Geräte-Management:
Standards für den sicheren Betrieb


[6.12.2017] Ein Mobile Device Management hilft Behörden dabei, mobile Endgeräte zentral zu verwalten und sicher zu betreiben. Für die Auswahl eines geeigneten Systems hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards definiert.

MDM-Lösungen helfen bei der sicheren Verwaltung mobiler Geräte. Smartphones und Tablets haben in der öffentlichen Verwaltung in den vergangenen Jahren vermehrt Einzug gehalten. Die Nutzung mobiler Endgeräte umfasst auch die Speicherung und Verarbeitung sensibler Informationen. Dabei können vielfältige Bedrohungen und Risiken entstehen, denen unter anderem mit technischen Hilfsmitteln begegnet werden muss.
Mithilfe von Systemen für das Mobile Device Management (MDM) können mobile Endgeräte in die IT-Infrastruktur einer Verwaltung integriert und zentral verwaltet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für Stellen der Bundesverwaltung technische und organisatorische Mindeststandards definiert, die ein MDM-System zu erfüllen hat, wenn es in einer Stelle des Bundes eingesetzt werden soll – daran können sich auch die Kommunen orientieren.

Funktionale Anforderungen

Der Mindeststandard des BSI formuliert unter anderem funktionale Sicherheitsanforderungen an die Arbeitsweise der MDM-Lösung. So müssen etwa Nutzdaten des MDM innerhalb der IT-Infrastruktur des Betreibers verbleiben. Wird das MDM ganz oder teilweise von einem externen Cloud-Anbieter bezogen, sind zusätzlich die Anforderungen des BSI-Mindeststandards zur Nutzung externer Cloud-Dienste einzuhalten. Des Weiteren gilt: Werden mehrere Mandanten auf einem MDM verwaltet, so muss eine wirksame Trennung erfolgen.
Ein wichtiger Punkt zum Schutz des Mobile Device Management und der Konfiguration ist zudem, dass kompromittierte mobile Endgeräte zeitnah erkannt und vom MDM ausgeschlossen werden. Es muss also gewährleistet werden, dass Sicherheitsvorfälle dem Administrator in geeigneter Weise angezeigt werden. Des Weiteren muss das MDM über ein Rechte-Management verfügen, das sicherstellt, dass Benutzergruppen und Administratoren nur über solche Zugriffsrechte verfügen, die für die Aufgabenerfüllung notwendig sind (Minimalprinzip).
Im Rahmen der Applikationsverwaltung legt der Mindeststandard des BSI fest, dass eine zentrale Verteilung von Applikationen möglich sein muss. Werden Sicherheitsprobleme einer Applikation bekannt, so muss diese zeitnah von allen mobilen Endgeräten deinstalliert werden können. Dieser Vorgang muss durch das MDM erzwungen werden können. Im Rahmen des Mobile Device Management muss zudem der Lebenszyklus einschließlich der Konfigurationshistorie eines jeden in der Verwaltung eingesetzten mobilen Endgeräts ausreichend protokolliert und zentral abrufbar sein. Bei Bedarf muss der Administrator den aktuellen Status der verwalteten Endgeräte ermitteln können (Device Audit). Das umfasst insbesondere die Abfrage sicherheitstechnisch relevanter Konfigurationseinstellungen, installierter Zertifikate und Applikationen.

