Rechtsgebiet 16: Datenschutzcompliance – BSI veröffentlicht Mindeststandard für Mobile Device Management

18. August 2017 in Kategorie Compliance, Regulierungsmonitor

Beschreibung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach § 8 BSIGesetz (BSIG) für Mobile Device Management (MDM) veröffentlicht. Der Mindeststandard definiert funktionale und nicht-funktionale Mindestsicherheitsanforderungen, die ein MDM-System zu erfüllen hat. Darüber hinaus stellt der Mindeststandard auch Sicherheitsanforderungen an den Betrieb des MDM.

Durch die Umsetzung sowohl technischer als auch organisatorischer Maßnahmen ermöglicht der Mindeststandard die Erreichung eines Mindestsicherheitsniveaus beim Einsatz eines MDM. Mithilfe von Systemen für MDM können mobile Endgeräte wie Smartphones, Phablets und Tablets in die IT-Infrastruktur integriert und zentral verwaltet werden. Mit Blick auf die Sicherheit ist die Kernfunktion des MDM-Systems die wirksame Durchsetzung definierter Sicherheitsrichtlinien und Konfigurationsparameter auf die mobilen Endgeräte.

Hinsichtlich seiner Umsetzung richtet sich der Mindeststandard an IT-Verantwortliche, IT-Sicherheitsbeauftragte (bzw. Informationssicherheitsbeauftragte) und IT-Fachkräfte sowie mit der Beschaffung beauftragte Stellen. Anbieter von MDMs und andere Interessierte können diesen Mindeststandard zur Erhöhung der Informationssicherheit oder zum Abgleich ihrer Angebote heranziehen.

PRAXISTIPP

Der Einsatz eines MDM stellt nur einen Baustein des Gesamtkonzeptes des sicheren mobilen Arbeitens dar. Weitere Bausteine sind u. a. die Auswahl sicherheitsgeprüfter Applikationen oder der Einsatz von sicheren Lösungen für die PIM-Datenverarbeitung. Überschneidungen mit dem Mobile Application Management (MAM) und weiteren Bausteinen sind aufgrund der engen Verzahnung möglich. Im Fokus des Mindeststandards stehen jedoch Sicherheitsanforderungen für MDMs. Dabei setzt dieser Mindeststandard die IT-Grundschutz-Vorgehensweise des BSI zum Management der Informationssicherheit voraus. Er gilt für alle Schutzbedarfskategorien.

Vor dem Hintergrund, dass immer mehr Mobile Geräte in den Institute zum Einsatz kommen oder deren Einsatz geplant ist, sollten die hiervon betroffenen Banken diesen Standard in ihren IT-strategischen Überlegungen einbeziehen bzw. in der eigenen IT-Strategie berücksichtigen. In diesem Zusammenhang sollten Sie Ihre Überlegungen gut dokumentieren und Antworten liefern, z. B. zu folgenden Fragen:

  • Welche Geräte kommen in Frage und warum diese und nicht andere: hier sind insbesondere technischen Aspekte und die daraus resultierenden Risiken zu betrachten.
  • Gibt es bereits Richtlinien die die Vergabe, die Anbindung an die bestehende Infrastruktur und die Anwendung von Applikationen (z. B. dienstliche und/oder private Nutzung) regeln?
  • Muss das bestehende IT-Berechtigungsmanagement entsprechend angepasst werden?
  • Ist in diesem Zusammenhang auch die Nutzung von Cloud-Diensten vorgesehen?
  • Ist es sichergestellt, dass der Lebenszyklus einschließlich Konfigurationshistorie der mobilen Endgeräte ausreichend protokolliert und zentral abrufbar ist?
  • Wie ist der Zugang und Umgang mit sensiblen Daten/Informationen geregelt, insbesondere beim Gerätverlust? Ist eine Fernlöschung technisch möglich und organisatorisch festgelegt?

SEMINARTIPP

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL Regulierungsmonitor,
Ausgabe Juli/August 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>