Österreich
Secure Your Business
 

BYOD – Herausforderung an die IT:
Sichere Lösung im RRZ - und konform mit ISO 27001

 

Die Raiffeisen Rechenzentrum GmbH begegnet der BYOD-Challenge auf der sicheren Schiene: Mitarbeiter erhalten Smartphones oder Tablets für Beruf und privat direkt vom Unternehmen. Security-Maßnahmen werden zentral verwaltet.

 

 

(CIS-Newsletter März 2014)  Der „Bring your own Device“-Trend führt seinen Siegeszug konstant fort. Die Ursprünge liegen in den Einsparungstendenzen auf Unternehmensebene sowie im Wunsch der Anwender gewohnte Geräte aus dem privaten Umfeld auch beruflich zu nutzen. Obwohl auf den ersten Blick eine Win-Win-Situation entsteht, gehen damit komplexe technische, organisatorische und rechtliche Herausforderungen einher. Diese betreffen den technischen Schutz geschäftskritischer, personenbezogener oder auch privater Daten sowie die Aufrechterhaltung eines reibungslosen IT-Betriebs. Auch lizenzrechtliche Fragen kommen hinzu. Auf juristischer Ebene müssen Aspekte wie Verlust-, Reparatur-, und Ersatzansprüche klar geregelt sein.

 

Mehr als 1000 Smartphones
Die Raiffeisen Rechenzentrum GmbH als größtes Bankenrechenzentrum im Süden Österreichs mit rund 100 Mitarbeitern löst die BYOD-Problematik ganz im Zeichen der Sicherheit: Der IT Full Service Provider stellt seinen Mitarbeitern großflächig Smartphones und Tablets zur Verfügung, die sowohl beruflich DI Dietmar Schlarals auch privat genutzt werden dürfen. „Wir sehen diesen Schritt als zusätzliches Motivationsmoment für unsere Technik-begeisterten Mitarbeiter, wodurch gleichzeitig auch die Produktivität zunimmt “, betont DI Dietmar Schlar, Vorsitzender der Geschäftsführung der Raiffeisen Rechenzentrum GmbH. Insgesamt verwaltet das Unternehmen nicht nur für den Eigenbedarf, sondern vor allem auch für seine Kunden mehr als 1000 Smart Phones und rund 110 Tablets. Mit dieser Strategie lassen sich IT- und sicherheits-technische Maßnahmen für die mobilen Geräte zentral verwalten und höchste Sicherheitsanforderungen einhalten, was im sensiblen Bankenumfeld essenziell ist. Bereits seit Jahren ist das RRZ durch die akkreditierte Zertifizierungsorganisation CIS nach den internationalen Standards ISO/IEC 27001 für Informationssicherheit und ISO/IEC 20000 für IT-Service-Management zertifiziert. Daher musste die Mobile-Device-Strategie auch im Einklang mit diesen Normen umgesetzt werden.

 

„Durch die Nutzung firmeneigener mobiler Geräte werden zahlreiche rechtliche BYOD-Probleme von vornherein vermieden – wie etwa die Frage der Haftung für verlorene Unternehmensdaten oder die Frage des Verschuldens bei Einschleusen von Schadsoftware in das Unternehmensnetz“, lobt auch CIS-Auditor Robert Jamnik als externer Prüfer die defensive RRZ-Strategie. Auf der arbeitsrechtlichen Seite wurde der Komfort, mit firmeneigenen Devices beruflich wie privat arbeiten zu können, durch eine Betriebs-vereinbarung geregelt. „Zudem müssen die Mitarbeiter Nutzungsbedingungen unterschreiben, für deren Einhaltung sie haften“, ergänzt DI Markus Hefler, Leiter der Information Security im RRZ.

 

Container-Lösung trennt Beruf und privat
Auf technischer Ebene wurde die Mobile-Device-Strategie des RRZ mit Hilfe einer Container-App-Lösung realisiert. Damit wird eine Kapselung der Unternehmensdaten innerhalb einesd02_Hefler_web mit rand

verschlüsselten Containers erzeugt, wodurch eine exakte Trennung zwischen beruflicher und privater Nutzung möglich ist. „Somit betreffen die zentral gesteuerten Sicherheitsrichtlinien ausschließlich Business-Daten und keine privaten Inhalte. Im Falle des Verlusts des Endgerätes werden ebenfalls ausschließlich die darauf gespeicherten Unternehmensdaten remote gelöscht“, erklärt der Information-Security-Leiter. Mit Hilfe des Management Frameworks ist es möglich, für die Container-App Sicherheitsrichtlinien zu konfigurieren – etwa für die Passwortkomplexität, die Datenhaltung oder das Verhalten bei manipulierten Betriebssystemen. Bei Verlust des Gerätes wird über die integrierte Remote Wipe Funktion eine sofortige Datenfernlöschung durchgeführt. 

Sicherheitstechnische Anforderungen
Mit Hilfe dieser Lösung werden auch technische Gefahren wie Rooting oder Jail Breaking adressiert. „Diese Techniken beschreiben die Manipulation mobiler Betriebssysteme durch ihren Besitzer, mit dem Ziel uneingeschränkten Zugriff auf sämtliche Funktionen des Gerätes zu erhalten und so etwa Einschränkungen durch Mobilfunkanbieter zu umgehen“, erklärt Markus Hefler. Diese Manipulationen eröffnen dem Anwender zwar mehr Nutzungsmöglichkeiten, jedoch wird dadurch auch der Infektion durch manipulierte Apps Tür und Tor geöffnet. Dieser Bedrohung begegnet das RRZ auf organisatorischer Ebene innerhalb der verpflichtenden Nutzungsrichtlinie sowie auf technischer Ebene mit Hilfe der entsprechenden Container-App-Funktion. Diese prüft bei jedem Aufruf der Container-App, ob das Betriebssystem des betreffenden Endgerätes manipuliert wurde. Wird eine Manipulation festgestellt, kann der Benutzer nicht mehr auf den geschützten Bereich mit den Unternehmensdaten zugreifen.

 

Normative Anforderungen
Die Regelung der BYOD-Herausforderung musste sowohl im Einklang mit dem Standard ISO/IEC 27001 als auch mit dem Cobit Framework erfolgen. Im Anhang A der ISO/IEC 27001gelb mit zahlen Kleinsind für diese Lösung unter anderem relevant: Kapitel A.6 (Organisation der Sicherheit), A.7 (Verwaltung der Vermögenswerte), A.10.1 (Betriebsverfahren und -verantwortlichkeiten), A.10.2 (Management der von Dritten erbrachten Leistungen), A.10.6 (Management der Netzwerksicherheit), A.10.8 (Austausch von Informationen), A.10.10 (Überwachung, Monitoring), A.11.1 (Geschäftliche Anforderung für Zugriffskontrollen), A.11.2 (Management des Zugriffs durch Benutzer), A.11.3 (Verantwortlichkeiten von Benutzern), A.11.7 (Einsatz portabler Computer und Telearbeit), A.12.6.1 (Kontrolle technischer Schwachstellen) sowie der Anhang A.15 (Einhaltung der Verpflichtungen). Aber auch der Anhang A.13 (Verwaltung von Informationssicherheitsvorfällen) ist vor diesem Hintergrund anzuwenden.

 

Mobile-Device-relevante Vorgaben gemäß Cobit sind: die Cobit Control Objectives PO 2.3 (Datenklassifikationsschema), PO 3.3 (Überwachung von zukünftigen Trends und Bestimmungen), PO 3.4 (Technologische Standards), PO 4.8 (Verantwortung für Risiko, Sicherheit und Compliance), PO 4.9 (Daten- und Systemeignerschaft), AI 2.3 (Anwendungskontrollen und Nachvollziehbarkeit), AI 2.4 (Sicherheit und Verfügbarkeit der Anwendung), AI 3.3 (Wartung von Infrastruktur), DS 2.3 (Lieferanten-Risikomanagement), DS 5.1 (Management der IT-Sicherheit), DS 5.2 (IT-Security Plan), DS 5.3 (Identitätsmanagement), DS 5.4 (Management von Benutzerkonten), DS 5.5 (Testen, Beobachtung und Überwachung der Sicherheit), DS 5.6 (Definition von Security Incidents), DS 5.7(Schutz von Sicherheitseinrichtungen), DS 5.8 (Verwaltung kryptographischer Schlüssel) sowie DS 5.9 (Schutz vor, Erkennung und Korrektur von bösartiger Software).

 

Blick in die nahe Zukunft
Die aktuelle Mobile Device Management-Lösung in der RRZ GmbH ermöglicht bis dato die Nutzung von Unternehmensdaten in Form von E-Mails, Kalender, Kontakten und Aufgaben. „Wir arbeiten aber an einer breiteren Lösung, die auch die Nutzung von Windows-Applikationen wie Office oder Powerpoint ermöglicht. Zudem wird eine private Cloud-Lösung implementiert, welche auch die Offline-Verfügbarkeit von Unternehmensdaten und deren Bearbeitung auf dem Smart Phone oder Tablet erlaubt“, führt Markus Hefler aus. Allerdings steigt mit der erweiterten mobilen Nutzung das Bedrohungsrisiko in Bezug auf die Informationssicherheit. Daher müssen künftig neben den Collaboration-Daten auch die am mobilen Gerät abgelegten Office- und Datenbankdokumente mittels Verschlüsselung geschützt werden. Für diese erweiterte Nutzung ist nicht nur ein leistungsfähigeres MDM-Tool notwendig, das solche Verschlüsselungs- und Verwaltungsfunktionen zur Verfügung stellt, sondern auch eine ganz neue Infrastruktur inklusive neuer Server und neuer Authentisierungssysteme.

 people cut

Erhöhung der Komplexität

Der mobile Zugriff auf Unternehmensapplikationen wie etwa auf CRM-Datenbanken stellt auch eine Herausforderung an eine sichere und gleichzeitig komfortable Authentisierung dar: Aufgrund der im mobilen Bereicheingeschränkten technischen Möglichkeiten betreibt das RRZ eine komplexe Authentisierungsinfrastruktur nach den Vorgaben der ISO/IEC 27001. Das Einbinden der neuen Server in die bestehende Infrastruktur erfordert dafür die komplexe Konfiguration zahlreicher Schnittstellen zwischen inhomogenen Systemen mitunterschiedlichen Protokollen. „Die Evaluierung der Anforderungen an ein MDM-Projekt ist nicht immer einfach“, resümiert Hefler, „denn die Kosten enorm an und man ist darauf bedacht, die Funktionen sparsam umzusetzen. Andererseits steigt mit der mobilen Nutzung die Erwartungshaltung der User. Daher empfiehlt es sich generell, bereits zu Projektbeginn auf umfangreichere Tools zu setzen, die eine spätere MDM-Erweiterung reibungslos ermöglichen.

 

________________________

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com



 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB