Mobile Security - BearingPoint€¦ · Webinar Oktober 2014. Client Name here 2 Agenda 2...
Transcript of Mobile Security - BearingPoint€¦ · Webinar Oktober 2014. Client Name here 2 Agenda 2...
Mobile Security
Webinar
Oktober 2014
Client Name here 2
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 3
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit – Motivationsfaktoren
Unternehmensinteressen
Mitarbeiterinteressen
Interessen Dritter
1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 4
Unternehmensinteressen - auszugsweise
Bereitstellung einer flexiblen ITK-Infrastruktur
für Mitarbeiter:
− zum flexiblen und nicht ortsgebundenen Arbeiten (Management, Außendienst, Projektmitarbeiter, Servicetechniker, etc.)
− zum flexiblen und nicht gerätegebundenen Arbeiten (Smartphones, Phablets, Tablets, Notebooks, etc.)
für Kunden / Lieferanten / Partner, beispielsweise:
− zur Verbesserung von Informationsangebot (on demand – everywhere), Zusammenarbeit, Kommunikationsmöglichkeiten
Proaktiver Schutz der ITK-Infrastruktur vor beispielsweise
Daten- und Informationsverlust (Spionage, Diebstahl von Mobilgeräten, etc.)
unerlaubten / nicht autorisierten Zugriffen
Malware (Viren, Trojaner, Spam, Phishing, etc.)
Kontrolle der Unternehmensressourcen, beispielsweise
zu statistischen Zwecken (wer, wie, wann, von wo)
Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.)
zur Erkennung von Missbrauch (eindeutige Zuordnung von User und Geräten)
zur Kapazitäts- und Serviceplanung (Updates, Bandbreiten, Verfügbarkeiten, etc.)
zur Umsetzung rechtlicher Anforderungen (Datenschutz, Policies, etc.)
Mobile Sicherheit - Motivationsfaktoren
Client Name here 5
Mitarbeiterinteressen - auszugsweise
Schutz der persönlichen Interessen, Informationen. Daten, wie
personenbezogener privater Daten auf dem mobilen Gerät
Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes
Ausübung persönlicher Freiheiten, wie
bedarfsgerechte Konfiguration der Geräte (z.B. Installation von Apps)
24/7 Nutzungsmöglichkeit
ein und dasselbe Gerät (inkl. Software) zur Nutzung für Arbeit und Privatbereich
keine restriktive Begrenzung auf ausschließlich vom Unternehmen freigegebene Software / Apps für die tägliche Arbeit
Nutzung externer Ressourcen (z.B. Webangebote) zur Arbeitserfüllung
Flexible Arbeitsmodelle
Arbeiten, wann, wo und wie man möchte (soweit es die Arbeit zulässt)
Ohne zeitraubende Anreise, schnell auf Arbeitsanfragen reagieren können
Optimierung der individuellen Work-Life-Balance
Mobile Sicherheit - Motivationsfaktoren
Client Name here 6
Interessen Dritter (z.B. Geschäftspartner) - auszugsweise
Schutz der persönlichen Interessen, Informationen. Daten, wie
eigene Unternehmensdaten oder Daten weiterer Kunden auf dem mobilen Gerät
personenbezogener privater Daten auf dem mobilen Gerät
Nutzungsverhalten (Uhrzeit, Datum, Dauer, Ort, Apps, etc.) des mobilen Gerätes
Verbesserung
der Zusammenarbeit durch gemeinsame Nutzung relevanter Daten (z.B. über Portale)
des Datenaustausches durch sichere (verschlüsselte) Übertragungsmöglichkeiten
der Kommunikation durch Nutzung gemeinsamer Kontaktdatenbanken
zeitlicher und örtlicher Aspekte der Zusammenarbeit (on-demand, in-time, everywhere)
Mobile Sicherheit - Motivationsfaktoren
Client Name here 7
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 8
Malware (Viren, Trojaner, Phishing, etc.)
Mithören, Mitlesen durch unbeteiligte Dritte beiNutzung in der Öffentlichkeit
Datendiebstahl, -verlust
Unbewusstes Speichern vertraulicher Daten in einerCloud (z.B. iCloud, GoogleDrive, MS OneDrive, etc.)
