computerwoche.de

Enterprise Mobility Management

Aktualisierung des BSI

Neuer Mindeststandard für Mobile Device Management

20.09.2022
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Alle Posts des Autors Email: Connect:
Das BSI hat seinem Leitfaden für die Mindestanforderungen an MDM-Systeme und deren Betrieb für Behörden ein längst überfälliges Update verpasst.
Auch in deutschen Amtsstuben kommen immer häufiger Tablets und Smartphones zum Einsatz. Das BSI hat nun die Mindestanforderungen für deren Verwaltung neu festgelegt.
Auch in deutschen Amtsstuben kommen immer häufiger Tablets und Smartphones zum Einsatz. Das BSI hat nun die Mindestanforderungen für deren Verwaltung neu festgelegt.
Foto: Dragon Images - shutterstock.com

Fünf Jahre nach der ersten Veröffentlichung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Anforderungskatalog nach §8 BSI-Gesetz (BSIG) für den Einsatz von Mobile Device Management (MDM) auf Version 2.0 aktualisiert.

In dem - längst überfälligen - Update definiert das BSI auf 24 Seiten (statt zuvor 13 Seiten) funktionale und nicht-funktionale Mindestsicherheitsanforderungen, die ein MDM-System zu erfüllen hat, wenn es in einer Stelle des Bundes eingesetzt werden soll. Darüber hinaus stellt der Mindeststandard auch Sicherheitsanforderungen an den Betrieb des MDM. Werden die im Mindeststandard aufgeführten technischen und organisatorischer Maßnahmen umgesetzt, so das BSI, erreiche man ein Mindestsicherheitsniveau beim Einsatz eines MDM.

Sicherheitsleitfaden - nicht nur für Behörden

Wenngleich sich der Leitfaden in erster Linie an die Nutzung eines MDM-Systems in Behörden richtet, eignet er sich auch für Unternehmen - ähnlich wie andere BSI-Vorgaben - zur Orientierung. In Version 2.0 ist dies sogar noch deutlich einfacher geworden, da das BSI die Struktur von Grund auf neu und übersichtlicher gestaltet hat. Außerdem wurde eine Referenztabelle (Excel) neu erstellt, die auf die entsprechenden Bausteine im IT-Grundschutz-Kompendium verweist.

Inhaltlich hat das BSI viele Sicherheitsanforderungen aktualisiert und in Bereichen wie Strategie, Arbeitsweise, Konfiguration und Betriebsprozesse erweitert sowie mit dem kürzlich veröffentlichten Common-Criterial-Schutzprofil für Mobile Device Management - Trusted Server abgeglichen. Außerdem wurden die Sicherheitsanforderungen stärker mit den IT-Grundschutzbausteinen SYS.3.2.2 "Mobile Device Management (MDM)" und SYS.3.2.1 "Allgemeine Smartphones und Tablets" verzahnt.

Interessanterweise kommen in dem Leitfaden erstmals auch Begriffe wie Betriebsmodell oder BYOD vor. Außerdem schreibt das BSI vor, dass die Einrichtung bereits bei der Auswahl zu beschaffender mobiler Endgeräte darauf achten MUSS, dass der Hersteller über den geplanten Nutzungszeitraum Sicherheitsaktualisierungen für die Geräte bereitstellt. In Version 1 hieß es hier lediglich, dass MDMs und mobile Endgeräte, für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, aus dem Betrieb zu nehmen sind.

Sämtliche vorgenommenen Anpassungen können IT-Manager von Behörden und Unternehmen in der Änderungsübersicht zum Mindeststandard für Mobile Device Management einsehen.