BSI veröffentlicht Mindeststandard für Mobile Device Management

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt sich des Einsatzes von mobilen Geräten bei Bundesbehörden an: Das vom BSI formulierte Regelwerk betrachtet das Management von Smartphones, Phablets und Tablets mit Android, iOS oder BlackBerry-Betriebssystem, nicht aber solche mit Windows.

Der Mindeststandard benennt lediglich Regeln für das Gerätemanagement, spart aber die eigentlichen Applikationen aus. Überraschenderweise regelt er nicht die Trennung privater und dienstlicher Daten.

Von schlicht bis kompliziert ...

Manche Regeln des BSI-Mindeststandards für MDM-Systeme sind eher schlicht, so etwa die Regel 30: "Das MDM muss von geschulten Administratoren bedient werden." Andere haben es dagegen in sich. So fordert Regel 35, dass MDMs und mobile Endgeräte, für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, aus dem Betrieb zu nehmen sind.

Mobile Geräte mit Jailbreak oder Root-Zugriff sieht der Standard als kompromittiert an; das MDM muss diese Geräte erkennen und ausschließen (Regel 4). In Regel 16 fordert der Standard, dass das MDM-System die Verschlüsselung des nichtflüchtigen Speichers inklusive Speicherkarten durchsetzen kann und impliziert damit, dass Geräte generell grundverschlüsselt sein sollen, ohne dies explizit zu fordern.

Erste Orientierung

Der als Version 1 veröffentliche Standard erscheint als gute Orientierung, wie man mobile Geräte managen kann. Er greift aber bei vielen Anforderungen zu kurz, etwa der Frage, wie man mobile Anwendungen mit Backend-Systemen verbinden kann und wie diese Verbindungen zu schützen sind.

Der Standard bleibt mit seinem Fokus auf die MDM-Komponente weit hinter den technischen Möglichkeiten zurück, die aktuelle EMM-Systeme (Enterprise Mobility Management) bieten (vowe)