Bundesamt für Sicherheit in der Informationstechnik

M 4.230 Zentrale Administration von Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Administration mobiler Endgeräte ist keine einfache Aufgabe, vor allem bei großen Institutionen und bei Benutzern, die sich häufig und in aller Welt bewegen. Es gibt Tools, die eine zentrale Administration und die Umsetzung von Sicherheitsrichtlinien erleichtern. Mit solchen Tools können dann beispielsweise zentrale Vorgaben an die Passwortgestaltung umgesetzt oder auch der Zugriffsschutz beim Synchronisationsvorgang verbessert werden. Daher sollte ein solches Mobile Device Management ( MDM )-Tool eingesetzt werden.

Grundsätzlich ist eine gut überlegte Einbindung in die vorhandene IT -Umgebung notwendig, um die Benutzer durch den Komfort eines MDM -Tools davon abzuhalten, unkontrollierte und damit potenziell unsichere Smartphones, Tablets oder PDA s in die Unternehmens-IT einzuschleppen. Durch eine zentrale Administration können nicht nur Software und Informationen verteilt, sondern auch die organisationseigenen Sicherheitsrichtlinien durchgesetzt werden, z. B. für Authentikation, Zugriff oder Datensicherung.

Beim Einsatz eines MDM -Tools werden Smartphones, Tablets oder PDA s typischerweise nicht mehr mit einem lokalen Endgerät synchronisiert, sondern mit einem Server. Daher können Daten dann nicht nur von einer Station aus abgeglichen werden, sondern von allen mit dem Server verbundenen Geräten. Diese Synchronisation muss kryptografisch abgesichert sein. In vielen Fällen werden die Daten nicht mehr kabelgebunden, sondern per Funktechnik, z. B. über ein WLAN , synchronisiert. Daher sollte beispielsweise darauf geachtet werden, dass hierfür nur kryptografisch abgesicherte WLAN s verwendet werden. Ist die Leitung jedoch durch eine verschlüsselte VPN -Verbindung geschützt, kann auch über ein nicht gesichertes WLAN ( z. B. in Cafés oder Hotels) synchronisiert werden.

Bei der Synchronisation über einen Server lassen sich aber auch Sicherheitsvorgaben technisch forcieren, indem sicherheitsrelevante Einstellungen auf ihre vorgegebenen Werte zurückgesetzt werden. Typische Funktionen solcher Tools zum zentralen Mobile Device Management sind unter anderem:

  • Über Personal Information Manager ( PIM ) können Termine verwaltet und Adressbücher geführt werden, und dies nicht nur für einzelne Benutzern, sondern auch für Arbeitsgruppen. Das Management der PIM -Daten, anderer Informationen und der Applikationen, die auf den diversen Endgeräten vorhanden sein sollen, kann zentral gesteuert werden. Dadurch können z. B. Applikationen remote installiert und konfiguriert werden.
  • Es können aber auch zentrale Adressen-Sammlungen und andere Daten gepflegt und weitergegeben werden. Dies erleichtert besonders bei einer Vielzahl von mobilen Mitarbeitern, die unterwegs eingepflegten Daten den anderen Mitarbeitern schnell und komfortabel zur Verfügung zu stellen.
  • Daten können zentral gesichert werden, ohne dass die Benutzer sich darum kümmern müssen. Ebenso kann vorgegeben werden, wann bzw. wie oft Daten zu sichern oder zu synchronisieren sind und welche Randbedingungen dabei eingehalten werden müssen.
  • Auch Rückmeldungen über den Status der Smartphones, Tablets oder PDA s sind möglich, sodass Diagnosen aus der Ferne durchgeführt werden können.
  • Es können Benutzerprofile angelegt werden, um die Benutzerverwaltung zu vereinfachen.
  • Es lassen sich organisationsspezifisch einstellbare Passwortregeln und andere Sicherheitsregeln vorgeben.
  • Wenn die MDM -Lösung für verschiedene Benutzungskontexte, wie z. B. privat und dienstlich, ausgelegt ist (siehe M 4.468 Trennung von privatem und dienstlichem Bereich auf Smartphones, Tablets und PDAs ), kann sie beide Bereiche voneinander trennen. Dies geschieht vielfach über eine Container-Lösung, bei der im Container eine Verwaltung privater PIM -Daten möglich ist oder sogar Anwendungen installiert werden können.
  • Viele MDM -Lösungen bieten auch spezielle Maßnahmen für den Fall an, dass das Endgerät verloren geht. So können Smartphones und Tablets mit solchen Programmen aus der Ferne gelöscht, gesperrt und lokalisiert werden. Diese Funktionen sollten von der zentralen Stelle, bei der der Verlust des Endgerätes gemeldet wird, in Absprache mit dem Benutzer und nach vorher klar definierten Regeln ausgeführt werden (siehe M 2.306 Verlustmeldung und M 6.159 Vorsorge vor Verlust und Diebstahl von Smartphones, Tablets und PDAs ).

Diese Funktionen können im Allgemeinen nicht nur über die bei älteren Geräten oft gebräuchlichen Dockingstationen, sondern auch über andere Schnittstellen wie WLAN oder Bluetooth angeboten werden.

Ein Tool zum zentralen Management von Smartphones, Tablets und PDA s sollte möglichst alle in der Organisation eingesetzten Betriebssysteme dieser mobilen Endgeräte unterstützen, damit nicht mehrere solcher Tools parallel eingesetzt werden müssen. Dasselbe gilt natürlich für die eingesetzte Groupware und E-Mail-Plattform.

Prüffragen:

  • Werden Tools für das zentrale PDA -Management eingesetzt?

Stand: 14. EL Stand 2014