M 2.305 Geeignete Auswahl von PDAs
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle, Leiter IT
PDAs gibt es in verschiedensten Varianten und Geräteklassen. Diese unterscheiden sich nicht nur in ihren Abmessungen und Leistungsumfang, sondern auch bei Sicherheitsmechanismen und Bedienkomfort. Zudem stellen sie unterschiedliche Voraussetzungen an Hard- und Software-Komponenten im Einsatzumfeld.
Bei der Vielzahl verschiedener PDA-Modelle mit den unterschiedlichsten Betriebssystemen, sind Kompatibilitätsprobleme bei Hardware, Software auf PDA und PC sowie Schnittstellen naheliegend.
Wenn einmal beschlossen worden ist, innerhalb einer Institution PDAs einzusetzen, sollte daher eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung sollten dann die zu beschaffenden Produkte ausgewählt werden. Die Praxis zeigt, dass es aufgrund verschiedener Einsatzanforderungen durchaus sinnvoll sein kann, mehrere Gerätetypen für die Beschaffung auszuwählen. Die Gerätevielfalt sollte aber zur Vereinfachung des Supports eingeschränkt werden.
Außerdem muss sichergestellt werden, dass eine Möglichkeit zur zentralen und effektiven Verwaltung der einzelnen Endgeräte und der darauf verwendeten Software vorhanden ist. Auch sollte die notwendige Serverinfrastruktur einen möglichst geringen administrativen Aufwand erfordern.
Manche Funktionen von PDAs sind nur in Verbindung mit externen Dienstleistern nutzbar. Über einen externen Dienstleister sollten keine internen Daten ausgetauscht werden, wenn die Vertraulichkeit und Integrität der Daten nicht gewährleistet ist. Eine Übertragung über ein Mobilfunknetz ist beispielsweise zwar meist zunächst verschlüsselt ("Luftschnittstelle"), die Daten werden dann aber oft innerhalb des Netzes des Mobilfunkanbieters unverschlüsselt übertragen und auf dem Server des Dienstbetreibers unverschlüsselt gespeichert. Im Zweifelsfall sollen solche Dienste daher nicht genutzt werden.
Zunächst sollte eine Anforderungsanalyse durchgeführt werden. Ziel der Anforderungsanalyse ist es einerseits, alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hard- und Softwarekomponenten abzuleiten.
Die folgende Liste gibt einen groben Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden.
Allgemeine Kriterien
- Wartung
- Lässt sich das Produkt einfach warten?
- Bietet der Hersteller regelmäßige Software-Updates an?
- Wird für das Produkt die Möglichkeit des Abschlusses von Wartungsverträgen angeboten?
- Zuverlässigkeit/Ausfallsicherheit
- Wie zuverlässig und ausfallsicher ist das Produkt?
- Ist das Produkt im Dauerbetrieb einsetzbar?
- Gibt es einen im Produkt integrierte Backup-Mechanismus?
- Kann eine automatische Datensicherung durchgeführt werden?
- Benutzerfreundlichkeit
- Können Benutzer die Systeme ohne größere Schulungsmaßnahmen effektiv, sicher und fehlerfrei nutzen?
- Ist die Synchronisations-Software so konfigurierbar, dass die Benutzer möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet?
- Sind Abmessungen und Gewicht bezogen auf den Einsatzzweck angemessen? Ist die Akku-Laufzeit ausreichend für die tägliche Arbeit?
- Kosten
- Wie hoch sind die Anschaffungskosten der Hard- und Software?
- Wie hoch sind die voraussichtlichen laufenden Kosten der Hard- und Software (Wartung, Betrieb, Support)?
- Wie hoch sind die voraussichtlichen laufenden Kosten für das Personal (Administrator/Support)?
- Müssen zusätzliche Soft- oder Hardware-Komponenten angeschafft werden (z. B. Docking-Station, Konvertierungssoftware)?
Funktion
- Installation und Inbetriebnahme
- Lässt sich das Produkt einfach installieren, konfigurieren und nutzen?
- Kann das Gerät sowie die Synchronisations-Software so konfiguriert werden, dass die vorgegebenen Sicherheitsziele erreicht werden können?
- Können wichtige Konfigurationsparameter vor Veränderungen durch unbefugte Benutzer geschützt werden?
- Arbeitet das Produkt mit gängiger Hard- und Software zusammen (Betriebssysteme, Treiber)?
- Administration
- Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
- Können die PDAs über eine zentral gesteuerte Management-Software administriert werden? Ist die administrative Schnittstelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden?
- Protokollierung
- Bietet das Produkt Protokollierung an?
- Ist der Detailgrad der Protokollierung konfigurierbar?
- Werden durch die Protokollierung alle relevanten Daten erfasst?
- Kommunikation und Datenübertragung
- Unterstützt der PDA alle benötigten Datenübertragungstechniken (z. B. Infrarot, Bluetooth oder GSM)?
- Sicherheit: Kommunikation, Authentisierung und Zugriff
- Hat der PDA geeignete Mechanismen zur Identifikation und Authentisierung der Benutzer?
- Können mit dem Produkt die Daten zu anderen Endgeräten gesichert übertragen werden? Gilt dies für alle Schnittstellen, also z. B. auch für drahtlose Verbindungen?
- Können zusätzliche Sicherungsmechanismen (z. B. Verschlüsselungs- oder Virensuchprogramme) genutzt werden?
- Erlaubt die Produktarchitektur die nachträgliche Installation neuer Sicherheitsmechanismen?
- Wird dem mobilen Benutzer nur nach erfolgreicher Authentisierung der Zugang zu lokalen Endgeräten erlaubt?
- Gibt es benutzerfreundliche Möglichkeiten zur Datensicherung?
Trotz einer Produktauswahl durch das IT-Management sollte immer damit gerechnet werden, dass Mitarbeiter andere PDAs bevorzugen und versuchen, diese im Betrieb einzusetzen und eventuell sogar Unterstützung dafür einfordern. Hierfür sollte eine geeignete Vorgehensweise definiert werden.
Ergänzende Kontrollfragen:
- Wurde eine Anforderungsanalyse durchgeführt?
- Wurde eine Bewertung der relevanten Geräte anhand dieser Anforderungen durchgeführt?
- Wurde die Beschaffungsentscheidung mit den Administratoren und dem technischen Personal abgestimmt?