Gerätediebstahl
Mobile Sicherheit – Bedrohungen und Gefahren
Bedrohungen
Gefahren
Schwachstellen in Betriebssystem und Apps
Veraltete Versionen von Betriebssystemen und Apps
Unverschlüsselte Geräte
Geräte nicht hinreichend durch PIN gesichert
keine regelmäßigen Passwortänderungen
Bösartige Apps können unberechtigttelefonieren
Quelle: http://www.golem.de, 10.07.2014
Fake ID Exploit ermöglicht Komprommitierung von Android Apps und Endgeräten
Quelle: http://www.pcworld.com, 29.07.2014
10.000 bösartige Apps im Play Store Mitte 2012
Quelle: http://www.androidmag.de, 08.03.2014Erpresser-Malware Cryptolocker für
Android entdecktQuelle: http://www.zdnet.de,
08.05.2014
iOS-Malware stiehlt PasswörterQuelle: http://www.zdnet.de, 23.04.2014
iOS Malware-Prototyp überträgt Datendurch unhörbare Audiosignale
Quelle: http://www.zdnet.de, 04.12.2014 Windows Phone Trojaner zeichnet Anrufeauf und ermittelt aktuelle Position des
SmartphonesQuelle: http://www.gizmodo.de, 31.08.2013
iOS Malware Spad leitetWerbeeinnahmen an Hacker weiter
Quelle: http://www.infosecurity-magazine.com, 31.08.2013 Chinesische iOS Malware stiehlt Apple
IDs und PasswörterQuelle: http://www.9to5mac.com,
22.04.2014
Russischer Android SMS Trojaner verschickt SMS an Mehrwertdienstnummern
Quelle: http://www.9to5mac.com, 22.04.2014
Client Name here 9
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit
Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.B. keine BYOD) Zugriff nur nach spezieller Authentifizierung Zugriff nur über bestimmte technische Lösungen Zugriff über kombinierte Lösungen
3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 10
Grundsätzliches Verbot von Zugriffen durch mobile Geräte auf Unternehmensdaten
Lösungsansätze für mobile Sicherheit
Vorteile Nachteile
Keine unkontrollierten Zugangspfade durch mobile Geräte
Keine zusätzlichen technischen Maßnahmen nötig
Keine zusätzlichen Risiken für die bestehende ITK-Infrastruktur
Geringstmöglicher Aufwand bzgl. zusätzlicher rechtlicher Regelungen (Verbotspolicy)
Möglicherweise zunehmender Imageverlust ggü. Mitbewerbern, welche die Technologien nutzen
Entstehung möglicher Wettbewerbsnachteile
Mögliche negative Auswirkung auf Mitarbeiterzufriedenheit
Client Name here 11
Zugriff nur von speziellen Geräten unter speziellen Bedingungen (z.B. kein BYOD)
Lösungsansätze für mobile Sicherheit
Unternehmen gibt gezielt vor von welchen mobilen Geräten auf die Unternehmensdaten zugegriffen werden darf, z.B.
• Geräte aus einem firmeneigenen Gerätepool
• Dedizierte Geräte für die Mitarbeiter (z.B. durch geeignete Rahmenverträge mit Providern)
Eigene oder individuelle Geräte der Mitarbeiter (BYOD = Bring your own device) werden nicht gestattet
Kontrollierbare Zugangspfade für mobile Geräte (z.B. durch Gerätekennung IMSI)
Rechtlicher Regelungsaufwand (Policy) bleibt überschaubar
Kontrolle der Geräte bleibt in der Hand des Unternehmens
Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards
Vorteile
zusätzliche technische Maßnahmen für Umsetzung nötig
Risiken für die bestehende ITK-Infrastruktur erhöhen sich
technischer Aufwand fast derselbe, wie bei BYOD
Kostenintensiv durch Vorhalten des Gerätepools
Lange Reaktionszeiten bzgl. Etablierung neuer Technologien (z.B. durch Vertragslaufzeiten)
Nachteile
Client Name here 12
Zugriff nur nach spezieller Authentifizierung
Lösungsansätze für mobile Sicherheit
Grundsätzlich alle mobilen Geräte zugelassen
Unternehmen macht Vorgaben hinsichtlich Authentifizierungsverfahren, z.B.
• Username, Passwort, OneTimePassword, etc.
• Aufruf einer speziellen Webseite zur Authentifizierung
• VPN-Verbindung mit speziellem Zertifikat
Für bestehende User i.d.R. einfache Integrationsmöglichkeit in bestehende ITK Infrastrukturen über z.B. Directory Services wie MS Active Directory
Freie Gerätewahl durch User
Vorteile
zusätzliche technische Maßnahmen für Umsetzung nötig
Hohes Sicherheitsrisiko mangels Möglichkeiten
⁻ die Geräte selbst zu kontrollieren
⁻ Sicherheitsstandards auf den Geräten zu erzwingen
Unbekannter „Gerätezoo“
Hoher juristischer Regelungsaufwand
Nachteile
Client Name here 13
Zugriff nur über bestimmte technische Lösungen
Lösungsansätze für mobile Sicherheit
Grundsätzlich alle mobilen Geräte zugelassen
Unternehmen macht Vorgaben bzgl. Zugriffsverfahren und Anwendungen wie, z.B.
• Benutzerauthentifizierung (Username, Passwort, OneTimePassword, etc.)
• Zugriff nur über Webaccess auf bestimmte Portalserver und dedizierte Applikationen
• Zugriff nur über Virtual Desktop Infrastrukturen (z.B. Microsoft VDI, Citrix-VDI, etc.)
Kontrollierbare Zugangspfade für mobile Geräte
Zugriff nur auf freigegebene Applikationen möglich
Rechtlicher Regelungsaufwand auf Standard-Policiesbegrenzbar
Gute Basis für die Schaffung eines einheitlich hohen Sicherheitsstandards
Vorteile
Wie bei „Zugriff nur nach spezieller Authentifizierung“
Zusätzlich Einschränkung der MA-Flexibilität ausschließlich auf die vom Unternehmen freigegebenen Unternehmensanwendungen
Freigabeprozess für Unternehmensanwendungen möglicherweise aufwändig
Nachteile
Client Name here 14
Enterprise Mobility Management (EMM) – MDM
Lösungsansätze für mobile Sicherheit
Mobile Device Management
• Full-Device Ansatz um mobile Endgeräte zu kontrollieren
• IT sichert Zugang, Daten etc. auf den Endgeräten beispielsweise über Passwörter, Remote Wipe Funktionalitäten etc.
• Typische MDM Tools: Einführen von Policies, Tracken des Inventars, Real-Time Monitoring und Reporting Funktionalitäten
Hoher Grad an Kontrolle und Steuerung
Hoher Grad Sicherheit
Z. Zt. bestmöglicher Kompromiss zwischen Unternehmens- und Individualinteressen
Vorteile
Strenger regulatorischer Ansatz kann User insbesondere bei BYOD Ansätzen abschrecken („Warum muss ich jedes mal wenn ich mein Handy benutzen will ein Passwort eingeben, ändern etc.?“) und motiviert bei ihm u.U. Aktivitäten das System zu umgehen
Nachteile
Client Name here 15
Enterprise Mobility Management (EMM) – MAM
Lösungsansätze für mobile Sicherheit
Mobile Application Management
• Im Gegensatz zu MDM ein granularerer Ansatz um mobile Endgeräte zu kontrollieren
• Betrifft Software, Lizensierung, Sicherheit, Benutzer Policies, Zugangs- und User Authentifizierung, Konfiguration, Updates, Maintenance, Reporting, Tracking und Applikationslebenszyklus
Ermöglicht komfortablere User Experience (Bsp. IT kann einen Remote Wipe auf dem Gerät des Users durchführen ohne das seine persönlichen Applikationen davon betroffen sind)
Vorteile
Höhere Kosten durch Entwicklung, Maintenance, Upgrade etc. von spezieller Enterprise Software
Nachteile
Client Name here 16
Produktüberblick
Lösungsansätze für mobile Sicherheit I
AirWatch
Citrix
Good Technology
IBM
MobileIron
Enterprise Mobility Management (EMM) Suites mit Multiplattform-Support
Absolute Software BlackBerry Globo Landesk SAP Sophos Soti Symantec Tangoe
Markt- und Performance*-Führer Markt- und Performance*-Folger
*Performance inkludiert hier: Produkt/Service, allgemeine Unternehmensviabilität, Preispolitik, Marktresonanz, Marketing, Benutzererfahrung, Unternehmensbetrieb, Marktverständnis, Marketingstrategie, Verkaufsstrategie, Produktstrategie, Industriestrategie, Innovation, geographische Strategie
Client Name here 17
Die besten Performer hinsichtlich kritischer kundenseitiger EMM Funktionalitäten
Lösungsansätze für mobile Sicherheit II
MobileIron
AirWatch
IBM
AirWatch
IBM
MobileIron
IBM
AirWatch
MobileIron
Good Technology
Citrix
IBM
Soti
AirWatch
Citrix
IBM
AirWatch
MobileIron
EMM Funktionalitäten
Globales Enterprise Deployment
Regulierte Industrien
Unified Endpoint Management
Shared general-purpose Devices
SaaS Deployments
Special-Purpose Device Support
Client Name here 18
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 19
Direkter Nutzen
Hoher Schutz von Unternehmensinteressen
Sicherstellung der Erfüllung von Compliance Vorgaben
Sicherstellung der Handlungsfähigkeit bei Gerätediebstahl
Möglichkeit zur Installation von Zertifikaten (Push-Prinzip)
Gezielte Sperrmöglichkeit von mobilen Geräten/Accounts für Zugriffe auf Unternehmensressourcen
Ortungsmöglichkeit für vermisste Geräten (unterbestimmten Bedingungen)
Möglichkeit zur Bereitstellung von Apps
Indirekter Nutzen
Schärfung des Sicherheitsbewusstseins bei Mitarbeitern imUmgang mit mobilen Geräten
Nutzbarkeit für Eigenwerbung bei Kunden
Beispiele
Nutzen von mobiler Sicherheit
Messbarkeit
Erkennen von kompromittierten Geräten
Erkennen von Geräten, die die Compliance Vorgaben nichterfüllen
Erkennen der Anzahl von Gerätetypen, -klassen, -herstellern
Möglichkeit zur gezielten Bereitstellung von Supportprozessen für häufig genutzte Gerätetypen
Client Name here 20
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)
Richtlinien / Policies Technische Maßnahmen Personelle Maßnahmen (Team, Admins, etc.)
5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 21
Richtlinien / Policies für mobile Kommunikation / Sicherheit
müssen definiert werden
müssen darstellen, welche MDM Strategie das Unternehmen möchteund welche Technologien unterstützt werden -> erfordert aktiveEinbindung der Geschäftsführung
müssen juristische Aspekte (Haftung, etc.) möglichst lückenlosabdecken -> sehr hoher Aufwand
müssen den Mitarbeitern kommuniziert / bekannt sein
dürfen nicht in einer allgemeinen Überwachungsmentalität enden
müssen die Schutzinteressen der Mitarbeiter, des Unternehmensund der Kunden bestmöglich berücksichtigen
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)
Technische Maßnahmen
Geeignete Zugriffs-/Übergabepunkte müssen definiert sein
Geeignete Hardware-/Software-Lösungen müssen evaluiert und implementiert sein
Sicherheitsprofile für mobile Geräte unterliegen anderen, i.d.R. höheren, Anforderungen als Sicherheitprofile von Notebooks, Desktops
Berechtigungskonzepte für mobile Daten erfordern höherenDetailierungs-/Unterscheidungs-/Reifegrad als für PC-Anwendungenüblich
Verschlüsselung der Daten muss eine zentrale Forderung sein
Konzepte zur Verwaltung unterschiedlicher Technologiebasen(Android, iPhone, Windows 8) müssen etabliert sein
Personelle und organisatorische Maßnahmen (Team, Admins, Mitarbeiter, Provider)
Awareness-Schulungen für alle Mitarbeiter müssen verfügbar sein
HelpDesk- und Adminstratorschulungen für die neuen Technologien müssen etabliert sein
Support muss vor dem eigentlichen Rollout etabliert und geschult sein
Flexiblere Arbeitsmöglichkeiten erfordern höhere Flexibilität beim Support (evtl. 24*7 Support, statt bislang nur 5*(8-18 Uhr) Support)
Verantwortlichkeiten und Eskalationsstufen zwischen ITK-Providern, interner IT und Support-Teams müssen geregelt sein
Client Name here 22
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit
Privatsphäre Rechtliche Hürden (Haftungsfragen?) Datenschutz Betriebsrat Mitarbeiter- versus Unternehmensinteressen
6
Praxisbeispiel BearingPoint7
Client Name here 23
Gefühlte Verletzung der Privatsphäre von Anwendern
Durch unklare Information / Kommunikation an die Anwender
Durch unzureichende eigene Eingriffs-/Kontroll-/Steuerungsmöglichkeiten der Anwender
Tatsächliche Verletzung der Privatsphäre von Anwendern
Durch Missbrauch von Berechtigungen, Kompetenzen (z.B. Adminrechte, Anweisung durch Vorgesetzte)
Durch technische Mängel oder fehlerhafte Konfigurationen
Abhilfe:
Aufklärungsmöglichkeiten, Schulungen, FAQs für Anwender bereitstellen
Lückenlose Aufklärung von Missbrauchsfällen und zusammenfassende Kommunikation / Aufklärung an die Anwender
Beseitigung technischer Mängel / Fehler und zusammenfassende Kommunikation / Aufklärung an die Anwender
Wo immer unter Sicherheitsgesichtspunkten möglich, die Einflussnahme der Anwender aktiv einfordern, wie z.B:
Sicherheitsprofile werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt,
Geschäftsrelevante Apps werden den Anwendern vorgeschlagen und diese bestimmen den Installationszeitpunkt,
Optionale Apps werden Anwendern nur vorgeschlagen/angeboten, die Entscheidung zur Installation wird Ihnen überlassen und die Installation machen sie selbst
Die Aktivierung von besonders kritischen Diensten (z.B. GPS-Ortung) kann immer nur der jeweilige Anwender veranlassen (ggf. sogar mitautomatischer Zwangs-Deaktivierung durch das Unternehmen nach einer vorgegeben Zeit)
Privatsphäre
Konfliktpotenziale bei Einführung mobiler Sicherheit
Client Name here 24
Datenschutzrechtliche Haftungsfragen:
Ist die private Datennutzung gestattet (z.B. private eMails)?
Abgrenzung Unternehmensdaten versus private Daten?
Abgrenzung geschäftliche Nutzung versus private Nutzung?
Was darf das Unternehmen unter welchen Bedingungen monitoren, was nicht?
Umgang und Haftung bzgl. Kundendaten auf den Geräten?
Bei legalem / illegalem Datenaustausch zwischen Apps?
Beim Nutzen von Diensten wie Apple iCloud, Microsoft Skydrive?
Wer haftet wann wofür?
Providerhaftung:
Tritt das Unternehmen durch die Bereitstellung der ausgewählten EMM-Lösung bereits als Diensteanbieter nach TMG auf?
Tritt das Unternehmen durch die Bereitstellung ausgewählter Apps bereits als Content Provider nach TMG auf?
Haftung von Vertragsparteien:
Welche Rolle/Verantwortung hat ein involvierter TK Service Provider bei der Gerätebereitstellung (vgl. 24 Monatsverträge)?
Wer ist Geräteeigentümer, wer nur Gerätenutzer?
Welche Zusatzvereinbarungen können die Vertragsparteien in ihrer besonderen Situation miteinander treffen?
Rechtliche Hürden
Konfliktpotenziale bei Einführung mobiler Sicherheit
Client Name here 25
BDSG § 1: (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
BDSG §3: (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbarennatürlichen Person (Betroffener).
BDSG § 3a: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten […] sind an dem Ziel auszurichten, so wenig personenbezogeneDaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. […] personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweitdies nach dem Verwendungszweck möglich ist […].
Datenschutzrelevante Problemstellungen bei mobilen Geräten:
Persönliche eMails fallen bereits unter §3 das BDSG
GPS-Ortungsdaten von einem mobilen Gerät sind personenbezogene Daten nach §3 BDSG
Darf / Will man diese als Arbeitgeber haben?
Unter welchen Umständen?
Wie kann man es vermeiden?
Personenbezogene Daten (z.B. Religionszugehörigkeit, Familienstand) in Dateianhängen von geschäftlichen eMails:
Werden bei Öffnen des Anhangs auf dem Gerät gecached (=dupliziert) -> Verletzung von BDSG §3a? Abhilfe?
Können beim Bearbeiten der eMail z.B. im ÖPNV Dritten zu Kenntnis gelangen -> Verletzung von BDSG §1 / §3a? Abhilfe?
Wer ist Eigentümer / Verantwortlicher von auf dem mobilen Gerät gecachten Daten:
Geräteeigentümer (z.B. Provider), Gerätenutzer (User), Diensteanbieter?
Datenschutz (Bundesdatenschutzgesetz – BDSG)
Konfliktpotenziale bei Einführung mobiler Sicherheit
Client Name here 26
BetrVG § 80: (1) Der Betriebsrat hat folgende allgemeine Aufgaben: 1. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden;[…](2) Zur Durchführung seiner Aufgaben nach diesem Gesetz ist der Betriebsrat rechtzeitig und umfassend vom Arbeitgeber zu unterrichten
BetrVG § 87: (1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:1. Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb; -> Auswirkung auf Policies[…]6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zuüberwachen; -> Auswirkung auf jede Art von IT Lösung7. Regelungen über die Verhütung von Arbeitsunfällen und Berufskrankheiten sowie über den Gesundheitsschutz im Rahmen der gesetzlichenVorschriften oder der Unfallverhütungsvorschriften; -> Möglichkeit zur Erzwingung von Lösungen unter Berücksichtung neuesterarbeitsmedizinischer Erkenntnisse (z.B. strahlungsarm, Displaygröße, Dockingstations)
Problemstellungen mit Betriebsrat (BR) beim Einsatz von mobilen Geräten und verbundenen Sicherheitslösungen:
Der BR kann wegen BetrVG §80 (1) Ziff. 1 und BetrVG §87 (1) Ziff. 1 Regelwerke (Policies) blockieren, Änderungen zu selbigenerzwingen oder auch die Ausserkraftsetzung fordern
Ein Ignorieren des BR kann wegen BetrVG §87 (1) Ziff. 6 zur gerichtlich durchsetzbaren Blockade beim Einsatz von mobilenGeräten und mobiler Sicherheit führen
Der BR kann über BetrVG §80 (1) Ziff. 1 und BetrVG §87 (1) Ziff. 6 u. 7 bestimmte (alternative) Lösungen erzwingen
Betriebsrat (Betriebsverfassungsgesetz – BetrVG und Arbeitsschutzgesetze)
Konfliktpotenziale bei Einführung mobiler Sicherheit
LösungFrühzeitige Einbeziehung des Betriebsrates in: die Planung, die Definition der Richtlinien, den Technologieauswahl- und Implementierungsprozess (am besten als Mitglied eines Steering Commitees).
Client Name here 27
Mitarbeiterinteressen Unternehmensinteressen
Schutz der Privatsphäre • Schutz von Unternehmens- und Kundendaten• Schutz personenbezogener Daten
• Flexibles und individuelles Arbeiten • Einhalten von Arbeitsschutzgesetzen (z.B. ArbZG)• Versicherungsrechtliche Fragen (z.B. BG Unfallversicherung)
• Zugriff auf die für die Arbeit relevante Daten jederzeit und überall
• Zugriff auf Unternehmensdaten nur von vermeintlich“sicheren” Orten (z.B. nicht aus ÖPNV)
• Möglichst keinerlei Beschränkungen • Einhaltung von Compliance Vorgaben (z.B. keinegesetzeswidrigen Daten auf den für Unternehmenszweckegenutzten Geräten)
• Komfort vor Sicherheit • Einhaltung von unternehmenseigenen Sicherheitsstandards• Schnelle Reaktionsmöglichkeiten auf Sicherheitsvorfälle• Erkennen von Missbrauchsfällen
• Datenkommunikation einfach, schnell und zuverlässig • Gewährleistung einer sicheren Datenkommunikation
• Möglichst neueste Technologieplattform• Mitarbeiter wollen gut funktionierende, leicht bedienbare
Anwendungen und Geräte
• Beherrschbare und bewährte Technologieplattformen• Zentrale Administrationsmöglichkeiten• Einfache und zentrale Softwareverteilung
• Höhere Bereitschaft für “coole” Gadgets wie Design, Hippinessund Marken, Geld auszugeben
• Wirtschaftlichkeit (Kosten- / Nutzenanalysen) steht imVordergrund
Mitarbeiter- versus Unternehmensinteressen
Konfliktpotenziale bei Einführung mobiler Sicherheit
Client Name here 28
Agenda
Bedrohungen und Gefahren (aktuelle Meldungen)2
Lösungsansätze für mobile Sicherheit3
Nutzen von mobiler Sicherheit4
Mobile Sicherheit - Motivationsfaktoren 1
Voraussetzungen für mobile Sicherheit (mobile Security Readiness)5
Konfliktpotenziale bei Einführung mobiler Sicherheit6
Praxisbeispiel BearingPoint7
Client Name here 29
BearingPoint - Europäische Wurzeln mit globaler Reichweite
32 BearingPoint Büros in 20 Ländern und Betreuung von Kunden in mehr als 70 Ländern gemeinsam mit unseren globalen Allianzpartnern
Client Name here 30
Ausgangssituation
20 Ländervertretungen
32 Niederlassungen / Büros
ca. 3350 Mitarbeiter, davon >= 75% Berater
