Bundesamt für Sicherheit in der Informationstechnik

M 4.228 Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, Administrator

Smartphones, Tablets oder PDA s und zugehörige Anwendungen können an verschiedenen Stellen durch PIN s oder Passwörter abgesichert werden. Alle Benutzer müssen sich über Wirkung und Grenzen der Sicherheitswerkzeuge im Klaren sein.

Zugriffsschutz für Smartphone, Tablet oder PDA

Heute besitzen alle mobilen Endgeräte eine Zugriffssicherung, die meistens über eine Passwortabfrage realisiert ist. Auch wenn nicht alle vom Hersteller angebotenen Sicherheitsmechanismen so sicher sind, wie es wünschenswert wäre, sollten sie benutzt werden, solange nichts Besseres vorgegeben ist.

Im Auslieferungszustand der Geräte ist meist die Passwortabfrage deaktiviert und oft ein triviales Passwort voreingestellt. Bei der ersten Benutzung muss daher das Passwort geändert und aktiviert werden, sodass zumindest bei jedem Einschalten des Gerätes eine Passwort-Eingabe erforderlich ist. Für diese Passwörter und PIN s sollten dieselben Regeln gelten wie für Passwörter zu sonstigen IT-Systemen (siehe M 2.11 Regelung des Passwortgebrauchs ). Auf keinen Fall dürfen sie zu kurz oder zu einfach gewählt sein. Die Passwörter dürfen keinesfalls zusammen mit dem Smartphone, Tablet oder PDA aufbewahrt werden.

Viele Smartphones, Tablets oder PDA s lassen sich über die USB -Schnittstelle mit einem PC sehr leicht administrieren und stellen über USB oder sogar die Luftschnittstelle weitreichende Systemfunktionen (sogenannte Debugging-Funktionen) bereit. Diese Schnittstelle muss deaktiviert werden, wenn sie nicht benutzt wird, da sonst ohne Kenntnis des Benutzers Daten ausgelesen oder beliebige Anwendungen installiert oder deinstalliert werden können.

Automatische Sperre / Pausenschaltung

Smartphones, Tablets oder PDA s sehen im Allgemeinen auch die Möglichkeit einer automatischen Sperre vor, die sich bei Arbeitsunterbrechungen nach kurzer Zeit selbst aktiviert. Erst nach Eingabe des entsprechenden Passwortes ist die weitere Nutzung des Endgerätes möglich. Ist eine Pausenschaltung vorhanden, so sollte sie unbedingt genutzt werden. Der Zugriffsschutz sollte sich bereits nach einer kurzen Phase von Inaktivität einschalten, zu empfehlen sind hier maximal 5 Minuten.

Benutzer-Information

Damit ein ehrlicher Finder eines Smartphones, Tablets oder PDA s weiß, an wen er sich wenden kann, sollte das Endgerät so eingerichtet werden, dass nach dem Einschalten eine entsprechende Information auf dem Bildschirm erscheint. Bei privat genutzten Smartphones, Tablets oder PDA s sollte hier möglichst nicht die vollständige Privatadresse angegeben werden, damit ein Dieb nicht auch noch diese Information für einen Einbruch bei einer vermuteten Abwesenheit des Benutzers ausnutzen kann. In der Regel reichen der Name und eine E-Mail-Adresse aus. Wenn diese Funktion nicht systemseitig zur Verfügung steht, sollte eine entsprechende Applikation installiert oder ein eigens gestalteter Sperrbildschirmbild dafür verwendet werden.

Weitere Sicherheitsmechanismen

Es gibt viele verschiedene Sicherheitsmechanismen bei Smartphones, Tablets oder PDA s wie Verschlüsselung oder zeitgesteuerte Deaktivierung. Welche hiervon vorhanden sind bzw. wie diese aktiviert werden können, ist abhängig vom eingesetzten Endgerät. Daher sollte die Bedienungsanleitung sorgfältig daraufhin gelesen werden. Sollen auf einem Smartphone, Tablet oder PDA vertrauliche und besonders zu schützende Daten gespeichert werden, so sollten diese verschlüsselt werden. Bietet das Endgerät keine eingebaute Verschlüsselungsfunktion, so sollte ein zusätzliches Verschlüsselungsprodukt eingesetzt werden.

Beim Einsatz von Smartphones, Tablets oder PDA s in Behörden oder Unternehmen empfiehlt es sich, die wichtigsten Sicherheitsmechanismen sowohl vorzukonfigurieren als auch auf einem übersichtlichen Handzettel verständlich für die Benutzer zu dokumentieren. Wenn möglich sollte dieser Zettel auch in elektronischer Form auf dem Endgerät an einer leicht zu findenden Stelle hinterlegt werden.

Prüffragen:

  • Verfügen die eingesetzten Smartphones, Tablets oder PDAs über Einschalte-Passwörter? Sind diese aktiviert?

Stand: 14. EL Stand 2014