Bundesamt für Sicherheit in der Informationstechnik

M 4.467 Auswahl von Applikationen für Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Applikationen (kurz Apps) für Smartphones, Tablets und PDA s werden in der Regel durch Online-Shops der Endgeräte- oder Betriebssystemhersteller vertrieben. In den regulären Shops werden Applikationen sowohl von großen Unternehmen als auch von einzelnen Entwicklern angeboten. Die Preise für die Applikationen sind sehr unterschiedlich und reichen von kostenlos bis in den mehrstelligen Bereich. Es stehen in der Regel für einen dienstlichen Verwendungszweck sehr viele Applikationen zu Verfügung.

Daneben gibt es noch einige Online-Shops, auf die in der Regel nur über Umwege zugegriffen werden kann, indem entweder ein "Jailbreak" (bei iPhone und iPad) durchgeführt wird oder bei Android in den Einstellungen die Installation aus unbekannten Quellen zugelassen wird. Ein Jailbreak sollte in keinem Fall ausgeführt werden und die Installation aus unbekannten Quellen sollte nur nach eingehender Prüfung der Quelle für einzelne Anwendungen ermöglicht werden.

Applikationen für Smartphones, Tablets und PDA s müssen entsprechend dem Einsatzzweck dieser Endgeräte und dem Schutzbedürfnis der Informationen auf dem Endgerät ausgewählt und vor dem Einsatz getestet werden. Deshalb sollte der IT -Betrieb vor der Installation eine Liste mit gewünschten Funktionen und Eigenschaften erstellen. Zudem sind Kriterien zu definieren, die Applikationen auf keinen Fall besitzen dürfen. Hierunter fällt beispielsweise das unbefugte Versenden des Adressbuches an Adresshändler. Anhand der Vorgaben sollten die infrage kommenden Applikationen auf Nutzerkommentare und Tests durch andere Stellen hin untersucht werden, um festzustellen, ob sie zuverlässig arbeiten und ob Sicherheitsupdates zeitnah zur Verfügung stehen. Danach sollten die jeweiligen Applikationen durch den IT -Betrieb getestet und überprüft werden und erst dann an die Benutzer ausgerollt werden. Es sollte überlegt werden, einen internen Shop für Anwendungen bereitzustellen, über den die Applikationen bezogen werden können.

Wenn es keine Applikationen gibt, die den Qualitäts- oder Sicherheitsanforderungen genügen, müssen die Anwendungen selbst entwickelt werden. Hierfür ist der Baustein B 5.25 Allgemeine Anwendungen zu berücksichtigen. Je nach Lizenz einer Anwendung ist es auch möglich, diese den eigenen Bedürfnissen anzupassen und beispielsweise kritische Programmaufrufe, wie etwa zu Werbeservern, Versenden des Adressbuches, grundlose GPS -Lokalisierung auszuschalten. Dies kann eine preiswerte Alternative zur Eigenentwicklung sein.

Wenn die Benutzer weitere Applikationen wünschen, die nicht oder nicht nur dienstlichen Zwecken dienen, sollte es auch dafür einheitliche Regeln geben. Wenn diese Programme, z. B. Kartenspiele oder Sudoku, die Informationssicherheit nicht gefährden und vom Mitarbeiter selbst bezahlt werden, kann die Applikation in der Regel erlaubt werden. Sollte dies nicht der Fall sein, ist dem Mitarbeiter die Entscheidung plausibel zu erklären, damit sie nicht umgangen wird.

Prüffragen:

  • Werden Applikationen für die Endgeräte gezielt ausgesucht, angepasst und vor dem Einsatz getestet?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK