BSI ver­öf­fent­licht Min­dest­stan­dard für das Mo­bi­le-De­vice-Ma­nage­ment

In 40 tech­ni­schen und or­ga­ni­sa­to­ri­schen Re­geln hat das BSI die Min­dest­an­for­de­run­gen an MDM-Sys­te­me und de­ren Be­trieb fest­ge­legt. Der Leit­fa­den gilt für Be­hör­den, lässt sich aber mit Ein­schrän­kun­gen auch für Un­ter­neh­men nut­zen.

Computerwoche - - Technik - (mb)

Ob­wohl mo­bi­le End­ge­rä­te zur Stan­dard­aus­stat­tung in Ver­wal­tung und Wirt­schaft ge­hö­ren, ist nicht im­mer klar, wie sie aus­rei­chend ab­ge­si­chert und ver­wal­tet wer­den kön­nen. Des­halb hat das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) nun ei­nen neu­en Min­dest­stan­dard nach Pa­ra­graf 8 BSI-Ge­setz (BSIG) für Mo­bi­le-De­vice-Ma­nage­ment (MDM) ver­öf­fent­licht. Dar­in sind funk­tio­na­le und nicht­funk­tio­na­le Si­cher­heits­an­for­de­run­gen an ein MDM fest­ge­schrie­ben. Be­hör­den kön­nen den Min­dest­stan­dard be­reits in Ver­ga­be­ver­fah­ren ein­set­zen.

Be­trächt­li­cher Auf­wand

Zu den Funk­tio­nen, die ein MDM laut BSI auf­wei­sen muss, ge­hö­ren et­wa der Ver­bleib der Nut­zungs­da­ten in der IT-In­fra­struk­tur des Be­trei­bers, ein integriertes Rech­te-Ma­nage­ment, Er­ken­nung und Aus­schluss kom­pro­mit­tier­ter mo­bi­ler End­ge­rä­te, Remote-Wi­pe und ei­ne ver­schlüs­sel­te Kom­mu­ni­ka­ti­on. Zu­sätz­lich muss der MDM-Anbieter do­ku­men­tie­ren, wel­che End­ge­rä­te mit Be­triebs­sys­tem-Ver­sio­nen un­ter­stützt wer­den und – ab­hän­gig da­von – wel­che Funk­tio­na­li­tä­ten.

Ein si­che­rer Be­trieb des MDM wird durch die Vor­ga­be von tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men ge­re­gelt. So müs­sen die Ge­rä­te durch Kenn­wör­ter oder Ge­rä­te­co­des ge­schützt sein und au­to­ma­tisch nach ei­ner an­ge­mes­se­nen Pha­se der In­ak­ti­vi­tät, die ma­xi­mal zehn Mi­nu­ten dau­ern darf, ge­sperrt wer­den. Das Sys­tem selbst darf nur von ge­schul­ten Ad­mi­nis­tra­to­ren be­dient wer­den, Si­cher­heits­me­cha­nis­men und -ein­stel­lun­gen müs­sen fest­ge­legt, do­ku­men­tiert und re­gel­mä­ßig ge­prüft wer­den. Die BSI-Richt­li­ni­en rei­chen von ab­so­lu­ten Ba­sis­an­for­de­run­gen bis hin zu spe­zi­el­len Vor­schrif­ten, de­ren Um­set­zung in der Pra­xis zum Teil für Schwie­rig­kei­ten sor­gen könn­te. So heißt es in MDM.35 zum The­ma Ak­tua­li­sie­rung der Be­triebs­sys­te­me:

„Es müs­sen Ar­beits­pro­zes­se ge­plant, ge­tes­tet und an­ge­mes­sen do­ku­men­tiert sein, da­mit si­cher­heits­re­le­van­te Pat­ches und Up­dates un­ver­züg­lich ein­ge­spielt wer­den kön­nen. Wer­den si­cher­heits­kri­ti­sche Ak­tua­li­sie­run­gen nicht in­ner­halb von vier Wo­chen nach der Ver­öf­fent­li­chung ein­ge­spielt, ist dies ge­son­dert zu be­grün­den und zu do­ku­men­tie­ren. MDMs und mo­bi­le End­ge­rä­te, für die kei­ne si­cher­heits­re­le­van­ten Ak­tua­li­sie­run­gen mehr be­reit­ge­stellt wer­den, sind aus dem Be­trieb zu neh­men.“

An­ge­sichts der ak­tu­el­len Prak­ti­ken, was mo­nat­li­che Si­cher­heits-Up­dates an­be­langt, dürf­te sich die Ge­rä­teaus­wahl im An­dro­id-La­ger in en­gen Gren­zen hal­ten (Goog­le, Black­ber­ry und mit Ein­schrän­kung Samsung). Selbst bei die­sen De­vices ist nach zwei, spä­tes­tens drei Jah­ren Schicht im Schacht.

Win­dows 10 nicht be­rück­sich­tigt

Ge­ne­rell ist an den Richt­li­ni­en zu be­män­geln, dass das BSI nur klas­si­sche mo­bi­le Be­triebs­sys­te­me wie An­dro­id, Black­ber­ry-OS oder iOS be­rück­sich­tigt, nicht et­wa das auf Ta­blets ver­brei­te­te Win­dows 10. Auf pri­va­te und be­ruf­li­che Mi­sch­nut­zung wird nicht ein­ge­gan­gen, eben­so we­nig auf Mo­bi­le-Ap­p­li­ca­ti­on-Ma­nage­ment (MAM) oder die Mög­lich­kei­ten „mo­der­ne­rer“Ver­wal­tungs­sys­te­me wie En­ter­pri­se-Mo­bi­li­ty­Ma­nage­ment (EMM) und Uni­fied-End­poin­tMa­nage­ment (UEM), die weit mehr als die klas­si­schen MDM-Kom­po­nen­ten leis­ten.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.