BYOD und ISO 27001

Sascha Todt

Bremen, 23.11.2012

Inhalt

Definition BYOD

Einige Zahlen zu BYOD

ISO 27001

Planung & Konzeption

Assets

Bedrohungen/Risiken

Maßahmen(ziele)

Fazit

BYOD

Definition (Bring Your Own Device)

Bearbeitung von Unternehmensdaten durch Mitarbeiter mit Hilfe

ihrer eigenen elektronischen Geräte.

BYOD – Einige Zahlen

Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012;

Stichprobe: 1.320 angestellte, erwachsene US-Bürger

BYOD und Sicherheitsmaßnahmen

Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012;

Stichprobe: 1.320 angestellte, erwachsene US-Bürger

ISO 27001

Information Security Management Systems

ISO/IEC 27000er-Familie

ISO/IEC 27000:2005

Managementsysteme für Informationssicherheit (ISMS):

Grundlegende Prinzipien, Konzepte, Begriffe und Definitionen

ISO/IEC 27001:2005 (Ursprung: BS 7799-2:2002)

Anforderungen an ein ISMS

Empfehlungen zur Einführung, Betrieb und Verbesserung eines

ISMS unter Berücksichtigung der Risiken

ISO/IEC 27002:2005 (zuvor: ISO 17799:2005, Ursprung BS

7799-1 „Code of Practice“)

Aufbau und Verankerung eines Sicherheitsmanagements auf

abstraktem Niveau

ISO 27005:2008

Rahmenempfehlungen zum Risikomanagement

ISMS – Demingkreis (PDCA)

Planung & Konzeption

(Plan)

Planung & Konzeption

(Plan)

Umsetzung (Do)

Umsetzung (Do)

Erfolgskontrolle &

Überwachung (Check)

Erfolgskontrolle &

Überwachung (Check)

Optimierung & Verbesserung

(Act)

Optimierung & Verbesserung

(Act)

„The organization shall establish,

implement, operate, monitor, review,

maintain and improve a documented

ISMS within the context of the

organization‘s overall business

activities and the risks it faces.“

Planung & Konzeption (Auszug 1/2)

Festlegung des Gültigkeitsbereichs des ISMS

Formulierung einer Sicherheitsleitlinie

Beschreibung der Risiken

Identifizierung der zu schützenden Informationen und

Geschäftsprozesse (Assets)

Identifizierung aller Bedrohungen für diese Assets

Identifizierung der Schwachstellen, über die Bedrohungen

wirken können (Gefährdungen)

Identifizierung der Folgen, die durch den Verlust der

Vertraulichkeit, Integrität oder Verfügbarkeit der Assets

verursacht werden können

Planung & Konzeption (Auszug 2/2)

Bewertung der Risiken

Auswirkungen auf die Geschäftstätigkeit oder

Aufgabenerfüllung

Eintrittswahrscheinlichkeit

Auswahl von Sicherheitsmaßnahmen

Gültigkeitsbereich

„Unter einem Informationsverbund (oder auch IT-Verbund) ist die

Gesamtheit von infrastrukturellen, organisatorischen, personellen

und technischen Objekten zu verstehen, die der Aufgabenerfüllung

in einem bestimmten Anwendungsbereich der Informations-

verarbeitung dienen.

Ein Informationsverbund kann dabei als Ausprägung die gesamte

Institution oder auch einzelne Bereiche, die durch organisatorische

Strukturen (z. B. Abteilungen) oder gemeinsame Geschäfts-

prozesse bzw. Anwendungen (z. B. Personalinformationssystem)

gegliedert sind, umfassen.“

[IT Grundschutz Katalog, 09-2011]

„Unter einem Informationsverbund (oder auch IT-Verbund) ist die

Gesamtheit von infrastrukturellen, organisatorischen, personellen

und technischen Objekten zu verstehen, die der Aufgabenerfüllung

in einem bestimmten Anwendungsbereich der Informations-

verarbeitung dienen.

Ein Informationsverbund kann dabei als Ausprägung die gesamte

Institution oder auch einzelne Bereiche, die durch organisatorische

Strukturen (z. B. Abteilungen) oder gemeinsame Geschäfts-

prozesse bzw. Anwendungen (z. B. Personalinformationssystem)

gegliedert sind, umfassen.“

[IT Grundschutz Katalog, 09-2011]

Beispiel BYOD-Smartphone: Assets

Private Nutzung

E-Mail

Kontakte

Photos

Musik

Dokumente

Anmeldeinformation

Heimnetzwerk

Soziale Netzwerke

Banking

…

Private Nutzung

E-Mail

Kontakte

Photos

Musik

Dokumente

Anmeldeinformation

Heimnetzwerk

Soziale Netzwerke

Banking

…

Geschäftliche Nutzung

E-Mail

Kontakte

Photos

Musik

Dokumente

Anmeldeinformation

Firmennetzwerk

…

Geschäftliche Nutzung

E-Mail

Kontakte

Photos

Musik

Dokumente

Anmeldeinformation

Firmennetzwerk

…

Beispiel BYOD-Smartphone:

Bedrohungen der Assets (1/2)

Top 10 Risks

R1 Data leakage

R2 Improper decommissioning

R3 Unintentional data disclosure

R4 Phishing

R5 Spyware

R6 Network spoofing attacks

R7 Surveillance

R8 Diallerware

R9 Financial malware

R10 Network congestion

Top 10 Risks

R1 Data leakage

R2 Improper decommissioning

R3 Unintentional data disclosure

R4 Phishing

R5 Spyware

R6 Network spoofing attacks

R7 Surveillance

R8 Diallerware

R9 Financial malware

R10 Network congestion

Beispiel BYOD-Smartphone:

Bedrohungen der Assets (2/2)

Beispiel BYOD-Smartphone:

Schadsoftware

Bewertung der Risiken

Eintrittswahrscheinlichkeit?

Schutzbedarfskategorien aus BSI Standard 100-2

„normal“ Die Schadensauswirkungen sind begrenzt und

überschaubar.

„hoch“ Die Schadensauswirkungen können beträchtlich sein.

„sehr hoch“ Die Schadensauswirkungen können ein existentiell

bedrohliches, katastrophales Ausmaß erreichen.

Umgang mit dem Risiko

Verminderung der Risiken durch adäquate

Sicherheitsmaßnahmen.

Vermeidung, z.B. durch Umstrukturierung oder Aufgabe

von Geschäftsbereichen.

Übertragung, z.B. durch Outsourcing oder

Versicherungen.

Bewusstes Akzeptieren von Risiken.

Auswahl von anwendbaren

Maßnahmenzielen und Maßnahmen

7. Management von organisationseigenen Werten (Assets)

7.1 Verantwortung für Assets

7.1.3 Zulässiger Gebrauch von Assets

9. Physische und umgebungsbezogene Sicherheit

9.2 Sicherheit von Betriebsmitteln

9.2.5 Sicherheit von außerhalb des Standorts befindlicher

Ausrüstung

11 Zugangskontrolle

11.4 Zugangskontrolle für Netze

11.4.6 Kontrolle von Netzverbindungen

11.7 Mobile Computing und Telearbeit

11.7.1 Mobile Computing und Kommunikation

Quelle: Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für

das Informationssicherheits-ManagementISO/IEC (27002:2005)

Lösungsansätze

Technisch

Zugriffsregelung und Einschränkung von Nutzerrechten

Berechtigungskonzept für Unternehmensdaten

Installation von Sicherheits-Software

Firewall

Virenscanner

Verschlüsselungssoftware

Deinstallation von nicht vertrauenswürdiger Software

…

Organisatorisch

Nutzungsvereinbarungen

Kennwortrichtlinie

Whitelist für Programminstallation

Aktivierung der Bildschirmsperre

…

Do-Check-Act

Umsetzung und Betrieb

Priorisierung

Ressourcen

Umgang mit Sicherheitsvorfällen

Schulung und Sensibilisierung

Erfolgskontrolle und Überwachung

Überprüfung der Eignung getroffener Maßnahmen

Überprüfung technischer Maßnahmen

Kontrolle organisatorischer Maßnahmen

Optimierung und Verbesserung

Korrektur von Fehlern

Überprüfung der Aktualität

Fazit

(BYO)Device ist Teil des Unternehmensnetzes.

Eine Sicherheitsrichtlinie für BYOD ist dringend erforderlich.

Der Schutzbedarf der vorhandenen Informationen und

Geschäftsprozesse (Assets) ist festzulegen.

Eine individuelle Risikobewertung ist notwendig.

Die private Benutzbarkeit des (BYO)Device wird (stark)

eingeschränkt.

Kontakt

Dr. Sascha Todt

0421/ 69 66 32 33

stodt@datenschutz-nord.de

www.datenschutz-nord.de