Die Konkretisierung zum Baustein Smartphone - der Baustein ios

Die Konkretisierung zum Baustein Smartphone - der Baustein iOS Jens Mahnke, Managing Consultant 1 © HiSolutions 2017 | IT-Grundschutztag Agenda 1...
29 downloads 2 Views 2MB Size
Die Konkretisierung zum Baustein Smartphone - der Baustein iOS

Jens Mahnke, Managing Consultant

1

© HiSolutions 2017 | IT-Grundschutztag

Agenda 1 2 3 4

2

Ziel des Bausteines Aufbau des Bausteines Umsetzungsstrategie Fragen und Antworten

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise)

Ziel des Bausteines  Der Baustein kann als Grundlage für die Erstellung der Sicherheitsrichtlinie dienen  Baustein ist strukturiert in:  Basis-Anforderungen  Standard-Anforderungen  Anforderungen für erhöhten Schutzbedarf

 Einheitliche Anforderungsbasis für alle Zielobjekte  Risikobewusste Umsetzungsausprägungen

3

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise)

Aufbau des Bausteines Beschreibung

Spezifische Gefährdungen

Anforderungen

4

Weiterführende Informationen

Kreuzreferenztabelle zu den elementaren Gefährdungen

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) – Auszug aus den spezifische Gefährdungen

Jailbreak In den bisherigen Versionen des iOS-Betriebssystems wurden meist Schwachstellen gefunden, die es ermöglichen, das von der Firma Apple etablierte Sicherheitsframework zu unterlaufen und somit auf Systemprozesse und geschützte Speicherbereiche zuzugreifen. Sogenannte „Jailbreaks“ nutzen diese Schwachstellen aus, um beispielsweise alternative App-Stores oder von Apple unerwünschte Erweiterungen nutzen zu können. Jailbreak-Techniken werden von Angreifern verwendet, um Schadprogramme zu installieren oder andere schädliche Manipulationen auf dem iOS-basierten Gerät vorzunehmen.

5

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) – Auszug aus den spezifische Gefährdungen

Risikokonzentration durch ein Benutzerkonto (Apple ID) für alle Apple-Dienste Mit der Apple ID besteht ein zentraler Zugang zu allen von der Firma Apple zur Verfügung gestellten Diensten (z. B. iMessage, FaceTime, iCloud, App Store, iTunes, iBook-Store, iPhone-Suche oder Synchronisationsdienste). Wenn Unbefugte Zugriff auf eine nicht ausreichend abgesicherte Apple ID erlangen, können sie unter Umständen diese Apple-Dienste unter einer falschen Identität nutzen, die Verfügbarkeit der Apple-ID-basierten Dienste stören, iOS-basierte Geräte aus der Ferne lokalisieren oder alle Daten zurücksetzen sowie auf Informationen des Cloud-Dienstes „iCloud“ zugreifen. Insbesondere ist es einem Angreifer bei aktivierten iCloud-Backups möglich, die gespeicherten Daten auf ein eigenes iOS-Gerät zu klonen.

6

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise)

Auszug von Anforderungen aus dem Baustein

Basis

Standard

• • Strategie für die iOS-Nutzung • Planung des Einsatzes von Cloud• Diensten • Verwendung des Gerätecodes • (Passcode) • Verwendung der Konfigurationsoption • "Automatische Sperre„ • Verwendung der Konfigurationsoption • "Gerätesperrung„ • Verwendung der Konfigurationsoption "Maximale Anzahl von Fehlversuchen„

Verwendung eines komplexen Gerätecodes (Passcode) Verwendung des Fingerabdrucksensors (Touch ID) Verwendung der Konfigurationsoption "Einschränkungen unter iOS„ Verwendung der iCloud-Infrastruktur Verwendung der Konfigurationsoption für AirPlay

7

Erhöhtem Schutzbedarf • Durchsetzung von ComplianceAnforderungen • Verwendung der automatischen Konfigurationsprofillöschung • Verwendung standortbasierter Policies • Keine Verbindung mit Host-Systemen

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise)

Auszug aus dem Kapitel weiterführende Informationen

8

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise)

Auszug aus der Kreuzreferenztabelle

9

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Verzahnung von Anforderungen

SYS.3.2.3.A10

SYS.3.2.3.A13

SYS.3.2.3.A4

SYS.3.2.3.A3

SYS.3.2.3.A1

SYS.3.2.3.A9

zusätzliche Absicherung + Benutzerkomfort

10

Basisabsicherung

Strategie

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A1 Strategie für die iOS-Nutzung

Dieser Baustein setzt voraus, dass zu verwaltende iOS-Geräte in eine MDMInfrastruktur integriert sind. Eine begründete Ausnahme unter Betrachtung von wirtschaftlichen Aspekten kann die Verwaltung einer kleineren, einstelligen Anzahl von Geräten ohne Einsatz eines MDM sein. Wird ein MDM eingesetzt, so MUSS die Verwaltung der Geräte zum Zwecke der vereinfachten Administration und des einheitlichen Aufspielens von sicherheitstechnischen sowie sonstigen Einstellungen über das MDM erfolgen. Hierzu MUSS eine Strategie zur iOS-Nutzung vorliegen, in der Aspekte wie Endgeräte-Auswahl oder Backup-Strategien festgelegt werden. Es MUSS außerdem geregelt werden, ob zusätzliche Apps von Drittanbietern genutzt werden sollen.

11

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M1 Strategie für die iOS-Nutzung

12

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A3 Verwendung des Gerätecodes (Passcode)

Mit der Aktivierung des Gerätecodes wird die Sicherheit der Daten auf dem iOSbasierten Gerät erhöht und zusätzlich basierend auf der Komplexität des Gerätecodes eine verbesserte Entropie für bestimmte Verschlüsselungscodes zur Verfügung gestellt. Basierend auf dem festgelegten Sicherheitskonzept und dem Schutzbedarf der auf dem iOS-basierten Gerät verarbeiteten bzw. gespeicherten Daten MUSS ein angemessen komplexer Gerätecode verwendet werden.

13

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M3 Verwendung des Gerätecodes (Passcode)

14

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A4 Verwendung der Konfigurationsoption "Automatische Sperre„

Basierend auf dem Einsatzzweck und Schutzbedarf MUSS die Zeitspanne für die "Automatische Sperre" des Geräts auf einen möglichst niedrigen Wert eingestellt sein. Durch einen niedrigen Wert wird sichergestellt, dass keine unberechtigte Nutzung des unbeaufsichtigten Geräts möglich ist. Durch eine angemessen kurze Zeitspanne für die automatische Sperre wird der Benutzer bei der Einhaltung der Sicherheitsregelungen der Institution unterstützt, sofern das Gerät nicht durch Interaktion mit der Benutzeroberfläche im ungesperrten Zustand verweilt. Bei der Definition des Zeitraums bis zur Passcode-Abfrage MÜSSEN die Anforderungen an den Schutzbedarf und die Benutzbarkeit beachtet werden.

15

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M4 Verwendung der Konfigurationsoption "Automatische Sperre„

16

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A9 Verwendung eines komplexen Gerätecodes (Passcode)

Basierend auf dem Schutzbedürfnis SOLLTE zum Zwecke der Wahrung der Vertraulichkeit ein komplexes Passwort verwendet werden. Bei der Regelung der Komplexität (Mindestlänge des Codes, Mindestanzahl an Sonderzeichen) SOLLTE eine Balance zwischen Benutzbarkeit, Risikoakzeptanz und Schutzbedürfnis gewahrt werden. Beispielsweise können die in der Institution etablierten Regelungen für mobile Arbeitsmittel (Notebooks) die Grundlage für die umzusetzende Komplexität bilden.

17

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M9 Verwendung eines komplexen Gerätecodes (Passcode)

18

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A10 Verwendung des Fingerabdrucksensors (Touch ID)

Bei iOS-basierten Geräten mit biometrischem Fingerabdrucksensor, der sogenannten Touch ID, SOLLTE dieser den Benutzern alternativ zur Entsperrung des Geräts freigegeben werden, wenn gleichzeitig organisatorisch und technisch geregelt wird, dass die Benutzer komplexere Gerätecodes verwenden müssen. Einhergehend mit der Aktivierung der Touch ID SOLLTE eine Sensibilisierung der Benutzer hinsichtlich der Fälschbarkeit von Fingerabdrücken erfolgen.

19

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M10 Verwendung des Fingerabdrucksensors (Touch ID)

20

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

SYS.3.2.3.A13 Verwendung der Konfigurationsoption "Einschränkungen unter iOS" Um die Vertraulichkeit und Integrität der verarbeiteten bzw. auf dem Gerät gespeicherten Daten sicherzustellen, SOLLTEN alle nicht benötigten oder erlaubten Funktionen oder Dienste deaktiviert werden. Welche zu deaktivieren sind, muss basierend auf dem Einsatzzweck und dem zugrundeliegenden Schutzbedarf für die Punkte Sperrbildschirm, Unified Communication, Siri, Hintergrundbild, Verbindung mit Host-Systemen und Diagnose- und Nutzungsdaten entschieden werden.

21

© HiSolutions 2017 | IT-Grundschutztag

Baustein SYS.3.2.3: iOS (for Enterprise) - Umsetzungsstrategie

Auszug von SYS.3.2.3.M13 Verwendung der Konfigurationsoption "Einschränkungen unter iOS"

22

© HiSolutions 2017 | IT-Grundschutztag

Q&A

Fragen und Antworten

Q&A 23

© HiSolutions 2017 | IT-Grundschutztag

HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT

HiSolutions AG Bouchéstraße 12 12435 Berlin [email protected] www.hisolutions.com +49 30 533 289-0

24

© HiSolutions 2017 | IT-Grundschutztag