Strenge BSI-Sicherheitsrichtlinien

Kommunalverwaltung nutzt Smartphones

11.01.2011
Von Johannes Klostermeier

Sicherheit nach BSI-Grundschutz gefordert

Rackow: „Eine Herausforderung waren die vom Datenschutzbeauftragten geforderten und vom BSI empfohlenen Sicherheitsmaßnahmen für Smartphones. Danach musste die Datenverschlüsselung auf allen PDAs und Smartphones auch mit älteren Windows Mobile Versionen beim automatisierten Rollout sichergestellt werden.“ Geräteausfälle und das Umgehen der kommunalen Sicherheitseinstellungen auf den mobilen Geräten durch die Benutzer galt es zu verhindern.

Im Frühjahr 2009 erfolgte die Implementierung der Suite. Nach der Installation wurde ein einmonatiger Testlauf durchgeführt. Danach wurden die Benutzer in das System aufgenommen. Für jedes Amt und jeden Fachbereich gibt es eine eigene Benutzergruppe, dort sind auch die Konfigurationen für die Benutzergruppen mit Programmen und Einstellungen hinterlegt. Grundsätzlich enthalten alle Benutzerprofile die Einstellungen für das Windows Exchange Pushmail, ein vereinfachtes GUI und umfassende Sicherheitsfunktionen.

Die Sicherheitspolicies gemäß BSI-Grundschutz und sonstiger BSI-Empfehlungen für Smartphones konnte Rackow damit umsetzen. Per Konfigurationsparameter sind Bluetooth, die Internetrouterfunktion und FM Radio deaktiviert, die Windows Mobile 6.1-eigene Geräteverschlüsselung eingeschaltet und das Installieren sowie Deinstallieren von Software durch den Benutzer gesperrt.

Ebenso sind der Benutzerzugriff auf die Registry und andere sicherheitsrelevante Einstellungen der Systemsteuerung gesperrt. Für die einheitliche Umsetzung der Policy auf allen Smartphones und PDAs sorgt die zentrale Plattform. Zu den Sicherheitsrichtlinien gehört auch, dass der Einsatz mobiler Anwendungen zentral genehmigt werden muss. So ist bei den Führungskräften der Verwaltung Google Maps Mobile beliebt; deswegen wurde es zentral ausgerollt.

Bei der Stadt Hannover erhalten die Mitarbeiter sofort einsatzbereite Smartphones vom Administrator. Er entfernt die PIN-Sperre der SIM-Karte, öffnet im Internet Explorer das Provisioning und gibt den Benutzernamen, das Aktivierungspasswort sowie den Domän-Nmen ein. Das Programm installiert und konfiguriert dann automatisiert Software, Einstellungen und Zertifikate auf dem Smartphone. Der Mitarbeiter gibt das Windows-Kennwort ein und kann danach auf seine E-Mails oder Termine zugreifen. Jeder mobile Mitarbeiter kann das Telefon- und Adressbuch der Kommunalverwaltung auf seinem mobilen Gerät nutzen.