Bundesamt für Sicherheit in der Informationstechnik

M 4.229 Sicherer Betrieb von Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Die sinnvolle Nutzung von Smartphones, Tablets oder PDA s erfordert im Allgemeinen eine Kopplung mit anderen IT -Systemen, beispielsweise dem Arbeitsplatzrechner, einen Serverdienst für die Geräteverwaltung oder -steuerung oder einen Cloud-Dienst. Die Installation und Konfiguration der dafür benötigten Hard- und Software sollte zentral geregelt sein und durchgeführt werden. Ohne entsprechende Tests und Freigaben sollte keinerlei Installation erfolgen. Bei vielen Smartphones und Tablets ist die Synchronisation mit Cloud-Diensten voreingestellt und erfolgt nahezu automatisch. Es muss verhindert werden, dass ungewollt Daten zu diesen Diensten abfließen. Dies ist insbesondere bei jeder neu installierten Anwendung zu prüfen. Gegebenenfalls sind entsprechende Gegenmaßnahmen zu ergreifen.

Sicherheitsmechanismen und -einstellungen für mobile Endgeräte sollten festgelegt und für die Benutzer verständlich dokumentiert werden, damit sie die Geräte korrekt benutzen können. Daher ist explizit zu verbieten, dass die Konfiguration geändert wird. Außerdem müssen die Benutzer für Sinn und Zweck der gewählten Einstellungen sensibilisiert werden. Soweit technisch möglich, sollten Sicherheitsmechanismen so gewählt und konfiguriert werden, dass die Benutzer möglichst wenig Einflussmöglichkeiten haben. Dies ist in der Regel am einfachsten durch eine zentrale Mobile Device Management-( MDM )Lösung möglich. MDM -Lösungen können Passwortrichtlinien erlassen, Konfigurationen überprüfen, installierte Anwendungen verwalten und den Patch-Stand vom Betriebssystem und der Virenschutz-Software überprüfen. Es wird empfohlen eine MDM -Lösung einzusetzen oder zumindest zu prüfen, ob damit der sichere Betrieb von Smartphones, Tablets und PDA s am effizientesten erreicht wird (siehe auch M 4.230 Zentrale Administration von Smartphones, Tablets und PDAs ).

Smartphones, Tablets und PDA s sind in der Regel nicht in der Lage, verschiedene Benutzerkonten bereitzustellen. Daher gibt es auch im Allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung. Das bedeutet insbesondere, dass es selten Bereiche gibt, die nur für Administratoren zugänglich sind. Benutzer können also nicht ohne Weiteres daran gehindert werden, sicherheitsrelevante Konfigurationsänderungen durchzuführen. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. Hilfreich ist es außerdem, regelmäßig die Einstellungen zu kontrollieren bzw. diese durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückzusetzen.

Die Sicherheit aller zur Synchronisation mit dem Smartphone, Tablet oder PDA benutzten Endgeräte ist wesentlich für die Sicherheit des jeweiligen mobilen Geräts. Wenn auf den stationären Endgeräten Daten oder Programme manipuliert worden sind, können diese auf das Smartphone, das Tablet oder den PDA durchgereicht werden, ohne dass dies erkannt werden kann.

Die Synchronisationssoftware sollte so konfiguriert werden, dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen. Es sollte protokolliert werden, welche Programme und Daten jeweils transferiert bzw. aktualisiert wurden und diese Protokolle sollten zumindest sporadisch auf ungewöhnliche Einträge überprüft werden.

Für die Auswahl und Installation von Applikationen ist ein geeignetes Test- und Freigabeverfahren umzusetzen (siehe M 4.467 Auswahl von Applikationen für Smartphones, Tablets und PDAs ). Werden in einer Behörde oder einem Unternehmen private Smartphones, Tablets oder PDA s dienstlich benutzt, sind solche Verfahren, wenn überhaupt, viel schwieriger umzusetzen.

In der Sicherheitsrichtlinie sollte festgehalten werden, welche Daten und Programme auf den Smartphones, Tablets oder PDA s gespeichert werden dürfen. Davon hängen auch weitere Sicherheitsmaßnahmen ab. Beispielsweise hat ein Tablet, auf dem ausschließlich weniger schützenswerte Daten gespeichert werden, einen anderen Schutzbedarf als ein Endgerät, auf dem kryptografische Schlüssel und Zugangsparameter für IT -Systeme und Netze abgelegt sind.

Es gibt Schadprogramme, die speziell für Smartphones, Tablets oder PDA s konzipiert worden sind. Sie lesen persönliche Daten aus, rufen kostenpflichtige Servicerufnummern an oder versenden SMS -Spam. Einige Schadprogramme sind auch darauf spezialisiert, Authentisierungsinformationen, beispielsweise die mobile TAN für Online-Banking, an Kriminelle weiterzuleiten. Die meisten Hersteller von Viren-Schutzprogrammen haben deswegen Virenscanner für Smartphones, Tablets oder PDA s in die Produktpalette mit aufgenommen. Nicht vergessen werden darf in diesem Zusammenhang auch der Virenschutz aufseiten der zur Synchronisation eingesetzten Endgeräte oder Diensteanbieter. Auch diese müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. Dies muss insbesondere auch für private PC s oder Laptops gelten, mit denen das dienstliche Endgerät eventuell auch synchronisiert wird.

Wenn über Smartphones, Tablets oder PDA s Internet-Dienste genutzt werden, muss jede Datenverbindung zur Institution verschlüsselt werden, beispielsweise durch ein VPN . Zudem sollte der E-Mail-Client und Web-Browser SSL bzw. TSL beherrschen und hierüber auch verschlüsselt kommunizieren, beispielsweise für den Zugriff auf unternehmens- oder behördeninterne Server. Einige der für mobile Endgeräte verfügbaren Browser unterstützen auch aktive Inhalte, also Java, ActiveX und/oder Javascript. Wie bei anderen IT -Systemen ist auch hier zu beachten, dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. Daher sollten aktive Inhalte im Web-Browser im Regelfall abgeschaltet sein und nur aktiviert werden, wenn diese aus einer vertrauenswürdigen Quelle kommen, also z. B. von den WWW -Seiten eines ihnen bekannten Anbieters.

Da kleine und mobile Geräte häufig verloren werden, müssen für den Einsatz in einer Institution Bestandsverzeichnisse angelegt werden. Sie sollten mindestens folgende Informationen enthalten: Identifizierungsmerkmale wie Gerätenummern oder Inventarnummern, Art des Gerätes, Betriebssystem, Installationsdatum und Konfigurationsbesonderheiten, Aufstellungsort (wenn stationär), Benutzer sowie Administratoren.

Prüffragen:

  • Wird die Installation und Konfiguration von Hard- und Software für die Kopplung von PDA s mit IT -Systemen zentral durchgeführt und geregelt?

  • Existiert eine verständliche PDA -Sicherheitsrichtlinie für Benutzer?

  • Gibt es ein Test- und Freigabeverfahren für PDA -Applikationen?

  • Wird die PDA -Synchronisation protokolliert und sporadisch überprüft?

  • Sind PDA s und die zur Synchronisation eingesetzten PC s mit aktuellen Virenschutz-Programmen ausgestattet?

  • Gibt es ein PDA -Bestandsverzeichnis?

Stand: 14. EL Stand 2014