B 3.405 Smartphones, Tablets und PDAs

Logo PDA

Beschreibung

Dieser Baustein beschäftigt sich mit mobilen Endgeräten zur Datenerfassung, -bearbeitung und -kommunikation. Diese gibt es in verschiedenen Geräteklassen, die sich nach Abmessungen und Leistungsmerkmalen unterscheiden. Dazu gehören unter anderem:

Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. Eine typische Anforderung an Smartphones, Tablets und PDAs ist die Nutzung von Standard-Office-Anwendungen auch unterwegs. Hierfür werden angepasste Varianten von Textverarbeitungs-, Tabellenkalkulations-, E-Mail- bzw. Kalenderprogrammen angeboten. Die Geräte werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswörtern), Speicherung von Patientendaten oder die Führung von Kundenkarteien.

In diesem Baustein werden diejenigen Sicherheitseigenschaften von Smartphones, Tablets und PDAs betrachtet, die für die Anwender bei der Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie Smartphones, Tablets und PDAs sicher in Institutionen eingesetzt werden können, wie Sicherheitskonzepte für diese Endgeräte erstellt und fortentwickelt werden sollten und wie auf diese Weise Smartphones, Tablets und PDAs sicher in einem Informationsverbund eingebettet werden können.

Gefährdungslage

Für den IT-Grundschutz werden im Rahmen der Nutzung von Smartphones, Tablets und PDAs folgende typische Gefährdungen angenommen:

Höhere Gewalt

- G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel

- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

Menschliche Fehlhandlungen

- G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
- G 3.43 Ungeeigneter Umgang mit Passwörtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
- G 3.76 Fehler bei der Synchronisation mobiler Endgeräte
- G 3.123 Unerlaubte private Nutzung des dienstlichen Mobiltelefons, Smartphones, Tablets oder PDAs

Technisches Versagen

- G 4.42 Ausfall des Mobiltelefons, Smartphones, Tablets oder PDAs
- G 4.51 Unzureichende Sicherheitsmechanismen bei Smartphones, Tablets oder PDAs
- G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen

- G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Schadprogramme
- G 5.123 Abhören von Raumgesprächen über mobile Endgeräte
- G 5.124 Missbrauch der Informationen von mobilen Endgeräten
- G 5.125 Datendiebstahl mithilfe mobiler Endgeräte
- G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten
- G 5.177 Missbrauch von Kurz-URLs oder QR-Codes
- G 5.193 Unzureichender Schutz vor Schadprogrammen auf Smartphones, Tablets und PDAs
- G 5.194 Einschleusen von GSM-Codes in Endgeräte mit Telefonfunktion

Maßnahmenempfehlungen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für Smartphones, Tablets und PDAs sind eine Reihe von Maßnahmen erforderlich, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Phasen, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Phasen beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Um Smartphones, Tablets und PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können, sollte ein Konzept erstellt werden, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht (siehe M 2.303 Festlegung einer Strategie für den Einsatz von Smartphones, Tablets oder PDAs). Darauf aufbauend ist die Nutzung von Smartphones, Tablets und PDAs zu regeln und es sind Sicherheitsrichtlinien dafür zu erarbeiten (siehe M 2.304 Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets und PDAs). Auf Smartphones, Tablets und PDAs können verschiedene Applikationen (Apps) installiert werden. Die Anwendungen müssen ausgewählt und sicher ausgeführt werden (siehe M 4.467 Auswahl von Applikationen für Smartphones, Tablets und PDAs).

Beschaffung

Für die Beschaffung von Smartphones, Tablets und PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf geeignete Geräte ausgewählt werden (siehe M 4.305 Einsatz von Speicherbeschränkungen (Quotas)). Auch muss geprüft werden, ob zusätzliche Sicherheitswerkzeuge anzuschaffen sind, die die Sicherheit von Smartphones, Tablets und PDAs bis zu einem gewissen Grad erhöhen können (siehe M 4.231 Einsatz zusätzlicher Sicherheitswerkzeuge für Smartphones, Tablets oder PDAs).

Umsetzung

Über mobile Endgeräte wie Laptops, Smartphones, Tablets oder PDAs soll auch häufig unterwegs auf Daten aus dem Internet oder dem internen Netz einer Institution zugegriffen werden. Dafür sollten zusätzliche Aspekte zum Schutz der Informationen berücksichtigt werden (siehe M 5.121 Sichere Kommunikation von unterwegs).

