Bundesamt für Sicherheit in der Informationstechnik

M 2.190 Einrichtung eines Mobiltelefon-Pools

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Einrichtung eines Mobiltelefon-Pools

Sind in einer Behörde bzw. einem Unternehmen eine Vielzahl von Mobiltelefonen im Einsatz und wechseln die Benutzer häufig, kann es angebracht sein, die zeitweise nicht genutzten Mobiltelefone in einer Sammelaufbewahrung (Pool) zu halten.

Für alle Mobiltelefone ist die Stromversorgung sicherzustellen, damit die Akkus dieser Geräte den sofortigen Einsatz erlauben. Dabei ist zu beachten, dass sich ein Akku im Laufe der Zeit entlädt, auch wenn er nicht verwendet wird. Wenn die Mobiltelefone häufiger über längere Zeiträume eingesetzt werden, sollten zusätzlich Ersatzakkus vorrätig gehalten werden, insofern die Akkus austauschbar sind.

Hinweis: Die Ladegeräte sollten den Mobiltelefonen eindeutig und leicht erkennbar zugeordnet werden. Die Ladegeräte sehen sich zwar alle sehr ähnlich, sind aber leider meist nicht austauschbar. Ferner sollten auch die zugehörigen Datenkabel eindeutig den jeweiligen Mobiltelefonen zugeordnet und gemeinsam mit dem Ladegerät aufbewahrt werden.

Zusätzlich müssen die Rücknahme und die Ausgabe von Mobiltelefonen dokumentiert werden, sodass jederzeit nachvollziehbar ist, wer welche Geräte einsetzt bzw. zu einer bestimmten Zeit eingesetzt hat. Jeder Benutzer sollte mit Namen, Organisationseinheit, Datum und Uhrzeit in das Übergabejournal eingetragen werden.

Bei der Übergabe und Rücknahme von Mobiltelefonen sind außerdem folgende Punkte zu beachten:

Übergabe:

  • Der neue Benutzer erhält alle benötigten PINs und Passwörter für die Nutzung des Mobiltelefons. Wenn diese auf selbst gewählte Werte geändert werden, müssen die neuen Werte bei der Rückgabe dokumentiert werden.
  • Außerdem erhält er die Rufnummer des Mobiltelefons.
  • Es sollten alle vom neuen Benutzer benötigten Telefonnummern und gegebenenfalls Programme aufgespielt werden. Ebenso sollten alle Konfigurationseinstellungen vorgenommen werden.
  • Dem neuen Benutzer wird ein Merkblatt für den sicheren Umgang mit dem Mobiltelefon übergeben. Der Benutzer sollte außerdem die Bedie¬nungsanleitung des Mobiltelefons bekommen. Neben der normalen Bedie¬nung seines Telefons sollte der Benutzer vor allem in der Lage sein, etwaige Warnanzeigen (wie Piktogramme im Display) zu interpretieren.
  • Das Mobiltelefon sollte geladen und zusammen mit dem passenden Ladegerät und falls vorhanden dem Datenkabel übergeben werden. Wenn das Mobiltelefon über längere Zeitspannen einsetzbar sein soll, sollte ein geladener Ersatzakku mit übergeben werden.

Rücknahme bzw. Weitergabe:

  • Der Benutzer gibt die zuletzt benutzten PIN s und Passwörter bekannt. Es muss überprüft werden, ob diese korrekt sind. Sie müssen notiert (und sicher verwahrt) werden.
  • Der Benutzer muss das Mobiltelefon vollständig, mit allem Zubehör sowie der Dokumentation zurückgeben. Dies ist zu kontrollieren. Das Gerät sollte zudem auf Defekte, Schadsoftware und gegebenenfalls auch auf Manipulationen der Hardware überprüft werden. Um eventuelle Hardwaremanipulationen aufzudecken, kann das Gewicht des Mobiltelefons bei Rückgabe mit dem Gewicht bei der Übergabe zu verglichen werden. Haben Angreifer das Endgerät mit einem Abhörmikrofon präpariert, so ist es in der Regel messbar schwerer.
  • Der Benutzer muss sicherstellen, dass vor Rückgabe des Gerätes sämtliche Daten ( SMS , Fax, E-Mail, Telefonnummern oder sonstige Daten), die der Benutzer noch benötigt, auf ihm zugängliche Datenträger ( z. B. seinen PC ) übertragen werden.
  • Das Gerät sollte komplett auf den Werkszustand zurückgesetzt und alle Daten vom Endgerät und von der Speicher- und SIM -Karte gelöscht werden. Nur so wird wirkungsvoll der Befall durch Schadsoftware und ein unbewusster Datenabfluss vermieden. Danach können wieder alle benötigten Programme und Daten auf das Gerät aufgespielt werden.

Prüffragen:

  • Werden die Benutzer bei der Ausgabe von Mobiltelefonen auf die Regelungen und Sicherheitsmaßnahmen hingewiesen, die von ihnen einzuhalten sind?

  • Wird das Mobiltelefon nach Rückgabe auf den Werkszustand zurückgesetzt?

  • Wird das Mobiltelefon bei Übergabe an einen neuen Benutzer für ihn konfiguriert und mit den nötigen Programmen und Daten ausgestattet?

  • Werden die Benutzer bei der Ausgabe von Mobiltelefonen informiert, wie die Geräte aufzubewahren sind?

  • Wird die Ausgabe und Rücknahme der Mobiltelefone dokumentiert?

Stand: 14. EL Stand 2014