Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich in einem aktuellen Papier mit dem Einsatz von mobilen Geräten bei Bundesbehörden an. § 8 Absatz 1 BSIG regelt die Befugnis des Bundesamtes für Sicherheit in der Informationstechnik (BSI), allgemeine Mindeststandards für die Sicherheit der Informationstechnik für Stellen des Bundes festzulegen. Mindeststandards können nach der Gesetzesbegründung etwa die IT-Grundschutz-Kataloge oder auch Prüfkriterien sein. Der Mindeststandard beschreibt die zu erfüllenden sicherheitstechnischen Anforderungen an eine Produkt- bzw. Dienstleistungskategorie oder Methoden, um einen angemessenen Mindestschutz gegen IT-Sicherheitsbedrohungen zu erreichen.
Über die Stellen des Bundes hinaus sind Mindeststandards nach § 8 Absatz 1 BSIG auch in der öffentlichen Verwaltung der Länder und Kommunen für den Einsatz von Informationstechnik und zur Sicherung kritischer Infrastrukturen von grundsätzlicher Bedeutung. Ziele, Anforderungen und Empfehlungen von Mindeststandards können dazu genutzt werden, eigene Sicherheitsanforderungen anzupassen oder zu überprüfen, auch bei der Erstellung von Leistungsbeschreibungen im Rahmen eigener Vergabeverfahren. Anbieter von Informationstechnik und IT-Dienstleister können Mindeststandards dazu nutzen, ihre angebotenen Produkte sicherer zu machen.
In den letzten Jahren haben Smartphones, Phablets und Tablets vermehrt Einzug in die Geschäftswelt gehalten. Auch in der Bundesverwaltung besteht ein erhöhter Bedarf zur Nutzung mobiler Endgeräte, der auch die Speicherung und Verarbeitung sensibler Informationen umfasst. Aufgrund von Art und Umfang der anfallenden Daten können daher vielfältige Bedrohungen und Risiken entstehen. Aber auch die Komplexität – verursacht durch eine Vielzahl von installierten Applikationen und zahlreichen Ökosystemen - bildet einen entscheidenden Einflussfaktor für die potenzielle Bedrohungslage. Dieser muss auch mit technischen Hilfsmitteln begegnet werden.
Mithilfe von Systemen für Mobile Device Management (MDM) können mobile Endgeräte in die IT-Infrastruktur einer Stelle des Bundes integriert und zentral verwaltet werden. Mit Blick auf die Sicherheit ist die Kernfunktion des MDM-Systems die wirksame Durchsetzung definierter Sicherheitsrichtlinien und Konfigurationsparameter auf die mobilen Endgeräte. Der Mindeststandard definiert daher funktionale und nicht-funktionale Mindestsicherheitsanforderungen, die ein MDM-System zu erfüllen hat, wenn es in einer Stelle des Bundes eingesetzt werden soll. Diese können somit bereits im Rahmen eines Vergabeverfahrens herangezogen werden.
Darüber hinaus stellt der Mindeststandard auch Sicherheitsanforderungen an den Betrieb des MDM. Durch die Umsetzung sowohl technischer als auch organisatorischer Maßnahmen ermöglicht der Mindeststandard die Erreichung eines Mindestsicherheitsniveaus beim Einsatz eines MDM.
Bundesamt für Sicherheit in der Informationstechnik
(Foto: © Mihai Simonia/Fotolia.com)