Bundesamt für Sicherheit in der Informationstechnik

M 5.121 Sichere Kommunikation von unterwegs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Über mobile Endgeräte wie Laptops, Smartphones, Tablets oder PDA s soll auch häufig unterwegs auf Daten aus dem Internet oder dem internen Netz einer Institution zugegriffen werden. Dabei werden üblicherweise öffentliche Kommunikationsnetze benutzt. Da weder die Institution noch die mobilen Mitarbeiter großen Einfluss darauf nehmen können, ob die Vertraulichkeit, Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden, sind zusätzliche Maßnahmen zum Schutz der Informationen erforderlich.

Generell muss die Datenübertragung zwischen einem mobilen Endgerät und dem LAN einer Institution folgende Sicherheitsanforderungen erfüllen:

  • Sicherstellung der Vertraulichkeit der übertragenen Daten: Die Datenübertragung muss ausreichend sicher verschlüsselt werden. Auch wer die Kommunikation abhört, soll nicht auf den Inhalt der Daten rückschließen können. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel.
  • Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen die Möglichkeit bieten, Veränderungen an den übertragenen Daten zu erkennen und eventuell sogar zu beheben. Solche Veränderungen können beispielsweise durch Übertragungsfehler (technische Probleme) oder durch absichtliche Manipulationen durch einen Angreifer entstehen. Zusätzlich kann der Einsatz digitaler Signaturen sinnvoll sein, um die Datenintegrität sicherzustellen.
  • Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten muss vertrauenswürdig feststellbar sein, ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet, sodass eine Maskerade oder ein Man-in-the-Middle-Angriff ausgeschlossen werden kann. Zu diesem Zweck muss eine gegenseitige Authentisierung der Kommunikationspartner (beispielsweise über digitale Zertifikate) erfolgen.
  • Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen, können Protokollierungsfunktionen eingesetzt werden, durch die sich nachträglich feststellen lässt, welche Daten wann und an wen übertragen wurden.

Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten. Wie adäquate kryptografische Verfahren und Systeme ausgewählt und eingesetzt werden können, ist in Baustein B 1.7 Kryptokonzept beschrieben.

Wenn mit mobilen Endgeräten über öffentliche Netze auf interne Ressourcen zugegriffen werden soll, so wird der Einsatz eines Virtual Private Network ( VPN ) dringend empfohlen. Entsprechende Produkte sind von diversen Herstellern und für praktisch alle gebräuchlichen Plattformen verfügbar. Auf Daten oder Systeme mit hohem Schutzbedarf darf nicht ohne entsprechende Sicherungsmaßnahmen zugegriffen werden. Betreibt die Institution in ihrem Netz einen Filter für Schadsoftware, so sollte die Netzverbindung des mobilen Endgerätes durch diesen Filter geleitet werden, um so das Endgerät besser vor Schadsoftware zu schützen.

Für den Zugriff auf Internet-Anwendungen, bei denen schützenswerte Daten wie personenbezogene Daten, interne Informationen oder Kontendaten ausgetauscht werden, muss zumindest SSL zur Verschlüsselung genutzt werden (siehe auch M 5.66 Clientseitige Verwendung von SSL/TLS ).

Kopplung mit anderen IT-Systemen

Beim Einsatz mobiler Endgeräte wie Laptops, Smartphones, Tablets oder PDA s sollen häufig auch Daten mit anderen IT -Systemen ausgetauscht werden, etwa mit Geschäftspartnern. Auch für den Zugriff auf das Internet ist häufig die Kopplung mit anderen IT -Systemen erforderlich. Dies kann auf verschiedene Arten erfolgen, je nachdem, welche Techniken die beteiligten Geräte unterstützen, beispielsweise über Infrarot-, Bluetooth-, WLAN - oder GSM -Schnittstellen. Hier müssen zum einen die Übertragungstechniken sicher eingesetzt werden, zum anderen müssen die eigenen IT -Systeme sicher konfiguriert sein. Dazu gehören bei mobilen Clients Sicherheitsmaßnahmen wie z. B. Zugriffsschutz, Benutzerauthentisierung, Virenschutz, Personal Firewall, restriktive Datei- und Ressourcenfreigabe auf Betriebssystemebene, lokale Verschlüsselung, etc.

Soll ein mobiles Endgerät an fremde Netze oder an das Internet angeschlossen werden, so sollte das System grundsätzlich über eine Personal Firewall abgesichert werden (siehe M 5.91 Einsatz von Personal Firewalls für Clients ).

Nutzung fremder IT-Systeme

Beim Einsatz mobiler Endgeräte wie Laptops, Smartphones, Tablets oder PDA s sollen häufig auch Daten mit anderen IT -Systemen ausgetauscht werden, etwa mit Geschäftspartnern. Auch für den Zugriff auf das Internet ist häufig die Kopplung mit anderen IT -Systemen erforderlich. Dies kann auf verschiedene Arten erfolgen, je nachdem, welche Techniken die beteiligten Geräte unterstützen, beispielsweise über Infrarot-, Bluetooth-, WLAN- oder GSM-Schnittstellen. Hier müssen zum einen die Übertragungstechniken sicher eingesetzt werden, zum anderen müssen die eigenen IT -Systeme sicher konfiguriert sein. Dazu gehören bei mobilen Clients Sicherheitsmaßnahmen wie z. B. Zugriffsschutz, Benutzerauthentisierung, Virenschutz, Personal Firewall, restriktive Datei- und Ressourcenfreigabe auf Betriebssystemebene, lokale Verschlüsselung, etc.

In allen Organisationen sollte klar geregelt sein, auf welche Daten von unterwegs zugegriffen werden darf und auf welche nicht. Vor allem muss allen IT -Benutzern bekannt sein, unter welchen Randbedingungen sie Daten über externe Netze oder direkt mit fremden IT -Systemen austauschen dürfen (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen und M 2.218 Regelung der Mitnahme von Datenträgern und IT-Komponenten ).

Prüffragen:

  • Werden bei der Datenübertragung die Daten ausreichend geschützt?

  • Wird beim Datenaustausch das eigene IT-System ausreichend geschützt?

Stand: 14. EL Stand 2014