Fünf Jahre nach der ersten Veröffentlichung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Anforderungskatalog nach §8 BSI-Gesetz (BSIG) für den Einsatz von Mobile Device Management (MDM) auf Version 2.0 aktualisiert.
In dem - längst überfälligen - Update definiert das BSI auf 24 Seiten (statt zuvor 13 Seiten) funktionale und nicht-funktionale Mindestsicherheitsanforderungen, die ein MDM-System zu erfüllen hat, wenn es in einer Stelle des Bundes eingesetzt werden soll. Darüber hinaus stellt der Mindeststandard auch Sicherheitsanforderungen an den Betrieb des MDM. Werden die im Mindeststandard aufgeführten technischen und organisatorischer Maßnahmen umgesetzt, so das BSI, erreiche man ein Mindestsicherheitsniveau beim Einsatz eines MDM.
Sicherheitsleitfaden - nicht nur für Behörden
Wenngleich sich der Leitfaden in erster Linie an die Nutzung eines MDM-Systems in Behörden richtet, eignet er sich auch für Unternehmen - ähnlich wie andere BSI-Vorgaben - zur Orientierung. In Version 2.0 ist dies sogar noch deutlich einfacher geworden, da das BSI die Struktur von Grund auf neu und übersichtlicher gestaltet hat. Außerdem wurde eine Referenztabelle (Excel) neu erstellt, die auf die entsprechenden Bausteine im IT-Grundschutz-Kompendium verweist.
Inhaltlich hat das BSI viele Sicherheitsanforderungen aktualisiert und in Bereichen wie Strategie, Arbeitsweise, Konfiguration und Betriebsprozesse erweitert sowie mit dem kürzlich veröffentlichten Common-Criterial-Schutzprofil für Mobile Device Management - Trusted Server abgeglichen. Außerdem wurden die Sicherheitsanforderungen stärker mit den IT-Grundschutzbausteinen SYS.3.2.2 "Mobile Device Management (MDM)" und SYS.3.2.1 "Allgemeine Smartphones und Tablets" verzahnt.
Interessanterweise kommen in dem Leitfaden erstmals auch Begriffe wie Betriebsmodell oder BYOD vor. Außerdem schreibt das BSI vor, dass die Einrichtung bereits bei der Auswahl zu beschaffender mobiler Endgeräte darauf achten MUSS, dass der Hersteller über den geplanten Nutzungszeitraum Sicherheitsaktualisierungen für die Geräte bereitstellt. In Version 1 hieß es hier lediglich, dass MDMs und mobile Endgeräte, für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, aus dem Betrieb zu nehmen sind.
Sämtliche vorgenommenen Anpassungen können IT-Manager von Behörden und Unternehmen in der Änderungsübersicht zum Mindeststandard für Mobile Device Management einsehen.