Sicher konfigurieren und betreiben

Hinsichtlich der sicheren Konfiguration mobiler Endgeräte in der öffentlichen Verwaltung hat das BSI unter anderem Vorgaben für die Konfigurationsprofile, die sichere Erstinstallation, zu Kennwörtern und Gerätecodes, Zertifikaten sowie zur Verschlüsselung des Gerätespeichers erarbeitet.
Wichtige Punkte sind zudem die Fernlöschung (Remote Wipe) und Außerbetriebnahme sowie die automatische Sperre von Geräten (Remote Lock). So muss das MDM laut BSI sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät, einschließlich Zugangsdaten und Zertifikaten, auch aus der Ferne gelöscht werden können. Werden in dem mobilen Endgerät externe Speicher genutzt, ist zu prüfen, ob diese bei einem Remote Wipe ebenfalls gelöscht werden sollen und ob dies vom MDM unterstützt wird. Der Prozess zur Außerbetriebnahme des mobilen Endgeräts (Unenrollment) muss gewährleisten, dass darauf sowie auf den eingebundenen Speichermedien keine sensitiven Daten verbleiben – insbesondere dann, wenn das Unenrollment aus der Ferne durchgeführt wird. Die Einrichtung und wirksame Durchsetzung einer automatischen Sperre des mobilen Endgeräts nach Zeitvorgabe muss zentral konfigurierbar sein. Eine Gerätesperrung muss durch den Administrator auch aus der Ferne möglich sein (Remote Lock). Kann der Remote Lock auf dem mobilen Endgerät nicht ausgeführt werden, muss dies vom MDM angezeigt werden können.
Die Wirksamkeit von Sicherheitsmechanismen hängt auch vom jeweiligen Betrieb ab. Der Betreiber der mobilen Endgeräte hat daher nach Angaben des BSI einige technische und organisatorische Maßnahmen umzusetzen. So müssen etwa wirksame Mechanismen für das Backup aller Daten und Einstellungen des MDM existieren, sodass dieses im Bedarfsfall funktionsfähig wiederhergestellt werden kann. Fernzugriffe auf das MDM müssen auf einem kryptografisch abgesicherten Kanal erfolgen (vertraulich, integer, authentisch). Alle in einer Behörde eingesetzten mobilen Endgeräte sind in dem MDM zu verwalten und müssen sich vor Verteilung der Grundkonfiguration im Werkszustand befinden. Organisatorisch empfiehlt das BSI, geschulte Administratoren zur Bedienung eines Mobile Device Management einzusetzen und die Nutzer mobiler Endgeräte für Sinn und Zweck der festgelegten Sicherheitsmaßnahmen zu sensibilisieren. Wichtig auch: Konfigurationsprofile und Sicherheitseinstellungen sind regelmäßig zu überprüfen.

Auf Sicherheitsvorfälle vorbereitet sein

Aber selbst wenn alle notwendigen Schutzmaßnahmen ergriffen werden, lassen sich Sicherheitsvorfälle nicht immer verhindern. Für diesen Fall muss ein angemessener Prozess etabliert sein, der insbesondere folgende Szenarien abdeckt: Verlust eines mobilen Endgeräts, Verlust der Integrität des mobilen Endgeräts (etwa durch Jailbreak oder Rooting), kein Kontakt des mobilen Endgeräts zum MDM über einen längeren Zeitraum hinweg. Zudem müssen Arbeitsprozesse geplant, getestet und angemessen dokumentiert sein, um sicherheitsrelevante Patches und Updates unverzüglich einspielen zu können. MDM-Systeme und mobile Endgeräte, für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, sind außer Betrieb zu nehmen.
Außerdem ist sicherzustellen, dass ausschließlich sicherheitsgeprüfte Applikationen bereitgestellt werden. Dabei helfen kann ein definierter Freigabeprozess mit geeigneten Bewertungskriterien. Die Nutzung von vorinstallierten Applikationen und Online-Diensten, insbesondere von externen cloudbasierten Diensten, muss bewertet und im Bedarfsfall systemseitig verhindert werden. Die Freischaltung von Schnittstellen und Funktionen ist zu regeln und auf das dienstlich notwendige Maß zu reduzieren.

Auch die Peripherie berücksichtigen

Die Einführung mobiler Endgeräte bringt für die Verantwortlichen zudem die Pflicht mit sich, datenschutzrechtliche, sicherheitstechnische und betriebliche Anforderungen für die Einbindung von Peripherie-Geräten zu definieren. So ist es oft alles andere als einfach, eine Strategie zum mobilen Drucken zu implementieren, da innerhalb der meisten Institutionen eine breite Palette von Hardware, Software und Serviceangeboten je nach Drucker und zugrunde liegender Druckerinfrastruktur berücksichtigt werden muss. Die Evaluierung, welche Lösung die Sicherheitsstrategie der Institution hierbei am besten unterstützt, sollte ein fester Bestandteil der Planungs- und Konzeptionsphase sein. Ansonsten ist damit zu rechnen, dass die Nutzer mobiler Endgeräte sich Workarounds aufbauen, um die etablierten Sicherheitsmaßnahmen zu umgehen.
Da es eine Vielzahl von MDM-Produkten auf dem Markt gibt, empfiehlt das BSI, bei der Auswahl vor allem darauf zu achten, dass die Lösung die definierten Anforderungen einer Behörde unterstützt. Die Verantwortlichen sollten sicherstellen, dass nur solche MDM-Software genutzt oder beschafft wird, die alle technischen und organisatorischen Sicherheitsmaßnahmen umsetzen kann und alle freigegebenen mobilen Endgeräte unterstützt.

Bettina Schömig

Weitere Informationen zum Mindeststandard des BSI (Deep Link)
Dieser Beitrag ist in der Dezember-Ausgabe von Kommune21 im Schwerpunkt Geräte-Management erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Infrastruktur, Mobile Device Management, IT-Sicherheit, Datenschutz

Bildquelle: PEAK Agentur für Kommunikation

Druckversion    PDF     Link mailen


ekom21

 Anzeige

Weitere Meldungen und Beiträge aus dem Bereich IT-Infrastruktur
Dortmund: Freie Software, offene Standards
[17.4.2018] Die Potenziale freier Software und offener Standards untersucht Dortmund in den kommenden zwei Jahren. Die Ruhrmetropole erweitert dafür ihren Masterplan Digitale Stadtverwaltung. mehr...
Die Potenziale freier Software und offener Standards für die Verwaltung untersucht die Stadt Dortmund.
Ludwigsburg: Von der Planstadt zur Smart City
[12.4.2018] An fünf Abenden spannen in Ludwigsburg Experten den Bogen von historischen zu aktuellen Themen der Stadtentwicklung. Thematisiert werden unter anderem Smart-City-Lösungen, die energieeffiziente Straßenbeleuchtung oder die Stadt in der Cloud. mehr...
Geräte-Management: E-Mails im Container Bericht
[10.4.2018] Ob mit dem Diensthandy oder einem privaten Gerät: Mit der App DME können Mitarbeiter der Verwaltung in Hamburg, Schleswig-Holstein und Sachsen-Anhalt von unterwegs aus auf E-Mails, Kalender und Kontakte zugreifen. mehr...
Fujitsu: Blockchain Innovationszentrum eröffnet
[6.4.2018] In einem neuen Blockchain Innovation Center will das Unternehmen Fujitsu dem Einsatz der Blockchain-Technologie für Smart-City-Services auf den Grund gehen. mehr...
Bonn: Digitalisierung mit CDO
[4.4.2018] Als Chief Digital Officer (CDO) wird Friedrich Fuß die Digitalisierung in Bonn moderieren und koordinieren. Die Bundesstadt plant und realisiert unterschiedliche Vorhaben, um Bürgern und Unternehmen neue, zeitgemäße Services anbieten zu können. mehr...
Mithilfe eines CDO widmet sich die Stadtverwaltung Bonn der Digitalisierung.
Suchen...

 Anzeige

Ausgewählte Anbieter aus dem Bereich IT-Infrastruktur:
IT-Guide PlusDATEV eG
90429 Nürnberg
DATEV eG
TSA - Teleport GmbH
06108 Halle (Saale)
TSA - Teleport GmbH
Aktuelle Meldungen