Betrieb

Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten (Smartphones/Tablets/PDA, Synchronisationssoftware, Software zum zentralen Geräte-Management) unterschiedlich konfiguriert werden. Dies betrifft vor allem die Endgeräte selber (siehe M 4.228 Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von Smartphones, Tablets und PDAs) und spezielle Software zum zentralen Geräte-Management (siehe M 4.230 Zentrale Administration von Smartphones, Tablets und PDAs). Damit Smartphones, Tablets und PDAs sicher eingesetzt werden können, müssen auch damit gekoppelte Arbeitsplatz-Rechner und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein. Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in den Client-Bausteinen der Schicht 3 beschrieben.

Aussonderung

Bei Ausfall, Defekt, Zerstörung oder Diebstahl eines Smartphones, Tablets oder PDAs, sollte es in jeder Organisation klare Meldewege und Ansprechpartner geben (siehe M 2.306 Verlustmeldung). Zudem ist organisatorisch sicherzustellen, dass Smartphones, Tablets und PDAs auf geeignete Weise ausgesondert werden (siehe M 4.465 Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs).

Notfallvorsorge

Ein Smartphone, Tablet oder PDA kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. Daher sollten entsprechende Vorkehrungen getroffen werden, um einem Ausfall vorzubeugen bzw. die Probleme zu minimieren (siehe M 6.95 Ausfallvorsorge und Datensicherung bei Smartphones, Tablets und PDAs). Ebenso müssen entsprechende Empfehlungen umgesetzt werden, damit bei einem Diebstahl oder Verlust nicht alle Daten auf dem Endgerät verloren gehen oder in fremde Hänge gelangen (siehe M 6.159 Vorsorge vor Verlust und Diebstahl von Smartphones, Tablets und PDAs).

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Smartphones, Tablets und PDAs vorgestellt.

Planung und Konzeption

- M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
- M 2.303 (A) Festlegung einer Strategie für den Einsatz von Smartphones, Tablets oder PDAs
- M 2.304 (A) Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets und PDAs
- M 4.467 (B) Auswahl von Applikationen für Smartphones, Tablets und PDAs
- M 4.468 (B) Trennung von privatem und dienstlichem Bereich auf Smartphones, Tablets und PDAs

Beschaffung

- M 2.305 (B) Geeignete Auswahl von Smartphones, Tablets oder PDAs
- M 4.231 (Z) Einsatz zusätzlicher Sicherheitswerkzeuge für Smartphones, Tablets oder PDAs

Umsetzung

- M 5.121 (B) Sichere Kommunikation von unterwegs

Betrieb

- M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
- M 2.558 (A) Sensibilisierung der Mitarbeiter zur Informationssicherheit bei Mobiltelefonen, Smartphones, Tablets und PDAs
- M 4.3 (A) Einsatz von Viren-Schutzprogrammen
- M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.228 (A) Nutzung der Sicherheitsmechanismen von Smartphones, Tablets und PDAs
- M 4.229 (C) Sicherer Betrieb von Smartphones, Tablets und PDAs
- M 4.230 (Z) Zentrale Administration von Smartphones, Tablets und PDAs
- M 4.232 (Z) Sichere Nutzung von Zusatzspeicherkarten
- M 4.255 (A) Nutzung von IrDA-Schnittstellen
- M 4.466 (C) Einsatz von Viren-Schutzprogrammen bei Smartphones, Tablets und PDAs
- M 4.469 (A) Abwehr von eingeschleusten GSM-Codes auf Endgeräten mit Telefonfunktion
- M 5.173 (Z) Nutzung von Kurz-URLs und QR-Codes
- M 5.176 (B) Sichere Anbindung von Smartphones, Tablets und PDAs an das Netz der Institution

Aussonderung

- M 2.306 (A) Verlustmeldung
- M 4.465 (A) Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs

Notfallvorsorge

- M 6.95 (C) Ausfallvorsorge und Datensicherung bei Smartphones, Tablets und PDAs
- M 6.159 (C) Vorsorge vor Verlust und Diebstahl von Smartphones, Tablets und PDAs