Schon in 2017 ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der Mindeststandard für Mobile Device Management veröffentlicht worden, dem nun im September 2022 die Version 2.0 folgte (siehe [1]). Diese neue Version wurde sowohl in Bezug auf die Strukturierung der Anforderungen überarbeitet als auch an die Struktur des BSI-IT-Grundschutz-Kompendiums angepasst. Die Änderungen sind auf einer separaten Webseite übersichtlich dargestellt (siehe [2]). Im Folgenden wird der Mindeststandard für MDM in der Version 2.0 genauer betrachtet.
Zunächst wird eine Definition der im Rahmen des Mindeststandards genutzten Begrifflichkeiten gegeben. Hierbei wird unter anderem deutlich, dass sich der Mindeststandard lediglich auf MDM-Lösungen bezieht und somit die Verwaltung und Konfiguration von mobilen Endgeräten behandelt. Darüber hinaus gehende Funktionen, die beispielsweise moderne Unified-Endpoint-Management-Lösungen bieten, wie Mobile Content Management sowie erweiterte Verwaltungsfunktionen für Applikationen, sind nicht Gegenstand des Mindeststandards für MDM. Ebenso werden keine spezifischen Anforderungen für Bring Your Own Device (BYOD), z.B. private Geräte, die im Unternehmensumfeld genutzt werden, formuliert. Diese beiden Umstände schränken die Anwendbarkeit des Mindeststandards ein, denn schließlich bieten moderne MDM-Lösungen mittlerweile eine Reihe weiterer Funktionen. Daher spricht man auch von Unified Endpoint Management als Weiterentwicklung des Mobile Device Management (siehe [3]). Zudem werden in einigen Unternehmen durchaus private Geräte mithilfe von BYOD eingesetzt, denn so können die Mitarbeiter ihre präferierten Geräte auch für dienstliche Zwecke verwenden.
Im Anschluss an die Abgrenzungen werden Sicherheitsanforderungen an ein MDM-System, dessen Betrieb sowie die Verwaltung mobiler Endgeräte aufgestellt. Diese Anforderungen sind thematisch sortiert und nach folgendem Schema nummeriert: MDM.<Kapitel>.
- Strategie
- Arbeitsweise des MDM-Systems
- Audit
- Services des MDM-Anbieters
- Vertrauenswürdige Kommunikation
- Sichere Konfiguration der mobilen Endgeräte
- Applikationsverwaltung
- Betriebsprozesse
Die Anforderungen adressierten neben dem MDM-System selbst sowohl die Einrichtung, die das MDM-System nutzt, als auch den MDM-Anbieter (Hersteller) und den Betreiber des MDM-Systems. Eine Tabelle am Ende des Mindeststandards ordnet die Anforderungen den jeweiligen Adressaten zu. Dadurch wird die Anwendung des Mindeststandards für die umsetzende Stelle erleichtert. Die aufgeführten Anforderungen decken den gesamten Lebenszyklus von mobilen Endgeräten ab, angefangen von der Inbetriebnahme über die Konfiguration und Inventarisierung bis hin zur Außerbetriebnahme der Geräte. Dadurch können beispielsweise für eine Beschaffung einer MDM-Lösung entsprechende funktionale Anforderungen an eine MDM-Lösung abgeleitet werden. Zudem werden organisatorische Anforderungen wie eine Sensibilisierung der Nutzer sowie eine regelmäßige Überprüfung der Konfiguration sowohl des MDM-Systems selbst als auch der mobilen Endgeräte formuliert.
Aufgrund der getroffenen Abgrenzungen beschreibt der Mindeststandard jedoch lediglich grundlegende Anforderungen an ein Management-System für mobile Endgeräte sowie die installierten Applikationen und die gespeicherten Daten. Für eine umfassende Absicherung sollten daher auch weitergehende Funktionen betrachtet und in Anlehnung an die im Mindeststandard geforderten Anforderungen unter Berücksichtigung von relevanten Anwendungsszenarien vor der Beschaffung bzw. dem Betrieb einer UEM-Lösung definiert werden.
Verweise
[3] https://www.comconsult.com/mobile-device-management-unified-endpoint-management/
