B 3.405 PDA

Logo PDA

Beschreibung

Dieser Baustein beschäftigt sich mit handtellergroßen, mobilen Endgeräten zur Datenerfassung, -bearbeitung und -kommunikation, die im folgenden der einfacheren Lesbarkeit halber alle als PDAs (Personal Digital Assistant) bezeichnet werden. Diese gibt es in verschiedenen Geräteklassen, die sich nach Abmessungen und Leistungsmerkmalen unterscheiden, dazu gehören unter anderem:

Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. PDA- und Mobiltelefon-Funktionalitäten werden in zunehmendem Maß kombiniert.

Eine typische Anforderung an PDAs ist die Nutzung von Standard-Office-Anwendungen auch unterwegs. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-, Tabellenkalkulations-, E-Mail- bzw. Kalenderprogrammen angeboten. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswörtern), Speicherung von Patientendaten oder die Führung von Kundenkarteien.

In diesem Kapitel werden diejenigen Sicherheitseigenschaften von PDAs betrachtet, die für die Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zum Einsatz von PDAs innerhalb einer Organisation erstellt und wie dessen Umsetzung und Einbettung sichergestellt werden kann.

Gefährdungslage

Für den IT-Grundschutz werden im Rahmen der Nutzung von PDAs folgende typische Gefährdungen angenommen:

Höhere Gewalt

-G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel

-G 2.2 Unzureichende Kenntnis über Regelungen
-G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
-G 2.7 Unerlaubte Ausübung von Rechten

Menschliche Fehlhandlungen

-G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
-G 3.43 Ungeeigneter Umgang mit Passwörtern
-G 3.44 Sorglosigkeit im Umgang mit Informationen
-G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
-G 3.76 Fehler bei der Synchronisation mobiler Endgeräte

Technisches Versagen

-G 4.42 Ausfall des Mobiltelefons oder des PDAs
-G 4.51 Unzureichende Sicherheitsmechanismen bei PDAs
-G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen

-G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
-G 5.2 Manipulation an Informationen oder Software
-G 5.9 Unberechtigte IT-Nutzung
-G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
-G 5.23 Schadprogramme
-G 5.123 Abhören von Raumgesprächen über mobile Endgeräte
-G 5.124 Missbrauch der Informationen von mobilen Endgeräten
-G 5.125 Unberechtigte Datenweitergabe über mobile Endgeräte
-G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Damit PDAs sicher eingesetzt werden können, müssen auch damit gekoppelte Arbeitsplatz-Rechner und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein.

Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in den Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Einsatz von PDAs vorgestellt.

Planung und Konzeption

-M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
-M 2.303 (A) Festlegung einer Strategie für den Einsatz von PDAs
-M 2.304 (A) Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung

Beschaffung

-M 2.305 (B) Geeignete Auswahl von PDAs
-M 4.231 (Z) Einsatz zusätzlicher Sicherheitswerkzeuge für PDAs

Umsetzung

-M 5.121 (B) Sichere Kommunikation von unterwegs

Betrieb

-M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
-M 4.3 (A) Einsatz von Viren-Schutzprogrammen
-M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz
-M 4.228 (A) Nutzung der Sicherheitsmechanismen von PDAs
-M 4.229 (C) Sicherer Betrieb von PDAs
-M 4.230 (Z) Zentrale Administration von PDAs
-M 4.232 (Z) Sichere Nutzung von Zusatzspeicherkarten
-M 4.255 (A) Nutzung von IrDA-Schnittstellen

Aussonderung

-M 2.306 (A) Verlustmeldung

Notfallvorsorge

-M 6.95 (C) Ausfallvorsorge und Datensicherung bei PDAs