Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 3.405 PDA - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.405 PDA

Logo PDA

Beschreibung

Dieser Baustein beschäftigt sich mit handtellergroßen, mobilen Endgeräten zur Datenerfassung, -bearbeitung und -kommunikation, die im folgenden der einfacheren Lesbarkeit halber alle als PDAs (Personal Digital Assistant) bezeichnet werden. Diese gibt es in verschiedenen Geräteklassen, die sich nach Abmessungen und Leistungsmerkmalen unterscheiden, dazu gehören unter anderem:

Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. PDA- und Mobiltelefon-Funktionalitäten werden in zunehmendem Maß kombiniert.

Eine typische Anforderung an PDAs ist die Nutzung von Standard-Office-Anwendungen auch unterwegs. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-, Tabellenkalkulations-, E-Mail- bzw. Kalenderprogrammen angeboten. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswörtern), Speicherung von Patientendaten oder die Führung von Kundenkarteien.

In diesem Kapitel werden diejenigen IT-Sicherheitseigenschaften von PDAs betrachtet, die für die Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zum Einsatz von PDAs innerhalb einer Organisation erstellt und wie dessen Umsetzung und Einbettung sichergestellt werden kann.

Gefährdungslage

Für den IT-Grundschutz werden im Rahmen der Nutzung von PDAs folgende typische Gefährdungen angenommen:

Höhere Gewalt:

- G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel:

- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten

Menschliche Fehlhandlungen:

- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.43 Ungeeigneter Umgang mit Passwörtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
- G 3.76 Fehler bei der Synchronisation mobiler Endgeräte

Technisches Versagen:

- G 4.42 Ausfall des Mobiltelefons oder des PDAs
- G 4.51 Unzureichende Sicherheitsmechanismen bei PDAs
- G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen:

- G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Computer-Viren
- G 5.123 Abhören von Raumgesprächen über mobile Endgeräte
- G 5.124 Missbrauch der Informationen von mobilen Endgeräten
- G 5.125 Unberechtigte Datenweitergabe über mobile Endgeräte
- G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

  1. Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können, sollte ein Konzept erstellt werden, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten (siehe M 2.304 Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung ).
  2. Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.305 Geeignete Auswahl von PDAs ).
  3. Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten (PDA, Synchronisationssoftware, Software zum zentralen PDA-Management) unterschiedlich konfiguriert werden. Dies betrifft vor allem die PDAs selber (siehe M 4.228 Nutzung der Sicherheitsmechanismen von PDAs ), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von PDAs ) und gegebenenfalls spezielle Software zum zentralen PDA-Management.

Damit PDAs sicher eingesetzt werden können, müssen auch damit gekoppelte Arbeitsplatz-Rechner und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein.

Geeignete IT-Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in den Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Einsatz von PDAs vorgestellt.

Planung und Konzeption:

- M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
- M 2.303 (A) Festlegung einer Strategie für den Einsatz von PDAs
- M 2.304 (A) Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung

Beschaffung:

- M 2.305 (B) Geeignete Auswahl von PDAs
- M 4.231 (Z) Einsatz zusätzlicher Sicherheitswerkzeuge für PDAs

Umsetzung:

- M 5.121 (B) Sichere Kommunikation von unterwegs

Betrieb:

- M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
- M 4.3 (A) Regelmäßiger Einsatz eines Anti-Viren-Programms
- M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.228 (A) Nutzung der Sicherheitsmechanismen von PDAs
- M 4.229 (C) Sicherer Betrieb von PDAs
- M 4.230 (Z) Zentrale Administration von PDAs
- M 4.232 (Z) Sichere Nutzung von Zusatzspeicherkarten
- M 4.255 (A) Nutzung von IrDA-Schnittstellen

Aussonderung:

- M 2.306 (A) Verlustmeldung

Notfallvorsorge:

- M 6.95 (C) Ausfallvorsorge und Datensicherung bei PDAs