20 länderspezifische Rechtssysteme (neben EU auch USA, China, Russland)
>= 20 länderspezifische Verträge mit Mobilfunkprovidern, da hier imGegensatz zu Festnetz-/Datennetzwerken z.Zt. nur wenige Provider länderübergreifende Optionen bieten
>= 50 verschiedene Gerätetypen aufgrund von Länderhoheiten, Providerspezifika
Alle Betriebssystemplattformen bei mobilen Geräte vorhanden
4 länderspezifische Betriebsräte (D, F, NL, A), kein Konzernbetriebsrat
unternehmensweite Wissensdatenbank
Zentrale EMail-Server
Berater greifen mehr oder weniger über Mobilgeräte auf die Wissensdatenbank zu und benötigen dies für die Beratertätigkeit
Austausch von Kundendaten über mobile Geräte kann im Sinne von Geschäfts-/Kundeninteresse nicht grundsätzlich ausgeschlossenwerden
… an ein mobiles Gerätemanagement und die zugehörige Sicherheit
BearingPoint – extreme Herausforderungen …
Ziel (Auszug des Kriterienkataloges)
Weltweit einheitlich:
Management aller mobilen Geräte
Regelwerke für alle mobile Geräte
höchste Sicherheitsstandards für mobile Geräte nötig
Etablierung von Datenschutzstandards mindestens nach EU-Recht, wo möglich direkt nach BDSG
Kontrolle und Erkennung von Missbrauch / Verstössen
Kontrolle über Compliance-Vorgaben
Berücksichtigung nationaler Organisationsstrukturen / Spezifika
Berücksichtigung nationaler Gesetze
Berücksichtigung von Kundenanforderungen an die Sicherheit ihrerDaten
Einfache Implementierung, Betrieb, Wartung des MDM-Systems
Einfache Nutzungsmöglichkeit durch Anwender
Einfache (länderspezifische) Bereitstellung von Apps
Einfache (länderspezifische) Bereitstellung von Benutzer- / Securityrollen oder –Profilen
Client Name here 31
… ein Lösungsansatz
BearingPoint – extreme Herausforderungen …
• Analyse der Unternehmenssituation
• Festlegung eines unternehmensspezfischenKriterienkataloges
• Marktanalyse der technischen Lösungen in Bezug auf Kriterienkatalog, mit Ergebnis einer Shortlist
• Aufbau Testumgebung
• Test der Systeme aus Shortlist
• Auswahl des finalen Systems
• Entwicklung und Abstimmung Policy
• Entwicklung und Abstimmung firmen- und gerätespezifischer Sicherheitsprofile
• Implementierung Serversystem, Test und Inbetriebnahme
• Entwicklung Support-Konzept / Trainings
• Schulung Support-Personal
• Anwendungstests durch Support-Personal
• Festlegung länderspezifischer Support-Strukturen
• Einbeziehung der verantwortlichen länderspezifischen Ansprechpartner in Rollout-Planung
• Rollout
• Training der in den Ländern verantwortlichen Ansprechpartner
• Information der betroffenen Anwender und länderspezifischer Rollout
• Evaluierung von Apps
• Entwicklung von Apps
• Test von Apps
• Bereitstellung von Apps
• Regelmäßiger Review und Anpassung von
• Policy (jährlich)
• Sicherheitsprofilen (monatlich bzw. bei Bedarf)
• Gerätepark (jährlich bzw. bei Bedarf)
Phase IIIImplementierung
Phase IIDesign
Phase IVorbereitung
Phase IVBetrieb
11/2012 – 01/2013 02/2013 – 10/2013 11/2013 –03/2014
Seit 04/2014
Umfangreiche Abstimmungsrunden zwecksErfüllung von länderspezifischen
Anforderungen an Policy und Securityprofileverzögerten den Rollout Start
Rollout auf Länder-/ Standortbasis
Client Name here 32
Technische Umsetzung
BearingPoint – MDM
Internet
ActiveDirectory
Server
InCountryContract
monitoring& SupportTicketing
1st Level Support
ProfileZertifikate
RegelnUpdates
…
Airwatch-Server
FleetManager
DesktopAdmin
ServiceDesk
BearingPointDataCenter
Intranet
InternetFirewall
& Gateway
Anwender
AW-Client
Produktauswahl
Installation AW-Server im BE Rechenzentrum
Anwender installiert AW-App auf dem mobilen Gerät
Definition, Implementierung und Bereitstellung der Sicherheitsprofile für Mobile Sicherheit auf AirWatch Server
Anwender installiert Sicherheitszertifikate und AW-Profile auf dem mobilen Gerät
Synchronisation von Benutzeraccounts / Berechtigungenzwischen Active Directory und Airwatch Server
(Push-Prinzip AD -> AW)
Definition, Implementierung, Wartung von Berechtigungen, Auswertungen für Admin, Fleet Manager & Service Desk in
Abstimmung mit Stakeholdern (z.B. Betriebsrat etc.)
