• Gut zu sehen, was schon geschafft ist. Besser zu wissen was noch vor uns liegt.
  • Präzision, perfektes Timing und der Blick für das Wesentliche.
  • Im richtigen Moment das Richtige tun. Das unterscheidet die Besten von den Guten.
  • Ziele erreichen mit einem zuverlässigen Partner an der Seite.
Focus MDM

BSI schreibt verbindliche Mindeststandards für Mobile Device Management vor

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 16. Mai 2017 die Version 1.0 seines Mindeststandards für das Mobile Device Management mit 40 dezidierten Sicherheitsanforderungen veröffentlicht (abrufbar auf der Webseite des BSI). Der Mindeststandard stellt eigentlich „nur“ eine Vorgabe für Stellen des Bundes dar – wirkt sich aber auch außerhalb dieser sowohl auf Anbieter- als auch Abnehmerseite aus.

Auswirkungen auf MDM

Von dem Standard unmittelbar betroffen sind die Lieferanten und Dienstleister von Bundesstellen, die in die Bereitstellung und/oder den Betrieb von Mobile Device Management eingebunden sind bzw. Angebote für entsprechende Leistungen (seien das Dienstleistungen oder die Bereitstellung entsprechender MDM-Software) z.B. in Vergabeverfahren abgeben. Sie werden direkt mit den neuen Mindeststandards konfrontiert werden.

Erfahrungsgemäß werden von dem BSI erarbeitete Mindeststandards aber auch abseits der betroffenen Stellen des Bundes berücksichtigt. Einerseits bietet sie den Anbietern entsprechender Leistungen und Software die Möglichkeit anhand konkreter, vorgegebener Kriterien die Sicherheit ihrer Produkte ggf. zu verbessern bzw. die Sicherheit ihrer Produkte durch Einhaltung der Anforderungen zu demonstrieren. Andererseits bieten sie allen Anwendern und Abnehmern von Mobile Device Management Leistungen die Chance, die vom BSI definierten Anforderungen als weitere Element eines Kriterienkatalogs für die Überprüfung bestehender oder einzuführender MDM-Systeme einzusetzen. Entsprechend ist davon auszugehen, dass Anbieter von MDM-Leistungen zeitnah mit den Anforderungen der Mindeststandards konfrontiert werden. Im Ergebnis ist sowohl Anbietern von MDM-Leistungen (unabhängig davon ob sie für Stellen des Bundes entsprechende Leistungen erbringen) als auch Anwendern von MDM-Systemen zu empfehlen, eine Überprüfung ihrer Systeme bzw. Produkte anhand der neuen Mindeststandards vorzunehmen, um ggf. notwendige Nachbesserungen vorzunehmen, bzw. diese bei einer anstehenden Ausschreibung / Angebotseinholung zu berücksichtigen.

Technische und organisatorische Vorgaben

Schon bei erster Durchsicht der Mindestanforderungen des BSI für MDM zeigt sich, dass diese Regelungen sämtliche Elemente des MDM erfassen – und dazu sowohl technische als auch organisatorische Vorgaben machen. Klar adressiert sind eine Reihe funktionaler Sicherheitsanforderungen an das zentrale MDM-Tool und den MDM-Client auf den Endgeräten. Ebenso erfasst sind auch Sicherheits- und Organisationsanforderungen für Betrieb und Umsetzung des Systems sowie die eingebundenen Dienstleister. So ist beispielsweise durch Ziffer MDM.03 des Mindeststandards vorgegebenen, dass im Falle der Verwaltung mehrerer Mandanten auf einem MDM eine Mandantentrennung sichergestellt sein muss. Die Ziffern MDM.13 und MDM.14 wiederum machen Vorgaben für eine Remote-Wipe-Funktionalität (die zwingend notwendig ist), den Unenrollment-Prozess und eine Remote-Lock-Funktionalität. Aber auch Dokumentationspflichten für das System (und damit dessen Anbieter) werden gemacht (u.a. durch die Ziffern MDM.20 und MDM.22).

Sorgfältige Auswahl von MDM-Lösungen

Die Mindeststandards umfassen teilweise auch Anforderungen, die nicht originär an das MDM-System und seine Anbieter gerichtet sind, sondern z.B. den Einsatz der verwalteten Endgeräte und deren Auswahl betreffen. So bestimmt z.B. Ziffer MDM.35 u.a., dass „MDMs und mobile Endgeräte, für die keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden, […] aus dem Betrieb zu nehmen“ sind. Damit wird durch die „Hintertür“ der Mindestanforderungen an MDMs eine Anforderung an Endgeräte aufgestellt, die z.B. den Einsatz von Smartphones unterbindet, die aus Sicht der Anbieter „veraltet“ sind und daher nicht mehr mit Updates versorgt werden. Ein weiteres Beispiel ist Ziffer MDM.38, wonach „ausschließlich sicherheitsgeprüfte Applikationen bereitgestellt werden dürfen. Dies kann durch einen definierten Freigabeprozess mit geeigneten Bewertungskriterien sichergestellt werden. Die Nutzung von vorinstallierten Applikationen und Online-Diensten, insbesondere von externen cloudbasierten Diensten muss bewertet und im Bedarfsfall systemseitig verhindert werden“. Vor diesem Hintergrund ist auch Anbietern von zu verwaltenden Endgeräten ebenso wie von Applikationen sowie sonstigen Leistungen, die für solche Endgeräte bestimmt sind und damit nur „indirekt“ mit einem MDM-System in Berührung kommen, zu empfehlen, sich mit den neuen Mindeststandards auseinanderzusetzen und ihre eigenen Leistungen entsprechend zu prüfen.

Dr. Michael Rath
Partner
michael.rath(at)luther-lawfirm.com
Telefon +49 221 9937 25795



Dirk von Diringshofen
Senior Associate
dirk.von.diringshofen(at)luther-lawfirm.com
Telefon +49 69 27229 11136