Bundesamt für Sicherheit in der Informationstechnik

M 2.310 Geeignete Auswahl von Laptops

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle, Leiter IT

Laptops gibt es in verschiedensten Varianten und Geräteklassen. Diese unterscheiden sich nicht nur in ihrem Abmessungen und Leistungsmerkmalen, sondern auch den Sicherheitsmechanismen und Bedienkomfort. Zudem stellen sie unterschiedliche Voraussetzungen an Hard- und Software-Komponenten im Einsatzumfeld.

Bei der Vielzahl verschiedener Laptop-Modelle mit den unterschiedlichsten Betriebssystemen, sind Kompatibilitätsprobleme bei Hardware, Software auf Laptop und PC sowie Schnittstellen naheliegend.

Wenn einmal beschlossen worden ist, innerhalb einer Institution Laptops einzusetzen, sollte daher eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung sollten dann die zu beschaffenden Produkte ausgewählt werden. Die Praxis zeigt, dass es aufgrund verschiedener Einsatzanforderungen durchaus sinnvoll sein kann, mehrere Gerätetypen für die Beschaffung auszuwählen. Die Gerätevielfalt sollte aber zur Vereinfachung des Supports eingeschränkt werden.

Zunächst sollte eine Anforderungsanalyse durchgeführt werden. Ziel der Anforderungsanalyse ist es einerseits, alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hard- und Softwarekomponenten abzuleiten.

Die folgende Liste gibt einen groben Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden.

Allgemeine Kriterien

  • Wartbarkeit
    • Ist das Produkt einfach wartbar?
    • Bietet der Hersteller regelmäßige Software-Updates an?
    • Wird für das Produkt die Möglichkeit des Abschlusses von Wartungsverträgen angeboten?
  • Zuverlässigkeit/Ausfallsicherheit
    • Wie zuverlässig und ausfallsicher ist das Produkt?
    • Ist das Produkt im Dauerbetrieb einsetzbar?
    • Gibt es einen im Produkt integrierte Backup-Mechanismus? Kann eine automatische Datensicherung durchgeführt werden?
  • Benutzerfreundlichkeit
    • Lässt sich das Produkt einfach installieren, konfigurieren und nutzen?
    • Ist die Synchronisations-Software so konfigurierbar, dass die Benutzer möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet?
    • Sind Abmessungen und Gewicht bezogen auf den Einsatzzweck angemessen? Ist die Akku-Laufzeit ausreichend für die tägliche Arbeit?
  • Kosten
    • Wie hoch sind die Anschaffungskosten der Hard- und Software?
    • Wie hoch sind die voraussichtlichen laufenden Kosten der Hard- und Software (Wartung, Betrieb, Support)?
    • Wie hoch sind die voraussichtlichen laufenden Kosten für das Personal (Administrator/Support)?
    • Müssen zusätzliche Soft- oder Hardware-Komponenten angeschafft werden (z. B. Docking-Station, Konvertierungssoftware)?

Funktion

  • Installation und Inbetriebnahme
    • Kann das Gerät sowie die Synchronisations-Software so konfiguriert werden, dass die vorgegebenen Sicherheitsziele erreicht werden können?
    • Können wichtige Konfigurationsparameter vor Veränderungen durch Benutzer geschützt werden?
    • Arbeitet das Produkt mit gängiger Hard- und Software zusammen (Betriebssysteme, Treiber)?
  • Administration
    • Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
    • Können die Laptops über eine zentral gesteuerte Management-Software administriert werden? Ist die administrative Schnittstelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden?
  • Protokollierung
    • Bietet das Produkt Protokollierung an?
    • Ist der Detailgrad der Protokollierung konfigurierbar? Werden durch die Protokollierung alle relevanten Daten erfasst?
    • Ist der Zugriff auf die Protokolldaten mit einem Zugriffsschutz versehen?
    • Bietet das Produkt die Möglichkeit an, die Protokolldaten nicht nur lokal zu speichern, sondern auch auf entfernten Rechnern (zentrales Protokoll)?
  • Kommunikation und Datenübertragung
    • Unterstützt der Laptop alle benötigten Datenübertragungstechnologien (z. B. Infrarot, Bluetooth oder GSM)?
  • Sicherheit: Kommunikation, Authentisierung und Zugriff
    • Hat der Laptop geeignete Mechanismen zur Identifikation und Authentisierung der Benutzer?
    • Können mit dem Produkt die Daten zu anderen Endgeräten gesichert übertragen werden?
    • Können zusätzliche Sicherungsmechanismen (z. B. Verschlüsselungs- oder Virensuchprogramme) genutzt werden?
    • Erlaubt die Produktarchitektur die nachträgliche Installation neuer Sicherheitsmechanismen?
    • Wird dem mobilen Benutzer nur nach erfolgreicher Authentisierung der Zugang zu lokalen Endgeräten erlaubt?
    • Ist die Systemarchitektur so aufgebaut, dass neue Authentisierungsmechanismen nachträglich integriert werden können?

Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert, so müssen die am Markt erhältlichen Produkte dahin gehend untersucht werden, inwieweit sie diese Anforderungen erfüllen. Es ist zu erwarten, dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. Daher sollten die einzelnen Anforderungen mit Gewichten versehen werden, die reflektieren, wie wichtig die Erfüllung der jeweiligen Anforderung ist. Aufgrund der durchgeführten Produktbewertung (gemäß dem erstellten Anforderungskatalog) kann dann eine fundierte Kaufentscheidung getroffen werden.

Prüffragen:

  • Wurde eine Anforderungsanalyse für die Auswahl von Laptops durchgeführt?

  • Enthält die Anforderungsanalyse auch zusätzlich benötigte Hardware wie z. B. Dockingstations und Monitore?

  • Wurde eine Bewertung der in Frage kommenden Geräte anhand der Kriterien aus der Anforderungsanalyse durchgeführt?

  • Wurde die Beschaffungsentscheidung mit den Administratoren und dem technischen Personal abgestimmt?

Stand: 13. EL Stand 2013