Bundesamt für Sicherheit in der Informationstechnik

G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

Durch Mobiltelefone, Smartphones, Tablets und PDA s treten Probleme für die Informationssicherheit auf, wenn

  • relevante Eigenschaften der anzuschaffenden Geräte nicht während der Planungsphase erhoben werden,
  • der Funktionsumfang der Geräte nicht dem Einsatzzweck entspricht oder
  • sonstige Randbedingungen zum sicheren Betrieb der Geräte nicht berücksichtigt wurden.

Zwar ist der Funktionsumfang von Mobiltelefonen, Smartphones, Tablets und PDA s verschiedener Anbieter sehr ähnlich, an mitunter relevanten Stellen, wie beispielsweise dem Gerätemanagement, gibt es jedoch große Unterschiede. So kann es sein, dass

  • ein Smartphone sich nicht auf gewünschte Weise (zum Beispiel mit IPSec ) mit dem Netz der Institution verbinden lässt,
  • das Gerät keine vollständige Verschlüsselung aller gespeicherten Daten unterstützt,
  • auf dem Gerät keine selbst erstellten oder angepassten Applikationen verwendet werden können sollte dies notwendig sein,
  • der auf dem Gerät befindliche E-Mail-Client Zugangspasswörter nur im Klartext speichert,
  • die eingesetzte Software zum Management für mobile Endgeräte nicht mit der Betriebssystemversion des Smartphones kompatibel ist und deswegen relevante Anforderungen aus dem Sicherheitskonzept (zum Beispiel Erzwingen eines langen Passwortes) nicht umsetzbar sind oder
  • ein Mitarbeiter hauptsächlich außerhalb geschlossener Räume arbeitet und daher statt eines handelsüblichen Smartphones ein witterungsbeständiges und stoßfestes Gerät mit längerer Akkukapazität benötigt.

Werden diese und ähnliche Aspekte in der Planungsphase nicht ausreichend berücksichtigt, können Gefährdungen für die Informationssicherheit der Institution entstehen.

Stand: 14. EL Stand 2014