M 2.304 Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Wenn in einer Institution entschieden wurde, PDAs einzusetzen, so müssen diese in die allgemeine Sicherheitsstrategie eingebunden werden.

Bei der Nutzung von PDAs gibt es eine Vielzahl von Möglichkeiten, diese vor Missbrauch zu schützen. Damit diese Möglichkeiten auch genutzt werden, sollte eine Sicherheitsrichtlinie erstellt werden, in der alle umzusetzenden Sicherheitsmechanismen beschrieben werden. Jede Institution sollte sich die Möglichkeiten und Risiken des PDA-Einsatzes bewusst machen. Hierbei sollten zwei Sicherheitsaspekte im Vordergrund stehen:

Aufbauend auf die PDA-Sicherheitsrichtlinie sollte für die Benutzer ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von PDAs erstellt werden.

Schutz vor Missbrauch

Ein PDA hat nicht nur für den Besitzer den Vorteil, leicht zu transportieren und unauffällig zu verwahren zu sein, sondern auch für einen Dieb. Daher sollte auch ein PDA stets sicher aufbewahrt werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt gelassen werden. Insbesondere sollten sie nicht in Fahrzeugen zurückgelassen werden.

Praktisch alle Varianten von PDAs und Organizern lassen sich durch PINs oder Passwörter gegen unbefugten Zugriff absichern. Leider sind nicht alle vom Hersteller angebotenen Sicherheitsmechanismen so sicher, wie es wünschenswert wäre. Daher sollten sich PDA-Benutzer informieren, wie zuverlässig die vorhandenen Sicherheitsmechanismen sind, z. B. über das Internet.

Solange keine besseren Sicherheitstools installiert sind, sollten aber auf jeden Fall die vorhandenen Sicherheitsmechanismen genutzt werden (siehe auch M 4.228 Nutzung der Sicherheitsmechanismen von PDAs ). Alle Benutzer sollten sich aber über deren Wirkung und insbesondere deren Grenzen im Klaren sein. Dabei sollten die Passwörter und PINs sorgfältig ausgewählt werden, also auch lang genug sein, damit sie nicht einfach überwunden werden können. Die Passwörter dürfen keinesfalls zusammen mit dem PDA aufbewahrt werden.

Sensibilisierung der Benutzer

Alle PDA-Benutzer sollten nicht nur über die Vorteile von PDAs aufgeklärt werden, sondern auch über potentielle Risiken und Probleme bei der Nutzung sowie über den Nutzen, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen.

Da auch für die Betriebssysteme von PDAs (beispielsweise Palm OS, Windows CE bzw. Windows Mobile, Symbian OS) immer wieder neue Sicherheitslücken offengelegt werden, sollte sich das Sicherheitsmanagement regelmäßig über aktuelle Risiken informieren. Gegebenenfalls ist es angebracht, die Mitarbeiter regelmäßig über die neu bekanntgewordenen Gefahren zu informieren und damit auch zu sensibilisieren.

Regelungen zur PDA-Nutzung

Allgemeine Regelungen

Auf einem PDA sind Daten in der Regel schlechter geschützt als auf IT-Systemen innerhalb der Organisation. Unabhängig davon, ob privat oder dienstlich angeschaffte PDAs genutzt werden, sollte der Arbeitgeber daher schriftlich regeln,

Ein PDA sollte möglichst nicht unbeaufsichtigt bleiben. Falls ein PDA in einem Kraftfahrzeug zurückgelassen werden muss, so sollte das Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Ein PDA stellt einen Wert dar, der potentielle Diebe anlocken könnte.

Wird ein PDA in fremden Büroräumen benutzt, so sind die Sicherheitsregelungen der besuchten Organisation zu beachten.

In fremden Räumlichkeiten wie Hotelzimmern sollte ein PDA nicht ungeschützt liegen gelassen werden. Alle Passwort-Schutzmechanismen sollten spätestens jetzt aktiviert werden. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

Nutzung von privaten PDAs

Bei der Nutzung von privaten PDAs in einer Behörde oder einem Unternehmen sind unter anderem die folgenden Punkte zu regeln:

Nutzung von dienstlichen PDAs

Bei der Nutzung von dienstlichen PDAs sind unter anderem die folgenden Punkte zu regeln:

Einbindung in andere Sicherheitslösungen

Bei der Benutzung von PDAs muss nicht nur überlegt werden, ob der Einsatz von Sicherheitssoftware zum Schutz des PDAs selber sinnvoll ist, sondern auch, wie der PDA mit der Sicherheitssoftware der Einsatzumgebung zusammenarbeitet. Dazu zwei Beispiele:

Auch solche Fälle, also die Einbindung von PDA-Applikationen in andere Sicherheitssoftware im Unternehmen, muss daher unbedingt in der PDA-Sicherheitsrichtlinie geregelt werden, um zu vermeiden, dass durch die PDA-Nutzung das festgelegte Sicherheitsniveau reduziert wird.

Wo nötig: Nutzungsverbot von PDAs

Es sollte überlegt werden, ob die Nutzung oder sogar das Mitbringen von PDAs in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. Dies kann z. B. dort sinnvoll sein, wo das Mitschneiden von Gesprächen oder das Fotografieren unterbunden werden soll.

Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt, dass fremde IT-Systeme wie beispielsweise PDAs mitgebracht werden, muss an allen Eingängen deutlich darauf hingewiesen werden. Dies sollte dann auch regelmäßig kontrolliert werden. Für die Besucher sollte in diesem Fall eine Möglichkeit geschaffen werden, mitgebrachte Mobiltelefone, PDAs oder Notebooks sicher aufzubewahren. Beispielsweise können an den Eingängen Schließfächer zur Verfügung gestellt werden.

Prüffragen: