Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Sicherheitsanfoderungen beim mobilen Arbeiten

Den Mitarbeitenden die Möglichkeit geben, das private, mobile Gerät zu nutzen – „bring your own device“ (BYOD) – bietet viele Vorteile für das Unternehmen, nicht nur aus monetärer Sicht. Benutzer tendieren dazu, ein performanteres, multifunktionaleres Gerät zu nutzen, anstelle von mehreren einzelnen Geräten mit jeweilig eingeschränkten Funktionen. Auch ist der Lernaufwand beim Benutzen des eigenen Geräts geringer, da die Mitarbeitenden dieses bereits privat einsetzen, in der Regel grosses Interesse an den erweiterten Funktionen zeigen und entsprechend lernbegierig sind. Die Möglichkeit, das private Gerät auch geschäftlich zu nutzen verwischt sowohl die Grenze der Datenhoheit als auch das Recht zur Geräteverwaltung. Wenn der Arbeitgeber dem Arbeitnehmer ein Smartphone zur Verfügung gestellt hat, so kann er dieses nach Beendigung des Arbeitsvertrages auch wieder zurückverlangen und zurücksetzen. Dabei kann es aber vorkommen, dass nicht alle Daten vollständig gelöscht werden und einzelne persönliche Daten auf dem Gerät gespeichert bleiben. Umgekehrt können noch einzelne Geschäftsdaten auf einem privaten Gerät verbleiben. Falls das Gerät weiterverkauft oder allenfalls wiederverwertet wird, sind unter Umständen die Geschäftsdaten immer noch darauf gespeichert. Durch Separieren der Daten können die Geschäftsdaten zum Beispiel in einem dedizierten, allenfalls verschlüsselten Container auf dem Gerät gespeichert werden, das dann mittels einem MDM verwaltet wird. Auf dem mobilen Gerät kann es sehr schwierig sein, persönliche von geschäftsrelevanten Daten zu trennen. Es gibt aber Anbieter, die spezifische Lösungen entwickelt haben, um Daten und Applikationen logisch getrennt in separaten virtuellen Containern zu speichern. Für Geräte, auf denen potentiell vertrauliche Unternehmensdaten gespeichert werden, ist es empfehlenswert, eine solche Lösung in Betracht zu ziehen. Die Unterhaltskosten für den einwandfreien Betrieb des Gerätes sind ebenfalls zu berücksichtigen. Jedes Gerät besitzt verschiedenste Funktionen mit unterschiedlichen Einstellungsmöglichkeiten, die nicht einem Standard entsprechen. Beim Design des Gerätes wird der Fokus eher auf Benutzerfreundlichkeit, Erreichbarkeit und Entertainment, als auf Sicherheit liegen. Der Softwarestand der verschiedensten Geräte wird in unregelmässigen Abständen erneuert, was zu einer erweiterten Funktionenvielfalt führen kann. All dies kann zu Mehraufwänden bei den unterstützenden Organisationseinheiten führen. Der Aufwand bezieht sich dabei auf den Aufbau und den Unterhalt einer Knowledge Base für jedes Gerät und jede Version, mit der entsprechenden Schulung des betreuenden Personals der Support-Organisation. Richtlinien für den Umgang mit privaten Geräten im Unternehmen müssen festgelegt, umgesetzt, kommuniziert und geschult werden. Dabei ist sicherzustellen, dass nur einwandfrei funktionierende Geräte erlaubt sind, d.h. auch keine Änderungen bei den Hersteller-Sicherheitsmechanismen vorgenommen werden. Stichworte hierzu sind: kein „jailbreaking“ oder kein „rooting“, um den unerlaubten Zugang zu unterdrücken bzw. die Umgehung der Standard- Sicherheitsmechanismen zu unterbinden. Im Weiteren sind die Betriebssysteme und Applikationen der Geräte auf dem aktuellen Stand zu halten. Dies als vorbeugende Massnahme zum Schutz gegen Schadsoftware wie Virus, Malware und andere Bedrohungen. So wie die Sicherheitsrichtlinien den Schutz vor Viren und Malware für unternehmenseigene Geräte festlegen, ist der Schutz vor Virus und Malware auch für die privaten Geräte umzusetzen. Die eingesetzte Software ist dabei à jour zu halten, um gegen die aktuellsten Bedrohungen geschützt zu sein. Forensische Massnahmen sind ebenfalls zu berücksichtigen und entsprechend festzulegen. Bei einem privaten Gerät, auf dem Geschäfts- und private Daten gespeichert wurden, sind auch die öffentlichen Datenschutzbestimmungen zu berücksichtigen. Da dieses Gebiet einem ständigen Wandel unterzogen ist, wäre es allenfalls empfehlenswert, externe Experten beizuziehen. In den Sicherheitsrichtlinien ist im Speziellen auch der Umgang mit den eingebauten Funktionen wie Kamera und Video festzulegen. Die grösste Herausforderung wird das Einbinden und Auslösen des privaten Gerätes in das Unternehmensnetz sein. Mit einem zertifikatbasierten Onboarding wird der sichere Zugang mit dem Gerät verknüpft und nicht nur mit dem Benutzerkonto. Somit können sich Personen einmal anmelden und werden dann künftig automatisch verbunden – ohne wiederholende Eingabe der Zugangsdaten. Arbeiten von zuhause, mit Remote-Zugriff auf Unternehmens-Ressourcen, soll nur über eine sichere VPN-Verbindung stattfinden. Auch ist eine logische Netztrennung/Zonenplan zu erwägen, sodass von extern nur auf beschränkte Ressourcen zugegriffen werden kann und dies immer mit einer starken Authentifizierung (Zertifikat- oder Einmalpasswort-basierend). Eine weitere, restriktivere Abstufung kann mit kontextbasierender Authentifizierung erreicht werden. Dabei werden die Benutzer-Anmeldeeigenschaften bewertet und mit den vordefinierten Sicherheitsrichtlinien abgeglichen. Die Kontext-Engine analysiert die Anmeldeeigenschaften eines Benutzers basierend auf einem Satz konfigurierbarer Parameter – wie: Standort, IP-Adresse, Tageszeit und Geräteerkennung – und legt eine kontextabhängige Sicherheitsstufe fest. Wenn die Sicherheitsrichtlinien erfüllt werden, erhalten die Benutzer Zugriff. Werden die Sicherheitsrichtlinien nicht erfüllt, werden die Benutzer dazu aufgefordert, durch einen weiteren Authentifizierungsfaktor für zusätzliche Sicherheit zu sorgen. Mit diesem Vorgehen wird das Ziel verfolgt, das Risiko eines unberechtigten Zugriffs zu eliminieren.

---

Blogpost wurde erstellt von Arthur Tagmann im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.