M 4.228 Nutzung der Sicherheitsmechanismen von PDAs
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Benutzer
PDAs und zugehörige Anwendungen können an verschiedenen Stellen durch PINs oder Passwörter abgesichert werden. Hierzu gehören:
Zugriffsschutz für den PDA
Egal welche PDA-Variante eingesetzt wird, eine Zugriffssicherung haben alle. Im Allgemeinen ist diese über eine Passwortabfrage realisiert.
Leider sind nicht alle vom Hersteller angebotenen Sicherheitsmechanismen so sicher, wie es wünschenswert wäre. Daher sollten sich PDA-Benutzer informieren, wie zuverlässig die vorhandenen Sicherheitsmechanismen sind, z. B. über das Internet.
Solange keine besseren Sicherheitstools installiert sind, sollten aber auf jeden Fall die vorhandenen Sicherheitsmechanismen genutzt werden. Alle Benutzer sollten sich aber über deren Wirkung und insbesondere deren Grenzen im Klaren sein. Dabei sollten die Passwörter und PINs sorgfältig ausgewählt werden, also auch lang genug sein, damit sie nicht einfach überwunden werden können. Die Passwörter dürfen keinesfalls zusammen mit dem PDA aufbewahrt werden.
Bei der Auslieferung ist meist die Passwortabfrage deaktiviert und ein triviales Passwort voreingestellt. Bei der ersten Benutzung sollte unbedingt das Passwort geändert und aktiviert werden, so dass zumindest bei jedem Einschalten des Gerätes eine Passwort-Eingabe erforderlich ist. Für diese Passwörter sollten dieselben Regeln gelten wie für Passwörter zu sonstigen IT-Systemen (siehe auch M 2.11 Regelung des Passwortgebrauchs ). Auf keinen Fall dürfen sie zu kurz oder zu einfach gewählt sein.
Automatische Sperre / Pausenschaltung
PDAs sehen im Allgemeinen auch die Möglichkeit einer automatischen Sperre vor, die sich bei Arbeitsunterbrechungen nach einem kurzen Moment selbst aktiviert. Erst nach Eingabe des entsprechenden Passwortes ist die weitere Nutzung des PDAs möglich. Ist eine Pausenschaltung vorhanden, so sollte sie unbedingt genutzt werden. Der Zugriffsschutz sollte sich bereits nach einer kurzen Phase von Inaktivität einschalten, zu empfehlen sind hier maximal 5 Minuten. Ist es absehbar, dass die Unterbrechung länger dauert, ist der PDA direkt auszuschalten.
Benutzer-Information
Damit ein ehrlicher Finder eines PDAs weiß, an wen er sich wenden kann, sollte dieser so eingerichtet werden, dass nach dem Einschalten eine entsprechende Information auf dem Bildschirm erscheint. Bei privat genutzten PDAs sollte hier möglichst nicht die vollständige Privatadresse angegeben werden, damit ein Dieb nicht auch noch diese Information für einen Einbruch bei einer naheliegenden Abwesenheit des Benutzers ausnutzen kann (alle Kalenderinformationen liegen ihm ja vor).
Weitere Sicherheitsmechanismen
Es gibt viele verschiedene Sicherheitsmechanismen bei PDAs wie Verschlüsselung oder zeitgesteuerte Deaktivierung. Welche hiervon vorhanden sind bzw. wie diese aktiviert werden können, ist abhängig vom eingesetzten PDA. Daher sollte die Bedienungsanleitung sorgfältig daraufhin ausgewertet werden. Sollen auf einem PDA Daten mit hohem Schutzbedarf bezüglich der Vertraulichkeit gespeichert werden, so sollten diese verschlüsselt werden. Bietet der PDA keine "eingebaute" Verschlüsselungsfunktion, so sollte ein zusätzliches Verschlüsselungsprodukt eingesetzt werden.
Beim Einsatz von PDAs in Behörden oder Unternehmen empfiehlt es sich, die wichtigsten Sicherheitsmechanismen sowohl vorzukonfigurieren als auch auf einem übersichtlichen Handzettel verständlich für die Benutzer zu dokumentieren.
Prüffragen:
- Werden die vorhandenen Sicherheitsmechanismen der PDA s genutzt?
- Sind die Benutzer über die Auswirkung und die Grenzen der Sicherheitsmechanismen von PDA s aufgeklärt?
- Erfolgt nach jedem Einschalten eines PDA eine Passwortabfrage?
- Automatische Sperre vorhanden: Wird der PDA nach maximal fünf Minuten gesperrt?