B 3.405 PDA
Beschreibung
Dieser Baustein beschäftigt sich mit handtellergroßen, mobilen Endgeräten zur Datenerfassung, -bearbeitung und -kommunikation, die im folgenden der einfacheren Lesbarkeit halber alle als PDAs (Personal Digital Assistant) bezeichnet werden. Diese gibt es in verschiedenen Geräteklassen, die sich nach Abmessungen und Leistungsmerkmalen unterscheiden, dazu gehören unter anderem:
- Organizer, um Adressen und Termine zu verwalten.
- PDAs ohne eigene Tastatur, bei denen die Dateneingabe über das Display erfolgt (mittels Stift). Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen, Adressen und kleinen Notizen.
- PDAs, bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt. Diese sollen neben dem Erfassen und Verwalten von Terminen, Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen.
- PDAs mit integriertem Mobiltelefon, sogenannte Smartphones, die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3.404 Mobiltelefon umzusetzen.
- Den Übergang zu "echten" Notebooks stellen sogenannte Sub-Notebooks dar, die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten, die aber unter anderem für die Vorführung von Präsentationen geeignet sind. Beim Einsatz von Sub-Notebooks ist der Baustein B 3.203 Laptop umzusetzen.
Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. PDA- und Mobiltelefon-Funktionalitäten werden in zunehmendem Maß kombiniert.
Eine typische Anforderung an PDAs ist die Nutzung von Standard-Office-Anwendungen auch unterwegs. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-, Tabellenkalkulations-, E-Mail- bzw. Kalenderprogrammen angeboten. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswörtern), Speicherung von Patientendaten oder die Führung von Kundenkarteien.
In diesem Kapitel werden diejenigen Sicherheitseigenschaften von PDAs betrachtet, die für die Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zum Einsatz von PDAs innerhalb einer Organisation erstellt und wie dessen Umsetzung und Einbettung sichergestellt werden kann.
Gefährdungslage
Für den IT-Grundschutz werden im Rahmen der Nutzung von PDAs folgende typische Gefährdungen angenommen:
Höhere Gewalt
- | G 1.15 | Beeinträchtigung durch wechselnde Einsatzumgebung |
Organisatorische Mängel
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.4 | Unzureichende Kontrolle der Sicherheitsmaßnahmen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
Menschliche Fehlhandlungen
- | G 3.3 | Nichtbeachtung von Sicherheitsmaßnahmen |
- | G 3.43 | Ungeeigneter Umgang mit Passwörtern |
- | G 3.44 | Sorglosigkeit im Umgang mit Informationen |
- | G 3.45 | Unzureichende Identifikationsprüfung von Kommunikationspartnern |
- | G 3.76 | Fehler bei der Synchronisation mobiler Endgeräte |
Technisches Versagen
- | G 4.42 | Ausfall des Mobiltelefons oder des PDAs |
- | G 4.51 | Unzureichende Sicherheitsmechanismen bei PDAs |
- | G 4.52 | Datenverlust bei mobilem Einsatz |
Vorsätzliche Handlungen
- | G 5.1 | Manipulation oder Zerstörung von Geräten oder Zubehör |
- | G 5.2 | Manipulation an Informationen oder Software |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.22 | Diebstahl bei mobiler Nutzung des IT-Systems |
- | G 5.23 | Schadprogramme |
- | G 5.123 | Abhören von Raumgesprächen über mobile Endgeräte |
- | G 5.124 | Missbrauch der Informationen von mobilen Endgeräten |
- | G 5.125 | Unberechtigte Datenweitergabe über mobile Endgeräte |
- | G 5.126 | Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.
- Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können, sollte ein Konzept erstellt werden, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten (siehe M 2.304 Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung ).
- Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.305 Geeignete Auswahl von PDAs ).
- Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten (PDA, Synchronisationssoftware, Software zum zentralen PDA-Management) unterschiedlich konfiguriert werden. Dies betrifft vor allem die PDAs selber (siehe M 4.228 Nutzung der Sicherheitsmechanismen von PDAs ), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von PDAs ) und gegebenenfalls spezielle Software zum zentralen PDA-Management.
Damit PDAs sicher eingesetzt werden können, müssen auch damit gekoppelte Arbeitsplatz-Rechner und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein.
Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in den Client-Bausteinen der Schicht 3 beschrieben.
Nachfolgend wird das Maßnahmenbündel für den Einsatz von PDAs vorgestellt.
Planung und Konzeption
- | M 2.218 | (C) | Regelung der Mitnahme von Datenträgern und IT-Komponenten |
- | M 2.303 | (A) | Festlegung einer Strategie für den Einsatz von PDAs |
- | M 2.304 | (A) | Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung |
Beschaffung
- | M 2.305 | (B) | Geeignete Auswahl von PDAs |
- | M 4.231 | (Z) | Einsatz zusätzlicher Sicherheitswerkzeuge für PDAs |
Umsetzung
- | M 5.121 | (B) | Sichere Kommunikation von unterwegs |
Betrieb
- | M 1.33 | (A) | Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz |
- | M 4.3 | (A) | Einsatz von Viren-Schutzprogrammen |
- | M 4.31 | (A) | Sicherstellung der Energieversorgung im mobilen Einsatz |
- | M 4.228 | (A) | Nutzung der Sicherheitsmechanismen von PDAs |
- | M 4.229 | (C) | Sicherer Betrieb von PDAs |
- | M 4.230 | (Z) | Zentrale Administration von PDAs |
- | M 4.232 | (Z) | Sichere Nutzung von Zusatzspeicherkarten |
- | M 4.255 | (A) | Nutzung von IrDA-Schnittstellen |
Aussonderung
- | M 2.306 | (A) | Verlustmeldung |
Notfallvorsorge
- | M 6.95 | (C) | Ausfallvorsorge und Datensicherung bei PDAs |