Bundesamt für Sicherheit in der Informationstechnik

M 2.305 Geeignete Auswahl von Smartphones, Tablets oder PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle, Leiter IT

Smartphones, Tablets oder PDA s gibt es in verschiedenen Varianten und Geräteklassen. Diese unterscheiden sich nicht nur in ihren Abmessungen und im Leistungsumfang, sondern auch bei Sicherheitsmechanismen und Bedienkomfort. Zudem stellen sie unterschiedliche Anforderungen an Hard- und Software-Komponenten im Einsatzumfeld.

Aufgrund der Vielzahl von Modellen mit den unterschiedlichsten Betriebssystemen sind Kompatibilitätsprobleme mit anderer Hard- und Software wahrscheinlich.

Wenn einmal beschlossen worden ist, innerhalb einer Institution Smartphones, Tablets oder PDA s einzusetzen, sollte zunächst eine Anforderungsanalyse durchgeführt werden. Ziel der Anforderungsanalyse ist es, alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und daraus Anforderungen an die benötigten Hard- und Softwarekomponenten abzuleiten und in einer Liste zu dokumentieren.

Anhand dieser Anforderungsliste sind dann die am Markt erhältlichen Produkte zu bewerten und die zu beschaffenden Geräte auszuwählen. Werden in einer Institution private Smartphones, Tablets oder PDA s dienstlich genutzt, dürfen nur solche private Geräte erlaubt werden, die diese Anforderungen erfüllen. Die Praxis zeigt, dass es aufgrund verschiedener Einsatzanforderungen durchaus sinnvoll sein kann, verschiedene Gerätetypen anzuschaffen. Die Gerätevielfalt sollte aber zur Vereinfachung des Supports eingeschränkt werden.

Außerdem ist sicherzustellen, dass die mobilen Endgeräte und die darauf verwendete Software zentral und effektiv verwaltet werden können (siehe M 4.230 Zentrale Administration von Smartphones, Tablets und PDAs ). Auch sollte die notwendige Serverinfrastruktur einen möglichst geringen administrativen Aufwand erfordern.

Die folgende Liste gibt einen groben Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden.

Allgemeine Kriterien

Wartung

  • Lässt sich das Produkt einfach warten?
  • Bietet der Hersteller regelmäßige Software-Updates an?
  • Können für das Produkt Wartungsverträge abgeschlossen werden?

Zuverlässigkeit/Ausfallsicherheit

  • Wie zuverlässig und ausfallsicher ist das Produkt?
  • Ist das Produkt im Dauerbetrieb einsetzbar?
  • Gibt es einen im Produkt integrierten Backup-Mechanismus?
  • Kann eine automatische Datensicherung durchgeführt werden?
  • Lässt sich das Produkt sicher löschen?

Benutzerfreundlichkeit

  • Können Benutzer die Systeme ohne größere Schulungsmaßnahmen effektiv, sicher und fehlerfrei nutzen?
  • Ist die Synchronisations-Software so konfigurierbar, dass die Benutzer möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet?
  • Sind Abmessungen und Gewicht bezogen auf den Einsatzzweck angemessen? Ist die Akku-Laufzeit ausreichend für die tägliche Arbeit?

Kosten

  • Wie hoch sind die Anschaffungskosten der Hard- und Software?
  • Wie hoch sind die voraussichtlichen laufenden Kosten der Hard- und Software (Wartung, Betrieb, Support)?
  • Wie hoch sind die voraussichtlichen Personalkosten (Administrator/Support)?
  • Müssen zusätzliche Soft- oder Hardware-Komponenten angeschafft werden ( z. B. Docking-Station, Konvertierungssoftware)?

Funktion

Installation und Inbetriebnahme

  • Lässt sich das Produkt einfach installieren, konfigurieren und nutzen?
  • Kann das Gerät sowie die Synchronisations-Software so konfiguriert werden, dass die vorgegebenen Sicherheitsziele erreicht werden?
  • Können wichtige Konfigurationsparameter vor Veränderungen durch unbefugte Benutzer geschützt werden?
  • Arbeitet das Produkt mit gängiger Hard- und Software zusammen (Betriebssysteme, Treiber)?

Administration

  • Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
  • Können die Smartphones, Tablets oder PDA s über eine zentral gesteuerte Management-Software administriert werden? Ist die administrative Schnittstelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden?

Protokollierung

  • Bietet das Produkt Protokollierung an?
  • Ist der Detailgrad der Protokollierung konfigurierbar?
  • Werden durch die Protokollierung alle relevanten Daten erfasst?

Kommunikation und Datenübertragung

  • Unterstützt das Smartphone, Tablet oder der PDA alle benötigten Datenübertragungstechniken ( z. B. WLAN , Bluetooth, GSM , UMTS , LTE oder Infrarot)?

Sicherheit

Kommunikation, Authentisierung und Zugriff

  • Hat das Smartphone, Tablet oder der PDA geeignete Mechanismen zur Identifikation und Authentisierung der Benutzer?
  • Können mit dem Produkt die Daten zu anderen Endgeräten gesichert übertragen werden? Gilt dies für alle Schnittstellen, also z. B. auch für drahtlose Verbindungen?
  • Können zusätzliche Sicherungsmechanismen ( z. B. Verschlüsselungs- oder Virenschutzprogramme) genutzt werden?
  • Erlaubt die Produktarchitektur die nachträgliche Installation neuer Sicherheitsmechanismen?
  • Wird dem mobilen Benutzer nur nach erfolgreicher Authentisierung der Zugang zu lokalen Endgeräten erlaubt?

Trotz einer Produktauswahl durch das IT -Management sollte immer damit gerechnet werden, dass Mitarbeiter andere Smartphones, Tablets oder PDA s bevorzugen und versuchen, diese im Betrieb einzusetzen und eventuell sogar Unterstützung dafür einfordern. Hierfür sollte eine geeignete Vorgehensweise definiert werden.

Manche Funktionen von Smartphones, Tablets oder PDA s sind nur in Verbindung mit externen Dienstleistern nutzbar. Über einen externen Dienstleister sollten jedoch keine internen Daten ausgetauscht werden, wenn die Vertraulichkeit und Integrität der Daten nicht gewährleistet ist. So ist beispielsweise die Übertragung über ein Mobilfunknetz meist zunächst verschlüsselt ("Luftschnittstelle"), die Daten werden dann aber oft innerhalb des Netzes des Mobilfunkanbieters unverschlüsselt übertragen und auf dem Server des Dienstbetreibers unverschlüsselt gespeichert. Im Zweifelsfall sollen solche Dienste daher nicht genutzt werden.

Prüffragen:

  • Wurde die Beschaffungsentscheidung mit den Administratoren und dem technischen Personal abgestimmt?

  • Wurde eine Bewertung der relevanten Geräte anhand der Anforderungsanalyse durchgeführt?

  • Wurde eine Anforderungsanalyse durchgeführt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK