nutzung Public WLAN / Hotspot - Risiken
Datenverkehr kann leicht mitgelesen
und manipuliert werden
– Passwörter
– Einschleusen von Hintertüren
Public WLAN kann auch vom
Angreifer selbst stammen:
– Einmal mit einem Zugangsnamen
verbunden, verbindet sich
Smartphone automatisch immer
wieder mit dieser WLAN-Kennung,
egal an welchem Ort
Jailbreaks mit SSH-Server und
Standardpasswort: offene Tür für
Angreifer
MITM = „Man in the Middle“
Seite 38 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Nutzung Public WLAN – Gegenmaßnahmen
Nur Apps nutzen, die Datenverkehr
gut verschlüsseln
Beispiele:
– VoIP: verschlüsselt nicht
– Skype: verschlüsselt
Nicht mit dem Browser im Internet
surfen => Gefahr das Code
eingeschleust wird
Besser: Sich selbst um
Verschlüsselungsschicht kümmern:
VPN-Tunnel
Seite 39 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Man in the Middle Angriff ohne WLAN (iPhone)
Möglich durch Proxyserver in
Internet-Einstellungen
Diese Proxyserver Einstellungen
kann man z.B. per E-Mail erhalten
(siehe Bild)
Gleiche Risiken wie beim Angriff
über das Public WLAN, darüber
hinaus sind selbst SSL
verschlüsselte Verbindungen
betroffen
Seite 40 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Man in the Middle Angriff ohne WLAN (iPhone) -
Gegenmaßnahmen
Update auf iOS6
Keine Konfigurationsdateien
installieren, die nicht überprüft
sind!
Aufpassen bei Änderungen der
Internet-Einstellungen
Seite 41 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 42 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Altes Smartphone entsorgen
Löschen aller Daten „per Hand“ vor
Verkauf des alten Smartphones
Risiken:
– Undelete-Tools (finden überraschend
viele Inhalte wieder)
– Man findet manchmal Daten die vor
Jahren gelöscht wurden
Gegenmaßnahmen:
– Speicher vorher vollständig mit anderen
Daten überschreiben
– Spezielle Formattools nutzen
(z.B. DiskWipe)
Seite 43 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 44 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Live-Demo – Aufbau und Verlauf
Verlauf
1. Verbindung iPhone ->
WLAN
2. Ermitteln der iPhone
Adresse
3. Datenverkehr mitlesen
4. iPhone Sicherheits-
lücken suchen
5. iPhone Adressbuch
kopieren
Seite 45 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Agenda
Smartphones im Unternehmen
Tag 1: Einrichtung des Gerätes
Tag 1: Fahrt nach Hause
Tag 1: Private Nutzung zu Hause
Tag 2: Unterwegs im Außendienst
Tag 3: Einsatzmöglichkeiten erweitern
Tag 4: In der Kaffeepause
Tag X: Ein neues Smartphone steht an
Live-Demo
Fazit und Zusammenfassung
Seite 46 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Richtlinie für den Einsatz
Keine unverschlüsselten vertraulichen Inhalte (Passwörter)
Legitime Bezugsquellen für Apps und Inhalte
Keine Jailbreaks oder Änderung
an Konfiguration
Nutzung der Cloud, Nutzung
sozialer Netzwerke
Seite 48 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Geräteauswahl in der Firma
Häufig iOS, Grund: geschlossene Plattform
– Zugang zu aktuellsten Betriebssystemversionen
– Konfigurationsprogramme für Firmengeräte
– Zentraler App-Store mit Review vor Freigabe
– Keine unsignierten Programme
– Speicher grundverschlüsselt
Android deutlich flexiblere / offenere Plattform
– Hersteller/Geräte auf Möglichkeit zur Absicherung prüfen
Seite 49 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Wie sicher ist Android im Vergleich?
Gut: Seit Android 4.x keine universellen Hacks
Forensik-Software nutzen Sammlungen von
Angriffsmöglichkeiten für verschiedene
Hersteller, Geräte & Betriebssystem-Stände
Sicherheit = Frage der Update-Moral der
Hersteller
Hauptangriffspunkte:
– Verzicht auf Passcode
– Nutzung Speicherkarten
– Sorglos installierte Anwendungen
Seite 50 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Zusammenfassung
Angriffsmöglichkeiten sind vielfältig
Unternehmensrichtlinien einhalten: Sie haben ihren Sinn!
Keine Jailbreaks und Rootkits
Augen auf bei der Nutzung!
Seite 51 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Referenzen
http://www.cgsecurity.org/wiki/Recover_data_from_an_iPhone
http://www.sit.fraunhofer.de/en/fields-of-expertise/projects/lost-iphone-lost-
passwords.html
http://www.heise.de/security/meldung/Erster-iPhone-Wurm-unterwegs-
853372.html
http://www.heise.de/security/meldung/Scan-in-Mobilfunknetzen-foerdert-
tausende-ungeschuetzte-Geraete-zu-Tage-1653619.html
http://www.heise.de/newsticker/meldung/Update-auf-iOS-6-schliesst-etliche-
Luecken-darunter-eine-besondere-1711936.html
Hacking and Securing iOS Applications, Jonathan Zdziarski, O‘Reilly 2012,
ISBN 978-1-449-31874-1
iOS Forensic Analysis for iPhone, iPad, and iPod touch, Sean Morrisey,
Apress 2010, ISBN 978-1-4302-3342-8
Seite 52 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Vielen Dank!
Seite 53 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Fragen?
Seite 54 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Allgemeines
iks ist IT-Beratungs- und Softwarepartner für Finanzdienstleister,
Logistik- und Handelsunternehmen sowie namhafte Unternehmen
anderer Branchen. Wir erstellen individuelle IT-Konzepte und
Softwarelösungen im Auftrag unserer Kunden.
Gründung: 1989
Firmensitz: Hilden
Team: ca. 90 BeraterInnen
Geschäftsführung: Dipl.-Informatikerin Monika Stoll
Prokuristen: Dipl.-Ing. (FH) Thomas Kondring
Hartwig Tödter
Seite 55 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Geschäftsfelder iks
Softwareentwicklung
– Java
– .NET
– Mobile Applikationen
– iSeries / Host
IT-Beratung
– Softwarearchitektur
– Technologie
– Methoden
– Projektmanagement
– Schulung, Coaching
– Soziale Applikationen
IT-Konzepte
– Anforderungsanalyse
– Fachkonzepte
– Pflichtenhefte
– DV-Konzepte
Business Intelligence
– MS SQL Server
– ETL
– Reporting
– Analyse
Seite 56 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Wer sind unsere Kunden?
Wir beraten und betreuen internationale Konzerne sowie große
und mittlere Unternehmen aus unterschiedlichen Branchen, oft
als „first supplier“:
Industrie
Finanzdienstleistungen
Versicherungen
Handel
Transport / Verkehr / Logistik
Verbände / Vereine / Interessenvertretungen
Dienstleistungsunternehmen
Gesundheitswesen
Seite 57 / 57 Was ist Mobile Security und welche Bedeutung hat es für mein Unternehmen?
Kontakt
iks Gesellschaft für
Informations- und
Kommunikationssysteme mbH
Thomas Kondring
Siemensstraße 27
40721 Hilden
Internet: http://www.iks-gmbh.com
E-Mail: [email protected]
Folien rund um die Softwareentwicklung finden Sie im Internet unter:
http://www.iks-gmbh.com/veroeffentlichungen
www.iks-gmbh.com