Stefan Gieseler

© 2013 ı Classification: Public
BizzTrust – die Sicherheitslö sung
für po lizeiliche Mo bilität
© 2015 ı Classification: RESTRICTED
IT-Sicherheitslösungen im polizeilichen Einsatz
 Browser-in-the-Box für sicheres Surfen im Internet
 im flächendeckenden polizeilichen Einsatz in 3 Bundesländern
 Alternativprodukte entweder teurer oder weniger sicher
 TrustedDisk für sichere Datenspeicherung auf mobilen Windows-Rechnern
 BSI-zugelassene Festplattenverschlüsselung für VS-NfD Anforderungen
 BizzTrust für sichere Smartphone- und Tablet-Nutzung
 im Einsatz bei der Polizei Niedersachsen
2
© 2015 ı Classification: RESTRICTED
Gefährdungen für Smartphones 1
 Smartphones gehen verloren und werden geklaut
 Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, …)
 Passworte sind oft unsicher und werden geknackt
 Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf
Unternehmensressourcen (Intranet, Mails, …)
 Kommunikation wird abgehört
 Risiko Preisgabe übertragener Daten (z.B. Passwörter, PINs,
Zugangscredentials, Webzugriffe, …), abgehörte Telefonate
 Datensauger-Apps
 Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge,
Ortsangaben, …)
3
© 2015 ı Classification: RESTRICTED
Gefährdungen für Smartphones II
 Exploits von App-Fehlern
 Direkter Zugriff auf App-Daten
 Indirekter Zugriff auf Daten anderer Apps
 Risiko Preisgabe vertraulicher Daten
 Exploits von Android-Fehlern
 Zugriff auf kryptographische Schlüssel
 Umgehung von Isolations- und Verschlüsselungsmechanismen
 Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf
Unternehmensressourcen (Intranet, Mails, …)
4
Anforderungen im polizeilichen Einsatz
© 2015 ı Classification: Restricted
Was wird gebraucht ?



Sicherer Zugang zum polizeilichen
Intranet
Abhörsichere Vorgangsbearbeitung
Zentrales Management mit
Richtlinienkompetenz und Event
Logging



Offener Zugang zum Internet
Sicherheit gegen Malware-Angriffe
Verhinderung von unautorisiertem
Datenabfluss

Innovationssicherheit
6
© 2015 ı Classification: Restricted
Sind die bisherigen IT-Sicherheitskonzepte adäquat?
Heutige Ansätze völlig
unangemessen:
Adäquate IT-Sicherheit heißt:
 „Airbag-Methode“:
Wenn‘s passiert, soll es weniger „weh tun“
 Grundsätzliche Einschränkungen der
Gerätestandardfunktionen
 „ESP-Strategie“: Verhindern, dass man
überhaupt ins Schleudern kommt
7
© 2015 ı Classification: Restricted
Härtung des Betriebssystems
&
Isolation von Anwendungen
8
© 2015 ı Classification: Restricted
BizzTrust:
Sichere Trennung von sensiblen Daten und Anwendungen
 Aufteilung des Smartphones auf zwei Zonen
• Die Intranet-Zone ist den polizeiinternen
Anwendungen vorbehalten
• Die Internet-Zone dient der offenen Kommunikation
mit dem Internet
 Strikte Trennung
• Apps einer Umgebung haben keinen Zugriff auf die
Apps oder Daten der anderen Umgebung
• Intranet-Apps können nur über einen gesicherten
Tunnel mit dem Headquarter kommunizieren
9
© 2015 ı Classification: Restricted
Sicherheitsarchitektur mit Type Enforcement
Classified
App
App
Unclassified
App
App
App
App
Hardened Android Middleware
With Security Extensions
TURAYA™ Security Kernel
& Type Enforcement
Smartphone Hardware
Sicherheitskern
10
© 2015 ı Classification: Restricted
Sicherheitsarchitektur mit Type Enforcement
Business Workspace
App
App
VPN tunnel
Data
Personal Workspace
X
App
X
App
Data
Hardened Android Middleware
Intranet
Type Enforcement Kernel
Hardware
X
X
Internet
11
© 2015 ı Classification: Restricted
BizzTrust Features (I)
Kompatibel
 Beibehaltung der gewohnten Android Funktionalität und Bedienung
 Neutral gegenüber Android Apps, damit offen für die zukünftige
Entwicklung spezieller Polizei-Apps
Portabel
 Unterstützt verschiedene Hardware-Plattformen
 Kann auf neuere Android Versionen migriert werden
12
© 2015 ı Classification: Restricted
BizzTrust Features (II)
Remote Management
 Einfache Inbetriebnahme und Rollout
 MDM/MAM Funktionen integriert
Lieferbar in 3 Varianten
 Basic: Schlüsselspeicherung in Software
 Business: Smartcard-basierte Schlüsselspeicherung
 Government: VS-NfD zugelassene Variante
• BSI Evaluierung ist auf den Weg gebracht
13
© 2015 ı Classification: Restricted
BizzTrust Infrastruktur
Administration
Internet
HTTPs
TrustedObjects Manager
Cert
Apps
Internal
Profile
Trusted Channel
Internal
IPSec
TrustedVPN
BizzTrust
DMZ
14
© 2015 ı Classification: Restricted
BizzTrust in der ZPD Niedersachsen
15
© 2015 ı Classification: Partner ı Version 1.0
Sirrix AG
Im Stadtwald D3 2
66123 Saarbrücken
T
F
0681 / 95986-0
0681 / 95986-500
E
W
[email protected]
www.sirrix.com
Für Fragen
hierzu besuchen
Sie uns auch auf
unserem Stand
7A
16

Download Report