Mobile Endgeräte sicher einbinden: BSI veröffentlicht Mindeststandard für Mobile Device Management

In 40 technischen und organisatorischen Regeln hat das BSI die Mindestanforderungen an MDM-Systeme und deren Betrieb für Behörden festgelegt. Der Leitfaden eignet sich mit Einschränkungen auch für Unternehmen, die Umsetzung mancher Vorgaben ist allerdings nicht ganz unproblematisch. [...]

Obwohl mobile Endgeräte längst zur Standardausstattung in Verwaltung und Wirtschaft gehören, ist vielerorts noch unklar, wie diese ausreichend abgesichert und verwaltet werden. Als Konsequenz hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) für Mobile Device Management (MDM) veröffentlicht. Der Mindeststandard stellt funktionale und nicht-funktionale Sicherheitsanforderungen an ein MDM, die von Behörden bereits bei Vergabeverfahren herangezogen werden können.
Zu den Funktionen, die ein MDM laut BSI aufweisen muss, gehören etwa der Verbleib der Nutzdaten in der IT-Infrastruktur des Betreibers, ein integriertes Rechte-Management, Erkennung und Ausschluss kompromittierter mobiler Endgeräte, Remote-Wipe oder eine verschlüsselte Kommunikation. Zusätzlich muss der MDM-Anbieter etwa dokumentieren, welche Endgeräte mit Betriebssystemversionen unterstützt werden und – in Abhängigkeit davon – welche Funktionalitäten.
Auch ein sicherer Betrieb des MDM wird durch die Vorgabe von technischen und organisatorischen Maßnahmen geregelt. So müssen die Geräte durch Kennwörter oder Gerätecodes geschützt sein und automatisch nach einer angemessenen Phase der Inaktivität (maximal 10 Minuten) gesperrt werden. Das System selbst darf nur von geschulten Administratoren bedient werden, Sicherheitsmechanismen und -einstellungen müssen festgelegt, dokumentiert und regelmäßig geprüft werden.
Praktische Umsetzung nicht immer einfach
Zusammengefasst reichen die BSI-Richtlinien von den absoluten Basics bis hin zu sehr speziellen Vorschriften, deren Umsetzung in der Praxis zum Teil für Schwierigkeiten sorgen könnte. So heißt es etwa in MDM.35 (Aktualisierung der Betriebssysteme): „Es müssen Arbeitsprozesse geplant, getestet und angemessen dokumentiert sein, damit sicherheitsrelevante Patches und Updates unverzüglich eingespielt werden können. Werden sicherheitskritische Aktualisierungen nicht innerhalb von vier Wochen nach der Veröffentlichung eingespielt, ist dies gesondert zu begründen und zu dokumentieren. MDMs und mobile Endgeräte für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, sind aus dem Betrieb zu nehmen.“
Angesichts der aktuellen Praktiken, was monatliche Sicherheits-Updates anbelangt, dürfte sich die Geräteauswahl im Android-Lager in sehr engen Grenzen halten (Google, Blackberry und mit Einschränkung Samsung) und selbst bei diesen Devices ist nach zwei, spätestens drei Jahren Schicht im Schacht.
Reiner Fokus auf klassisches Device-Management
Generell ist bei den Richtlinien zu bemängeln, dass das BSI nur klassische mobile Betriebssysteme wie Android, Blackberry-OS oder iOS berücksichtigt, nicht etwa das bei Tablets verbreitete Windows 10. Auch auf die private und berufliche Nutzung mit all ihren Konsequenzen wird nicht eingegangen, genauso wenig wie auf das Mobile Application Management (MAM) oder die Möglichkeiten „modernerer“ Verwaltungssysteme wie Enterprise Mobility Management (EMM) und Unified Endpoint Management (UEM), die weit mehr als die klassische MDM-Komponente leisten.
* Manfred Bremmer schreibt für die Computerwoche.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*