AirWatch Client prüft Sicherheitseinstellungen des mobilen Gerätes bei jedem Verbindungsaufbau
und meldet Konformität mit Richtlinien
Konformität erfüllt?
Serv
ice
Des
k:1
stle
vel S
up
po
rt
Flee
t M
anag
er:
Mo
nit
ori
ng,
Su
pp
ort
Zugriff auf Systeme gemäß Policy gewährt
Systemzugriff verweigert
JaNein
Ad
min
:3
rdle
vel S
up
po
rt
1
1
2
2
3
3
4
4
5
5
6
6
7a
7a
7b
7b
7c
7c
8
8
8a
8a
8b
8b
9
9
Client Name here 33
1. Genehmigung zur Nutzung privater Geräte restriktiv handhaben oder klar und eindeutig regeln
2. Unklare Eigentumsregelung bzgl. der Geräte (Provider, Unternehmen, Mitarbeiter) in Planung einbeziehen
3. Unklare Regelung der Vertragspartnerschaft (z.B. Service) für die Geräte (Provider, Unternehmen, Mitarbeiter, Hersteller) in Planung einbeziehen
4. Haftungsfragen bei Rechtsverstößen erst klären, dann handeln (z.b. Policy)
5. Vielzahl unterschiedlicher Geräteklassen (inkl. Betriebssysteme und Betriebssystemversionen) vermeiden
6. Unklare Abgrenzung für die Erbringung von Supportleistungen (Help Desk / Service Desk, Provider, App-Anbieter)
7. Keine Vermischung von privaten und geschäftlichen Daten (ggf. über Policy regeln)
8. Unmündigkeit der Anwender bzgl. Mobilen Geräten nicht unterschätzen und rechtzeitig und geeignet aufklären (z.b. Trennung von APP-/Provider-/MDM-Support für Anwender meist nicht selbstverständlich)
9. Mitarbeiterschulungen und Mitarbeitersensibilisierung frühzeitig durchführen
Lehren aus der Praxis für die Praxis – Fallstricke
BearingPoint – MDM
Client Name here 34
1. Frühzeitige Einbindung ALLER betroffenen Interessengruppen (Management, HR, BR, Legal, IT)
2. Erstellung einer Mobile Device Strategie als erster Schritt
3. Erstellung der Mobile Device Policy basierend auf der Strategie als zweiter Schritt
4. Ausreichend Zeit für die Entwicklung, Abstimmung und Finalisierung der Mobile Device Strategie und Policy einplanen (ca. 20% - 30% der Gesamtlaufzeit des Gesamtprojektes dafür veranschlagen)
5. Produktauswahl, Projektplanung, System-Setup, Rollout erst nach dem zweitem Schritt vornehmen
6. Leistungserbringer für unterschiedliche Supportleistungen klar abgrenzen, definieren und an die Mitarbeiterkommunizieren
7. Mitarbeiterschulungen und Mitarbeitersensibilisierung verständlich aufbereiten und evtl. als Webinar anbieten
8. Regelmäßige Awareness-Trainings zur IT Sicherheit und Sicherheit für mobile Geräte etablieren und anbieten
9. Rollout nicht als Big Bang planen, um die notwendigen unternehmensspezifische Erfahrungen einarbeiten zu können
Lehren aus der Praxis für die Praxis – Tipps
BearingPoint – MDM
Client Name here 35
Client Name here 36
Ihre Ansprechpartner
Business card
Caroline Neufert
BearingPointKurfürstendamm 207-208
10719 BerlinGermany
T +49 30 88004 2230M +49 174 335 1127
www.bearingpoint.com
Dietrich Heusel
BearingPointErika-Mann-Strasse 9
80636 MünchenGermany
T +49 89 54033 6098M +49 174 312 8268
www.bearingpoint.com