Bundesamt für Sicherheit in der Informationstechnik

M 2.303 Festlegung einer Strategie für den Einsatz von Smartphones, Tablets oder PDAs

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Bevor in einer Organisation PDAs eingesetzt werden, muss festgelegt sein, welche generelle Strategie die Organisation im Hinblick auf die Nutzung der Geräte einnimmt. Insbesondere sind dafür die folgenden Fragen zu beantworten:

  • Für welche Anwendungen sollen die PDAs eingesetzt werden?
  • Werden den Mitarbeitern dienstliche PDAs zur Verfügung gestellt?
  • Wird die Nutzung privater PDAs der Mitarbeiter erlaubt oder sogar offiziell unterstützt?

Insbesondere die Frage, für welche Zwecke PDAs eingesetzt werden sollen, ist für die späteren Entscheidungen wichtig, denn sie kann einen entscheidenden Einfluss auf die Auswahl anzuschaffender Geräte haben und muss in jedem Fall bei der Formulierung der Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung berücksichtigt werden.

Klassifikation der Daten

Jeder Benutzer und jede Institution sollte sich Gedanken darüber machen, welche Daten auf einem PDA gespeichert werden dürfen und welchen Schutzbedarf diese haben. In einem Unternehmen oder einer Behörde sollte dies nicht nur für Daten auf PDAs, sondern generell geklärt werden. So gibt es in Anwendungsfeldern und Geschäftsprozessen Daten, die einen höheren Schutzbedarf haben oder die besonderen Restriktionen unterliegen, z. B. personenbezogene, finanzrelevante, vertrauliche oder Copyright-geschützte Daten.

Daher sollten in einer Institution alle Arten von Daten danach kategorisiert sein, wie schutzbedürftig sie sind und welche Beschränkungen im Umgang mit ihnen beachtet werden sollten (siehe hierzu auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ).

Damit die Mitarbeiter mit diesen Einstufungen auch sinnvoll umgehen können, empfiehlt es sich, diesen hierzu leicht verständliche Tabellen und Beispiele an die Hand zu geben, in denen erläutert ist, welche Arten von Daten auf den verschiedenen IT-Systemen oder Anwendungen gespeichert oder verarbeitet werden dürfen und auch, an wen diese weitergegeben werden dürfen.

Nutzung von privaten PDAs

Aufgrund einer unzureichenden Ausstattung oder eines hohen Benutzerdruckes kann es vorkommen, dass private PDAs für dienstliche Zwecke benutzt werden. Das Sicherheitsmanagement bzw. die IT-Verantwortlichen sollten aber auf jeden Fall sicherstellen, dass auch die private Nutzung innerhalb der Institution nicht "wild" erfolgt, sondern klar geregelt ist. Sollen PDAs nur für Anwendungen wie Termin- und Adressverwaltung oder für E-Mail-Kommunikation eingesetzt werden, so kann die Nutzung privater PDAs normalerweise erlaubt werden, wenn keine sonstigen Gründe dagegen sprechen.

Falls die PDAs für eine Anwendung eingesetzt werden sollen, aus der sich für die Geräte ein hoher Schutzbedarf ergibt, so ist es sehr fraglich, ob dafür die Nutzung privater PDAs zugelassen werden sollte. Der Grund dafür ist insbesondere, dass private Geräte weitgehend dem Einfluss der zentralen Konfiguration und Administration entzogen sind und es deswegen praktisch keine Möglichkeit gibt, für die Geräte ein akzeptables Sicherheitsniveau zu gewährleisten. Es wird dringend empfohlen, in diesem Fall keine Nutzung privater PDAs zuzulassen.

Bei der Entscheidung sollte auch berücksichtigt werden, dass die Entscheidung, private PDAs zuzulassen, auch Auswirkungen auf die spätere IT-Strategie einer Organisation haben kann.

Beispiel:

In einem Unternehmen wurden zwar keine PDAs für die Mitarbeiter angeschafft, die Mitarbeiter wurden aber dennoch bei der Beschaffung privater Geräte und der Anbindung an die Arbeitsplatz-PCs beraten. Als das Unternehmen die PCs von Windows NT nach Windows 2000 migrierte, stellte sich heraus, dass es unter Windows 2000 keine passenden Treiber für die vorhandenen PDAs existierten. Durch die massiven Benutzerbeschwerden stand das Unternehmen vor der Wahl, den Benutzern neue PDAs zu finanzieren oder diesen weiter NT-basierte PCs zur Verfügung zu stellen.

Wenn ein Verbot ausgesprochen wird, private PDAs für Dienstzwecke zu benutzen oder sie in das Büro mitzubringen, sollte immer bedacht werden, dass solche Verbote überwacht werden müssen und dass sie auch ineffektiv sein können.

Die Entscheidung sollte zusammen mit den Entscheidungsgründen dokumentiert und den Mitarbeitern auf geeignete Art und Weise kommuniziert werden.

Prüffragen:

  • Gibt es eine generelle Strategie für die Nutzung von PDA s?

  • Ist festgelegt, welche Daten auf PDA s gespeichert werden dürfen?

  • Nutzung privater PDA s: Ist die private PDA-Nutzung innerhalb der Institution klar geregelt?

  • Wird beachtet, dass Verbote bezüglich privater PDA s zu überwachen sind und Konsequenzen bei Nichteinhaltung folgen müssen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK