Standards - das BSI-Regelwerk fürs Mobile Device Management
- "Geschrieben von Matthias Pufke"
Auch in Behörden und anderen öffentlichen Stellen halten Smartphones und Tablets Einzug, das BSI widmet daher nun dem sicheren Einsatz und dem Management dieser Geräte einen eigenen Mindeststandard.
Das BSI legt für die Stellen des Bundes allgemeine Mindeststandards fest, die die Behörden der Länder und Kommunen heranziehen können, um eigene Standards anzupassen. Für das Mobile Device Management (= MDM) definiert es in 40 technischen und organisatorischen Regeln die Anforderungen, die ein solches System umsetzen können muss und lässt aber Spielraum bei deren Ausgestaltung.
Ein kurzer Einblick:
Manche Regeln des BSI-Mindeststandards für MDM-Systeme sind ziemlich "einfach".
Zum Beispiel die Regel 30: „Das MDM muss von geschulten Administratoren bedient werden.“
- Andere haben es dagegen in sich: So fordert Regel 35, dass MDMs und mobile Endgeräte, für die der Hersteller keine sicherheitsrelevanten Aktualisierungen mehr bereitstellt, außer Betrieb zu nehmen sind.
- Die Regel 4 besagt, dass die Verantwortlichen kompromittierte verwaltete mobile Endgeräte schnell erkennen und vom MDM sowie der Infrastruktur der Stelle des Bundes ausschließen müssen.
- Nimmt man die Regeln 4, 25 und 35 als Referenz, müssen Administratoren viele Android-Geräte mangels Sicherheitsupdates ausmustern oder dürfen sie gar nicht erst in Betrieb nehmen.
Der BSI-Mindeststandard für das Mobile Device Management kommt spät und er ist dennoch nicht auf der Höhe der Zeit - dennoch ist er ein guter Anfang, er ist die Grundlagen für eine sichere Handhabung von Smartphones.