Bundesamt für Sicherheit in der Informationstechnik

M 4.468 Trennung von privatem und dienstlichem Bereich auf Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Leiter IT

Werden Smartphones, Tablets oder PDA s dienstlich und privat benutzt, sollten beide Bereiche strikt getrennt werden. Dies ist auf verschiedene Arten möglich:

  • Im einfachsten Fall wird auf den Geräten eine Applikation installiert, die einen Datencontainer mit allen dienstlichen Daten und Zugängen verwaltet. Diese Applikation muss für sämtliche dienstliche Tätigkeiten, wie E-Mail, Termine, Kontakte, Aufgaben, ausgelegt sein, einen eigenen Browser beinhalten und selbsttätig eine verschlüsselte Verbindung zur Institution aufbauen. Die Trennung zwischen den verschiedenen Applikationen erfolgt allerdings ausschließlich durch das Betriebssystem. Daher ist die Wirksamkeit dieser Trennung vom eingesetzten Betriebssystem und dessen Zugriffskontrollmöglichkeiten (Mandatory Access Control, MAC ) abhängig und somit von System zu System unterschiedlich.
    Für die Datencontainer-Variante muss in der Regel nicht in das Betriebssystem selbst eingegriffen werden. Sie ist für verschiedene Betriebssysteme erhältlich. Unabhängig von welchem Hersteller eine Applikation für die Trennung zwischen privaten und dienstlichen Daten eingesetzt wird, sollte diese die dienstlichen Daten im Container verschlüsseln und so bei privater Nutzung des Endgerätes den Zugriff auf die Daten durch andere, gegebenenfalls bösartige Applikationen verhindern.
    Es kann zudem sinnvoll sein, dass der IT -Betrieb zusammen mit dem Sicherheitsmanagement eine Ausschlussliste ("Blacklist") von Anwendungen erstellt, die Funktionen oder Rechte besitzen, durch die die Informationssicherheit der dienstlichen Anwendungen gefährdet werden könnte.
    Zusätzlich sollten sich Benutzer vor einem Zugriff auf den Container erfolgreich authentisieren müssen. Verbindungen zum Netz der Institution müssen kryptografisch abgesichert werden. Lösungen, die dies nicht unterstützen, bieten keinen hinreichenden Schutz und sollten daher nicht eingesetzt werden.
  • Eine andere Möglichkeit, private und dienstliche Bereiche auf Endgeräten zu trennen, ist, die Informationen auch bei der Verarbeitung auf den Servern der Institution zu belassen. In diesem Fall wird auf dem Client lediglich eine Oberfläche bereitgestellt, mit der über eine abgesicherte Netzverbindung die Anwendung auf einem Server der Institution bedient wird. Das entsprechende Programm auf dem Endgerät muss dabei so konfiguriert werden, dass die Daten nicht lokal gespeichert werden können. Solche Thin-Clients oder serverbasierten Lösungen sind auch im Desktop-Bereich seit Längerem im Einsatz. Damit eine serverbasierte Lösung funktionieren kann, muss jedoch zu jedem Nutzungszeitpunkt eine ausreichend dimensionierte Internetverbindung verfügbar sein. Ferner muss der Dienst auf die Randbedingungen eines Smartphones oder Tablets, zum Beispiel berührungsempfindlicher Touch-Screen statt Maus und Tastatur, angepasst sein.
  • Eine weitere Option, besteht darin, die beiden Bereiche als unterschiedliche virtuelle Maschinen auf einem Gerät zu betreiben. Im Gegensatz zur Datencontainer-Variante wird bei der Virtualisierung der private und dienstliche Bereich nicht auf Anwendungsebene, sondern auf Betriebssystemebene getrennt. Dadurch werden die Schnittstellen entfernt, die sonst zwischen den Anwendungen durch das Betriebssystem mit seinen vorhandenen Zugriffskontroll-Mechanismen bereitgestellt werden. Ein Datenaustausch zwischen beiden virtuellen Maschinen ist nur über die tiefer liegende Virtualisierungsschicht in Form des Hypervisors (auch Virtual Machine Monitor, VMM ) möglich. Zudem können in den einzelnen virtuellen Bereichen jeweils eigene Anwendungen installiert und getrennt voneinander betrieben werden. So kann auch dem Bedürfnis der Benutzer Rechnung getragen werden, eigene Apps zu installieren und zu benutzen. Eine Ausschlussliste für Anwendungen ist in diesem Fall in der Regel nicht nötig, da die Anwendungen nur in einer virtuellen Maschine arbeiten und somit Anwendungen im privaten Bereich nicht auf die Daten und Anwendungen im dienstlichen Bereich zugreifen können.

Jede Institution muss prüfen, welche der dargestellten Lösungen dem Schutzbedarf der verarbeiteten Informationen entspricht und der Sicherheitsstrategie der Institution angemessen ist. Generell sollten noch folgende Vor- bzw. Nachteile in die Entscheidungsfindung einfließen:

  • Eine Virtualisierungslösung bietet bei entsprechender Qualität des Hypervisors ein höheres Maß an Sicherheit als eine Container-Lösung.
  • Bei einer Virtualisierungslösung muss sehr tief in das Betriebssystem eingegriffen werden oder es muss sogar ausgetauscht werden. Viele Gerätehersteller verbieten das und unterbinden es mit technischen Maßnahmen. Auch erlischt in der Regel mit einem solchen Eingriff in das Betriebssystem die Garantie auf das Endgerät.
  • Eine Virtualisierungslösung erhöht oft den Stromverbrauch deutlich, sodass der Akku im Vergleich zu einem Gerät ohne Virtualisierung schneller entlädt.
  • Eine Virtualisierungslösung ist nicht auf allen Endgeräten realisierbar, da einige Gerätetreiber nicht zur Verfügung stehen.
  • Eine Container-Lösung bietet zwar ein geringeres Maß an Sicherheit als die Virtualisierung, aber im Gegenzug wird nicht so tief in das Betriebssystem eingegriffen, sodass die Gewährleistung für das Endgerät in der Regel nicht erlischt.
  • Sowohl bei der Container- als auch bei der Virtualisierungslösung können bei Datensicherungen durch die Institution unbeabsichtigt private Daten mit einbezogen werden. Daher muss für die Umsetzung dieser Maßnahme in der Regel auch der Datenschutzbeauftragte hinzugezogen werden. Bei der Virtualisierungslösung ist das unbeabsichtigte Erheben personenbezogener Daten deutlich unwahrscheinlicher, da hier die Trennung zwischen privaten und dienstlichen Bereich strikter umgesetzt ist. Bei der Thin-Client-Lösung ist dies hingegen ausgeschlossen, da keine dienstlichen Daten auf dem Endgerät gespeichert und daher auch nicht gesichert werden müssen.
  • Eine Thin-Client-Lösung setzt eine durchgehend verfügbare und ausreichend dimensionierte Internetverbindung voraus. Dies ist in Deutschland nicht flächendeckend gewährleistet, und im Ausland entstehen durch Daten-Roaming in der Regel hohe Kosten. Kurzzeitige Verbindungsausfälle können die Anwendungen auf dem Server beeinträchtigen und gegebenenfalls werden sogar Daten zerstört. Zudem steigt durch die dauerhafte Datenverbindung der Stromverbrauch erheblich an, wodurch die Betriebsdauer bis zum nächsten Aufladen verkürzt wird.

Prüffragen:

  • Werden auf den mobilen Endgeräten dienstliche und private Daten durch einen geschützten Container oder durch eine Virtualisierungslösung voneinander getrennt?

  • Wird der Datenschutzbeauftragte in die Umsetzung der Maßnahmen zur Trennung von dienstlichen und privaten Daten einbezogen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK