Mobile Endgeräte sicher einbinden: BSI veröffentlicht Mindeststandard für Mobile Device Management
In 40 technischen und organisatorischen Regeln hat das BSI die Mindestanforderungen an MDM-Systeme und deren Betrieb für Behörden festgelegt. Der Leitfaden eignet sich mit Einschränkungen auch für Unternehmen, die Umsetzung mancher Vorgaben ist allerdings nicht ganz unproblematisch. [...]
Obwohl mobile Endgeräte längst zur Standardausstattung in Verwaltung und Wirtschaft gehören, ist vielerorts noch unklar, wie diese ausreichend abgesichert und verwaltet werden. Als Konsequenz hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) für Mobile Device Management (MDM) veröffentlicht. Der Mindeststandard stellt funktionale und nicht-funktionale Sicherheitsanforderungen an ein MDM, die von Behörden bereits bei Vergabeverfahren herangezogen werden können.
Zu den Funktionen, die ein MDM laut BSI aufweisen muss, gehören etwa der Verbleib der Nutzdaten in der IT-Infrastruktur des Betreibers, ein integriertes Rechte-Management, Erkennung und Ausschluss kompromittierter mobiler Endgeräte, Remote-Wipe oder eine verschlüsselte Kommunikation. Zusätzlich muss der MDM-Anbieter etwa dokumentieren, welche Endgeräte mit Betriebssystemversionen unterstützt werden und – in Abhängigkeit davon – welche Funktionalitäten.
Auch ein sicherer Betrieb des MDM wird durch die Vorgabe von technischen und organisatorischen Maßnahmen geregelt. So müssen die Geräte durch Kennwörter oder Gerätecodes geschützt sein und automatisch nach einer angemessenen Phase der Inaktivität (maximal 10 Minuten) gesperrt werden. Das System selbst darf nur von geschulten Administratoren bedient werden, Sicherheitsmechanismen und -einstellungen müssen festgelegt, dokumentiert und regelmäßig geprüft werden.
Praktische Umsetzung nicht immer einfach Zusammengefasst reichen die BSI-Richtlinien von den absoluten Basics bis hin zu sehr speziellen Vorschriften, deren Umsetzung in der Praxis zum Teil für Schwierigkeiten sorgen könnte. So heißt es etwa in MDM.35 (Aktualisierung der Betriebssysteme): „Es müssen Arbeitsprozesse geplant, getestet und angemessen dokumentiert sein, damit sicherheitsrelevante Patches und Updates unverzüglich eingespielt werden können. Werden sicherheitskritische Aktualisierungen nicht innerhalb von vier Wochen nach der Veröffentlichung eingespielt, ist dies gesondert zu begründen und zu dokumentieren. MDMs und mobile Endgeräte für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, sind aus dem Betrieb zu nehmen.“
Angesichts der aktuellen Praktiken, was monatliche Sicherheits-Updates anbelangt, dürfte sich die Geräteauswahl im Android-Lager in sehr engen Grenzen halten (Google, Blackberry und mit Einschränkung Samsung) und selbst bei diesen Devices ist nach zwei, spätestens drei Jahren Schicht im Schacht.
Reiner Fokus auf klassisches Device-Management Generell ist bei den Richtlinien zu bemängeln, dass das BSI nur klassische mobile Betriebssysteme wie Android, Blackberry-OS oder iOS berücksichtigt, nicht etwa das bei Tablets verbreitete Windows 10. Auch auf die private und berufliche Nutzung mit all ihren Konsequenzen wird nicht eingegangen, genauso wenig wie auf das Mobile Application Management (MAM) oder die Möglichkeiten „modernerer“ Verwaltungssysteme wie Enterprise Mobility Management (EMM) und Unified Endpoint Management (UEM), die weit mehr als die klassische MDM-Komponente leisten.
Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]
Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]
Generative KI verbraucht Strom, sogar sehr viel Strom. Vor allem das Training der großen Sprachmodelle erfordert aufgrund der benötigten Rechenleistung eine enorme Menge an Energie. Dell Technologies nennt wichtige Maßnahmen, um den Verbrauch und die Umweltauswirkungen zu reduzieren. […]
Die Aufrechterhaltung der Informationssicherheit gehört zu einer der größten Herausforderungen heimischer Unternehmen. Das kommende NIS-2 Gesetz erhöht diese Anforderung zusätzlich mit seiner gesetzlichen Verankerung von Strafen für Unternehmen und deren Leitorgane. […]
Alain Tanner ist seit Oktober Channel Account Manager für die Region ALPS bei Arctic Wolf. In dieser neu geschaffenen Rolle soll Tanner die Beziehungen zu Reseller-Partnern in Österreich und der Schweiz stärken. […]
Salesforce lädt am 12. November zum Innovation Day nach Wien ein. Ein zentraler Bestandteil der Veranstaltung ist die Vorstellung von Agentforce, einer innovativen KI-Lösung. Im Gespräch mit ITWELT.at erläutert Country Lead David Hable, wie diese intelligenten Agenten Unternehmen bei der digitalen Transformation unterstützen können. […]
Von den Anfängen der 3D-Gesichtserkennung bis hin zu großen wissenschaftlich-unternehmerischen Erfolgen – Ingenieur und Informatiker Alex Bronstein ist für bahnbrechende Innovationen bekannt. […]
Mit einem Mesh-Netzwerk bringen Sie schnelles und stabiles WLAN bis in den letzten Winkel Ihres Zuhauses. Wir erklären, was Sie für eine solche Mesh-Lösung benötigen, wie Sie diese mit wenig Aufwand einrichten und optimal konfigurieren. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment