Bundesamt für Sicherheit in der Informationstechnik

M 2.304 Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Wenn in einer Institution entschieden wurde, PDAs einzusetzen, so müssen diese in die allgemeine Sicherheitsstrategie eingebunden werden.

Bei der Nutzung von PDAs gibt es eine Vielzahl von Möglichkeiten, diese vor Missbrauch zu schützen. Damit diese Möglichkeiten auch genutzt werden, sollte eine Sicherheitsrichtlinie erstellt werden, in der alle umzusetzenden Sicherheitsmechanismen beschrieben werden. Jede Institution sollte sich die Möglichkeiten und Risiken des PDA-Einsatzes bewusst machen. Hierbei sollten zwei Sicherheitsaspekte im Vordergrund stehen:

  • die Sicherheit der auf PDAs gespeicherten Daten und
  • die Auswirkung der PDA-Nutzung auf die Sicherheit anderer IT-Systeme innerhalb einer Institution.

Aufbauend auf die PDA-Sicherheitsrichtlinie sollte für die Benutzer ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von PDAs erstellt werden.

Schutz vor Missbrauch

Ein PDA hat nicht nur für den Besitzer den Vorteil, leicht zu transportieren und unauffällig zu verwahren zu sein, sondern auch für einen Dieb. Daher sollte auch ein PDA stets sicher aufbewahrt werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt gelassen werden. Insbesondere sollten sie nicht in Fahrzeugen zurückgelassen werden.

Praktisch alle Varianten von PDAs und Organizern lassen sich durch PINs oder Passwörter gegen unbefugten Zugriff absichern. Leider sind nicht alle vom Hersteller angebotenen Sicherheitsmechanismen so sicher, wie es wünschenswert wäre. Daher sollten sich PDA-Benutzer informieren, wie zuverlässig die vorhandenen Sicherheitsmechanismen sind, z. B. über das Internet.

Solange keine besseren Sicherheitstools installiert sind, sollten aber auf jeden Fall die vorhandenen Sicherheitsmechanismen genutzt werden (siehe auch M 4.228 Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs ). Alle Benutzer sollten sich aber über deren Wirkung und insbesondere deren Grenzen im Klaren sein. Dabei sollten die Passwörter und PINs sorgfältig ausgewählt werden, also auch lang genug sein, damit sie nicht einfach überwunden werden können. Die Passwörter dürfen keinesfalls zusammen mit dem PDA aufbewahrt werden.

Sensibilisierung der Benutzer

Alle PDA-Benutzer sollten nicht nur über die Vorteile von PDAs aufgeklärt werden, sondern auch über potentielle Risiken und Probleme bei der Nutzung sowie über den Nutzen, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen.

Da auch für die Betriebssysteme von PDAs (beispielsweise Palm OS, Windows CE bzw. Windows Mobile, Symbian OS) immer wieder neue Sicherheitslücken offengelegt werden, sollte sich das Sicherheitsmanagement regelmäßig über aktuelle Risiken informieren. Gegebenenfalls ist es angebracht, die Mitarbeiter regelmäßig über die neu bekanntgewordenen Gefahren zu informieren und damit auch zu sensibilisieren.

Regelungen zur PDA-Nutzung

Allgemeine Regelungen

Auf einem PDA sind Daten in der Regel schlechter geschützt als auf IT-Systemen innerhalb der Organisation. Unabhängig davon, ob privat oder dienstlich angeschaffte PDAs genutzt werden, sollte der Arbeitgeber daher schriftlich regeln,

  • welche Daten nicht auf einem PDA gespeichert werden dürfen,
  • dass Daten nicht überall eingegeben bzw. abgerufen werden sollten, da sie dabei unter Umständen mitgelesen werden können,
  • wie, wann und durch wen Datensicherungen des PDAs durchzuführen sind,
  • unter welchen technischen Einsatzbedingungen die PDAs eingesetzt werden dürfen. Hierzu gehören vor allem die Festlegung von Sicherheitsmaßnahmen, die Auswahl und Installation der erforderlichen Sicherheitshard- und -software sowie Vorgaben für die sichere Konfiguration der betroffenen IT-Systeme.

Ein PDA sollte möglichst nicht unbeaufsichtigt bleiben. Falls ein PDA in einem Kraftfahrzeug zurückgelassen werden muss, so sollte das Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Ein PDA stellt einen Wert dar, der potentielle Diebe anlocken könnte.

Wird ein PDA in fremden Büroräumen benutzt, so sind die Sicherheitsregelungen der besuchten Organisation zu beachten.

In fremden Räumlichkeiten wie Hotelzimmern sollte ein PDA nicht ungeschützt liegen gelassen werden. Alle Passwort-Schutzmechanismen sollten spätestens jetzt aktiviert werden. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

Nutzung von privaten PDAs

Bei der Nutzung von privaten PDAs in einer Behörde oder einem Unternehmen sind unter anderem die folgenden Punkte zu regeln:

  • Die sinnvolle Nutzung von PDAs erfordert im Allgemeinen eine Synchronisation mit einem PC, beispielsweise für Terminkalender, Adressbücher, E-Mail-Unterstützung und mehr. Daher muss geklärt werden, ob die Installation der dafür benötigten Hard- und Software erlaubt wird, und wer die Installation vornimmt. Dies sollte nicht den Benutzern selbst überlassen werden.
  • Es muss geklärt werden, inwieweit der Benutzer-Support bei Problemen, die sich aus der Nutzung von privaten PDAs ergeben, Hilfestellung leistet. Ebenso sollte im Vorfeld abgesprochen werden, wie private PDAs in die IT-Strategie der Institution eingebunden werden.

Nutzung von dienstlichen PDAs

Bei der Nutzung von dienstlichen PDAs sind unter anderem die folgenden Punkte zu regeln:

  • Es muss geklärt werden, ob dienstliche PDAs auch mit privaten PCs synchronisiert werden dürfen. Dies erleichtert einerseits Terminabstimmungen, andererseits könnte dadurch Schadsoftware in die dienstlichen Systeme eingeschleppt werden und interne Dokumente könnten auf die privaten PCs gelangen.
  • Die Benutzer sollten darauf hingewiesen werden, wie sie sorgfältig mit den PDAs umgehen sollten, um einem Verlust oder Diebstahl vorzubeugen bzw. um eine lange Lebensdauer zu gewährleisten (z. B. Akkupflege, Aufbewahrung außerhalb von Büro- oder Wohnräumen, Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen).
  • Die Verwaltung, Wartung und Weitergabe von PDAs sollte geregelt werden.

Einbindung in andere Sicherheitslösungen

Bei der Benutzung von PDAs muss nicht nur überlegt werden, ob der Einsatz von Sicherheitssoftware zum Schutz des PDAs selber sinnvoll ist, sondern auch, wie der PDA mit der Sicherheitssoftware der Einsatzumgebung zusammenarbeitet. Dazu zwei Beispiele:

  • Der Benutzer liest und schreibt auf seinem Desktop-PC häufig E-Mails, die verschlüsselt bzw. signiert sind. Außerdem möchte er seinen PDA nutzen, um unterwegs E-Mail zu bearbeiten. Mit verschlüsselten bzw. signierten Mails kann er aber aus verschiedenen Gründen Probleme bei der Weiter- verwendung auf dem PDA bekommen. So gibt es beispielsweise bisher nur sehr wenige Verschlüsselungs- bzw. Signaturanwendungen, die sowohl mit den einschlägigen Mailprogrammen auf Office-Systemen als auch auf PDAs kompatibel sind. Bei solchen Anwendungen werden außerdem oft Chipkarten oder andere Sicherheitstoken als sicherer Speicherplatz für die benötigten kryptographischen Schlüssel eingesetzt. Nur die wenigsten PDAs lassen sich aber um Chipkarten-Leseeinrichtungen erweitern. Viele PKI-Anwendungen arbeiten außerdem serverbasiert, benötigen also Zugriff auf einen Server, um beispielsweise Zertifikate überprüfen oder öffentliche Schlüssel von Kommunikationspartnern abrufen zu können.
  • Im Unternehmen werden alle Daten, sowohl auf den Clients als auch den Servern, ausschließlich verschlüsselt gespeichert. Wenn Benutzer nun interne Daten auf PDAs transferieren wollen, kann zum einem passieren, dass sie unterwegs feststellen, dass sie zugriffsgeschützte Dateien geladen haben, die sie auf dem PDA nicht lesen können. Dies ist der für die Vertraulichkeit der Daten bessere Fall. Typischerweise werden die auf den PDA übertragenen Daten dort nämlich nicht oder nur schwach verschlüsselt, so dass sie weniger stark geschützt sind als auf den internen Systemen.

Auch solche Fälle, also die Einbindung von PDA-Applikationen in andere Sicherheitssoftware im Unternehmen, muss daher unbedingt in der PDA-Sicherheitsrichtlinie geregelt werden, um zu vermeiden, dass durch die PDA-Nutzung das festgelegte Sicherheitsniveau reduziert wird.

Wo nötig: Nutzungsverbot von PDAs

Es sollte überlegt werden, ob die Nutzung oder sogar das Mitbringen von PDAs in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. Dies kann z. B. dort sinnvoll sein, wo das Mitschneiden von Gesprächen oder das Fotografieren unterbunden werden soll.

Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt, dass fremde IT-Systeme wie beispielsweise PDAs mitgebracht werden, muss an allen Eingängen deutlich darauf hingewiesen werden. Dies sollte dann auch regelmäßig kontrolliert werden. Für die Besucher sollte in diesem Fall eine Möglichkeit geschaffen werden, mitgebrachte Mobiltelefone, PDAs oder Notebooks sicher aufzubewahren. Beispielsweise können an den Eingängen Schließfächer zur Verfügung gestellt werden.

Prüffragen:

  • Existiert eine aktuelle Sicherheitsrichtlinie für Smartphones, Tablets und PDAs, in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind?

  • Sind Passwörter und PIN s für die Nutzung von Smartphones, Tablets und PDAs ausreichend komplex und werden nicht zusammen mit dem jeweiligen Gerät aufbewahrt?

  • Informiert sich das Sicherheitsmanagement regelmäßig über aktuelle Risiken der Nutzung von Smartphones, Tablets und PDAs und informiert erforderlichenfalls die Mitarbeiter?

  • Bei Nutzung dienstlicher Smartphones, Tablets und PDAs: Ist die Verwaltung, Wartung und Weitergabe der betroffenen Geräte geregelt?

  • Ist die Einbindung der auf Smartphones, Tablets und PDAs installierten Applikationen in andere Sicherheitssoftware in der entsprechenden Sicherheitsrichtline geregelt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK