4. IT-Grundschutz-Tag 2013: Mobile Security mit IT-Grundschutz

Wie in den letzten Jahren veranstaltete das BSI auch dieses Jahr einen Grundschutz-Tag im Rahmen der IT-Sicherheitsmesse it-sa in Nürnberg. neam hat es sich nicht nehmen lassen auch hier vor Ort zu sein. Die Vorträge beschäftigten sich überwiegend mit der Absicherung mobiler IT-Systeme wie Smartphones und Tablet-PCs. Wie so oft  wurde auch dieses Mal am Ende der Veranstaltung der obligatorische Überblick der Neuerungen und Veränderungen im Grundschutz, wie Ankündigung der Ergänzungslieferung 13 und die damit zusammenhängende Veröffentlichung neuer und überarbeiteter Bausteine, präsentiert.

Die Vorträge im Detail:

Mobiler Zugriff auf das Corporate Network Polizei NRW

In Zusammenarbeit mit der Hochschule Krefeld wurde im Rahmen einer Bachelorarbeit die Umsetzung von Sicherheitsmaßnahmen für den Einsatz von Smartphones für den Corporate Data Access untersucht. Hier wurden drei Plattformen bzgl. Sicherheit und Administration unter die Lupe genommen. Das Resultat war die Entscheidung zu iOS mit Einsatz der MDM-Lösung Enterprise Mobility Manager.

  • Grenzen der Lösung:
    • Private Nutzung der Benutzer kann nicht verhindert werden
    • Nutzung von Siri, iCloud und Facetime kann nicht zentral eingeschränkt werden
    • Synchronisation mit iTunes trotz MDM-Einsatz für Benutzer weiter möglich
    • Verhinderung von Aktivierung von Schnittstellen wie WLAN etc. nicht zentral administrierbar

Es ist zu bemerken, dass auf den eingesetzten Geräten keinerlei sensitive Daten gespeichert werden.

 

Quo vadis ByoD? Eine praxisnahe Betrachtung – TDS Informationstechnologie AG

Warum ByoD für die TDS?

Ein Vorteil wäre, dass jeder Mitarbeiter das Gerät benutzt, welches er schon kennt. Zudem würde jeder Mitarbeiter durch die geschäftliche Nutzung ihrer privaten Smartphones immer erreichbar sein und sie müssten nur ein Gerät mit sich führen. Ein weiterer positiver Aspekt, die Anschaffungskosten für die Organisation würden wegfallen. Also warum nicht ByoD?

ByoD vs. Sicherheit:

  • Unkontrollierter Datenabfluss: soziale Netze, Clouds, Apps die auf das Adressbuch zugreifen etc.
  • Wer bietet den Support für ByoD
  • Was ist mit defekten ByoD und woher kommt Ersatz
  • Realisierung und Kontrolle von Updatemanagement
  • Welche Geräte werden zugelassen
  • Aktualität bzgl. Sicherheitslücken in mehreren Plattformen und der dort angebotenen Apps
  • Trennung von privaten und geschäftlichen Daten

Das Resultat der Betrachtung von ByoD durch die TDS war die Entscheidung gegen diese Strategie. Die Einbringung vieler verschiedener Betriebssysteme und unterschiedlichen Versionen in die IT-Landschaft der TDS und durch die Tatsache, dass Mitarbeiter sich ungern auf ihren eigenen Geräten reglementieren lassen, macht es der Organisation schwer sicher zu stellen, dass die Geschäftsdaten geschützt werden. Notebooks und Client-PCs sind gehärtet konfiguriert aber die ByoDs nicht, wodurch ein Schiefstand der IT-Sicherheit entsteht.

Keine Revolution – eine Evolution

Die Alternative hier heißt „Choose your own Device“ (CyoD). In dieser Strategie bestimmt und stellt die Organisation die Geräte, erlaubt dem Mitarbeiter jedoch die private Nutzung. Auch hier wäre der Vorteil für die Mitarbeiter, dass sie nur ein Gerät mit sich führen müssen und sie private Apps installieren können. Der Mehrwert für die TDS ist offensichtlich. Die Benutzer sind jeder Zeit erreichbar, die Administration bleibt in der Verantwortung der Organisation und so kann die Kontrolle über die Geschäftsdaten gewährleistet werden. Bleibt nur noch die Frage offen, wie private von geschäftlichen Daten zu trennen sind. Die TDS beantwortet diese Frage mit dem Blackberry Z10 und der Realisierung des BES10. Durch Balanc sind unterschiedliche Kennwörter und unterschiedliche Sperrzeiten für Geschäfts- und Privatbereich gegeben. Da der Austausch von Daten zwischen den Bereichen nicht möglich ist, wurde der Anforderung „Trennung von Geschäfts- und Privatdaten“ genügend Sorge getragen. Auch der „must have“-Faktor wird mit den neuen Geräten weitestgehend bedient.

Neues vom IT-Grundschutz: Ausblick und Diskussion

Hier wurde die Veröffentlichung der 13. Ergänzungslieferung angekündigt. Neue Bausteine, wie Windows 7, Windows Server 2008 (R2) und Protokollierung wurden genannt, genauso wie aktualisierte Bausteine wie Exchange 2010 und Lotus Notes. Auch die Prüffragen wurden ganzheitlich in die Maßnahmenkataloge eingebracht, wodurch Audits und Aufrechterhaltung der IT-Sicherheit vereinfacht werden sollen. Die Veröffentlichung von Überblickspapieren wird zukünftig weiter ausgebaut um schneller auf neue Gegebenheiten in der IT reagieren zu können. Einer der interessantesten Punkte des Vortrags war bestimmt die Ankündigung das der Vertrieb von GSTOOL Ende 2013 endet und der Support von GSTOOL bis ca. 2015 eingestellt wird und es keine neuen Funktionen mehr geben wird, was bedeutet, dass GSTOOL 4.8 die letzte Version ist. Es wurde jedoch versichert, dass Metadatenupdates wie gewohnt weiter veröffentlicht werden und das BSI mit mehreren Softwareanbietern in Gesprächen sei und am Markt verfügbaren Tools prüfe. So sollen zukünftig Empfehlungen ausgesprochen werden.