Bundesamt für Sicherheit in der Informationstechnik

B 3.405 Smartphones, Tablets und PDAs

Logo PDA

Beschreibung

Dieser Baustein beschäftigt sich mit mobilen Endgeräten zur Datenerfassung, -bearbeitung und -kommunikation. Diese gibt es in verschiedenen Geräteklassen, die sich nach Abmessungen und Leistungsmerkmalen unterscheiden. Dazu gehören unter anderem:

  • Organizer, um Adressen und Termine zu verwalten.
  • PDA s mit und ohne eigene Tastatur, bei denen die Dateneingabe über das Display oder die Tastatur erfolgt. Der primäre Einsatzzweck ist das Erfassen und Bearbeiten von Terminen, E-Mails, Adressen und kleinen Notizen.
  • Smartphones, also Mobiltelefone mit Computer-Funktionen und eingebauter Schnittstelle zur Datenübertragung. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3.404 Mobiltelefon und gegebenenfalls Baustein B 3.203 Laptop umzusetzen.
  • Tablets, bei denen es sich in der Regel um große Smartphones mit oder ohne Telefonfunktion handelt. Geräte, die größer als übliche Smartphones, aber noch kleiner als übliche Tablets sind, werden auch Smartlets oder Phablets genannt. Der Einsatzbereich ist identisch mit Smartphones, nur dass hier komfortabler Daten verarbeitet, Dokumente gelesen und im Internet gesurft werden kann. Beim Einsatz von Tablets mit Telefonfunktion ist zusätzlich Baustein B 3.404 Mobiltelefon umzusetzen.
  • Den Übergang zu "echten" Notebooks stellen sogenannte Sub-Notebooks (Netbooks, Ultrabooks, etc. ) dar, die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten, die aber unter anderem für die Vorführung von Präsentationen geeignet sind. Viele Tablets lassen sich auch um eine Tastatur erweitern und sind dann wie ein Laptop zu benutzen. Beim Einsatz von Sub-Notebooks oder Tablets ist zusätzlich der Baustein B 3.203 Laptop umzusetzen.

Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. Eine typische Anforderung an Smartphones, Tablets und PDA s ist die Nutzung von Standard-Office-Anwendungen auch unterwegs. Hierfür werden angepasste Varianten von Textverarbeitungs-, Tabellenkalkulations-, E-Mail- bzw. Kalenderprogrammen angeboten. Die Geräte werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze ( z. B. Generierung von Einmalpasswörtern), Speicherung von Patientendaten oder die Führung von Kundenkarteien.

In diesem Baustein werden diejenigen Sicherheitseigenschaften von Smartphones, Tablets und PDA s betrachtet, die für die Anwender bei der Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie Smartphones, Tablets und PDA s sicher in Institutionen eingesetzt werden können, wie Sicherheitskonzepte für diese Endgeräte erstellt und fortentwickelt werden sollten und wie auf diese Weise Smartphones, Tablets und PDA s sicher in einem Informationsverbund eingebettet werden können.

Gefährdungslage

Für den IT -Grundschutz werden im Rahmen der Nutzung von Smartphones, Tablets und PDA s folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
G 3.76 Fehler bei der Synchronisation mobiler Endgeräte
G 3.123 Unerlaubte private Nutzung des dienstlichen Mobiltelefons, Smartphones, Tablets oder PDAs

Technisches Versagen

G 4.42 Ausfall des Mobiltelefons, Smartphones, Tablets oder PDAs
G 4.51 Unzureichende Sicherheitsmechanismen bei Smartphones, Tablets oder PDAs
G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.9 Unberechtigte IT-Nutzung
G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
G 5.23 Schadprogramme
G 5.123 Abhören von Raumgesprächen über mobile Endgeräte
G 5.124 Missbrauch der Informationen von mobilen Endgeräten
G 5.125 Datendiebstahl mithilfe mobiler Endgeräte
G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten
G 5.177 Missbrauch von Kurz-URLs oder QR-Codes
G 5.193 Unzureichender Schutz vor Schadprogrammen auf Smartphones, Tablets und PDAs
G 5.194 Einschleusen von GSM-Codes in Endgeräte mit Telefonfunktion

Maßnahmenempfehlungen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für Smartphones, Tablets und PDA s sind eine Reihe von Maßnahmen erforderlich, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Phasen, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Phasen beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Um Smartphones, Tablets und PDA s sicher und effektiv in Behörden oder Unternehmen einsetzen zu können, sollte ein Konzept erstellt werden, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht (siehe M 2.303 Festlegung einer Strategie für den Einsatz von Smartphones, Tablets oder PDAs ). Darauf aufbauend ist die Nutzung von Smartphones, Tablets und PDA s zu regeln und es sind Sicherheitsrichtlinien dafür zu erarbeiten (siehe M 2.304 Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets und PDAs ). Auf Smartphones, Tablets und PDA s können verschiedene Applikationen (Apps) installiert werden. Die Anwendungen müssen ausgewählt und sicher ausgeführt werden (siehe M 4.467 Auswahl von Applikationen für Smartphones, Tablets und PDAs ).

Beschaffung

Für die Beschaffung von Smartphones, Tablets und PDA s müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf geeignete Geräte ausgewählt werden (siehe M 4.305 Einsatz von Speicherbeschränkungen (Quotas) ). Auch muss geprüft werden, ob zusätzliche Sicherheitswerkzeuge anzuschaffen sind, die die Sicherheit von Smartphones, Tablets und PDA s bis zu einem gewissen Grad erhöhen können (siehe M 4.231 Einsatz zusätzlicher Sicherheitswerkzeuge für Smartphones, Tablets oder PDAs ).

Umsetzung

Über mobile Endgeräte wie Laptops, Smartphones, Tablets oder PDA s soll auch häufig unterwegs auf Daten aus dem Internet oder dem internen Netz einer Institution zugegriffen werden. Dafür sollten zusätzliche Aspekte zum Schutz der Informationen berücksichtigt werden (siehe M 5.121 Sichere Kommunikation von unterwegs ).

Betrieb

Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten (Smartphones/Tablets/ PDA , Synchronisationssoftware, Software zum zentralen Geräte-Management) unterschiedlich konfiguriert werden. Dies betrifft vor allem die Endgeräte selber (siehe M 4.228 Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs ), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von Smartphones, Tablets und PDAs ) und spezielle Software zum zentralen Geräte-Management (siehe M 4.230 Zentrale Administration von Smartphones, Tablets und PDAs ). Damit Smartphones, Tablets und PDA s sicher eingesetzt werden können, müssen auch damit gekoppelte Arbeitsplatz-Rechner und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein. Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz- PC s sind in den Client-Bausteinen der Schicht 3 beschrieben.

Aussonderung

Bei Ausfall, Defekt, Zerstörung oder Diebstahl eines Smartphones, Tablets oder PDA s, sollte es in jeder Organisation klare Meldewege und Ansprechpartner geben (siehe M 2.306 Verlustmeldung ). Zudem ist organisatorisch sicherzustellen, dass Smartphones, Tablets und PDAs auf geeignete Weise ausgesondert werden (siehe M 4.465 Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs ).

Notfallvorsorge

Ein Smartphone, Tablet oder PDA kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. Daher sollten entsprechende Vorkehrungen getroffen werden, um einem Ausfall vorzubeugen bzw. die Probleme zu minimieren (siehe M 6.95 Ausfallvorsorge und Datensicherung bei Smartphones, Tablets und PDAs ). Ebenso müssen entsprechende Empfehlungen umgesetzt werden, damit bei einem Diebstahl oder Verlust nicht alle Daten auf dem Endgerät verloren gehen oder in fremde Hänge gelangen (siehe M 6.159 Vorsorge vor Verlust und Diebstahl von Smartphones, Tablets und PDAs ).

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Smartphones, Tablets und PDA s vorgestellt.

Planung und Konzeption

M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
M 2.303 (A) Festlegung einer Strategie für den Einsatz von Smartphones, Tablets oder PDAs
M 2.304 (A) Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets und PDAs
M 4.467 (B) Auswahl von Applikationen für Smartphones, Tablets und PDAs
M 4.468 (B) Trennung von privatem und dienstlichem Bereich auf Smartphones, Tablets und PDAs

Beschaffung

M 2.305 (B) Geeignete Auswahl von Smartphones, Tablets oder PDAs
M 4.231 (Z) Einsatz zusätzlicher Sicherheitswerkzeuge für Smartphones, Tablets oder PDAs

Umsetzung

M 5.121 (B) Sichere Kommunikation von unterwegs

Betrieb

M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
M 2.558 (A) Sensibilisierung der Mitarbeiter zur Informationssicherheit bei Mobiltelefonen, Smartphones, Tablets und PDAs
M 4.3 (A) Einsatz von Viren-Schutzprogrammen
M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz
M 4.228 (A) Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs
M 4.229 (C) Sicherer Betrieb von Smartphones, Tablets und PDAs
M 4.230 (Z) Zentrale Administration von Smartphones, Tablets und PDAs
M 4.232 (Z) Sichere Nutzung von Zusatzspeicherkarten
M 4.255 (A) Nutzung von IrDA-Schnittstellen
M 4.466 (C) Einsatz von Viren-Schutzprogrammen bei Smartphones, Tablets und PDAs
M 4.469 (A) Abwehr von eingeschleusten GSM-Codes auf Endgeräten mit Telefonfunktion
M 5.173 (Z) Nutzung von Kurz-URLs und QR-Codes
M 5.176 (B) Sichere Anbindung von Smartphones, Tablets und PDAs an das Netz der Institution

Aussonderung

M 2.306 (A) Verlustmeldung
M 4.465 (A) Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs

Notfallvorsorge

M 6.95 (C) Ausfallvorsorge und Datensicherung bei Smartphones, Tablets und PDAs
M 6.159 (C) Vorsorge vor Verlust und Diebstahl von Smartphones, Tablets und PDAs

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK