Holger Schildt, Referatsleiter "BSI-Standards und IT-Grundschutz", leitet das für den IT-Grundschutz zuständige Referat und ist unter anderem für die BSI-Standards und die IT-Grundschutz-Bausteine verantwortlich. Im Gespräch erläutert er, wie sich die Sicherheit mobiler Geräte - egal ob Smartphone oder Laptop - mit dem IT-Grundschutz erhöhen lässt.
Herr Schildt, was ist das Besondere beziehungsweise das Charakteristische am IT-Grundschutz des BSI?
Der IT-Grundschutz ist eine ganzheitliche Vorgehensweise, um Informationssicherheit aufzubauen und zu optimieren. Es geht nicht darum, nur eine einzelne technische Maßnahme wie Virenschutz zu ergreifen, sondern behandelt zum Beispiel auch notwendige organisatorische, personelle und infrastrukturelle Maßnahmen, um IT-Sicherheit in der ganzen Breite zu erreichen. Einzelne Speziallösungen decken das nicht ab. Genauer gesagt, geht es sogar nicht nur um IT-Sicherheit, sondern um Informationssicherheit. Das reicht wesentlich weiter. Was nutzen beispielsweise die besten Informationen, wenn sie auf einem Ausdruck im Drucker auf dem Flur vergessen werden. Zur Umsetzung empfiehlt sich aufgrund der hohen Komplexität ein Managementsystem für Informationssicherheit (ISMS). Das IT-Grundschutz-Kompendium beinhaltet inzwischen 94 Bausteine, Tendenz steigend. Ob Drucker oder Telefon, alles wird erfasst und geschützt.
Wie können sich Interessierte dem IT-Grundschutz am besten nähern?
Es gibt Einstiegshilfen, die zeigen, wie am besten mit dem IT-Grundschutz begonnen werden kann. Wir haben den IT-Grundschutz 2017 grundlegend modernisiert, jetzt ist es noch einfacher. Unter anderem bieten wir die drei Vorgehensweisen Basis-, Kern- und Standard-Absicherung an, um sich nach den individuellen Bedürfnissen und Sicherheitsanforderungen mit dem IT-Grundschutz zu befassen. Die Bausteine sind übersichtlicher und kürzer geworden, die Inhalte insgesamt verschlankt und besser zu aktualisieren.
Uns geht es auch darum, zu zeigen, wie sich eine Institution selbst schützen kann, ohne gleich zwingend einen Berater zu benötigen. Wenn dennoch ein geeigneter IT-Grundschutz-Berater notwendig ist, hat das BSI hierfür ein Qualifizierungsverfahren erarbeitet. Wenn Sie den IT-Grundschutz komplett umsetzen, dann ist eine Zertifizierung nach ISO-27001 auf der Basis nach IT-Grundschutz keine Hürde mehr. Sie könnten sich dazu einen externen Auditor ins Haus holen, der einen Bericht erstellt und dem BSI vorgelegt.
Was sind aktuell die größten Gefahren für mobile Geräte?
Der Klassiker ist der Verlust von Geräten auf Flughäfen, in der Bahn oder an anderen Orten. Viele vergessen auch, dass sie beim Telefonieren in der Öffentlichkeit ungeschützt Informationen offenbaren. Es ist immer eine potenzielle Gefährdung, wenn IT-Geräte außerhalb einer geschützten Umgebung benutzt werden. Hinzu kommen noch die klassischen Probleme, wie veraltete Software, insbesondere bei Smartphones.
Können Sie kurz die wichtigsten Schutzvorkehrungen für mobile Geräte benennen?
Auch dieses Thema muss ganzheitlich betrachtet werden. Es nutzt wenig, wenn ich ein einzelnes Gerät geschützt habe, aber die Server, auf die ich darüber zugreife, sind ungeschützt. Bei der Auswahl von Geräten muss sichergestellt werden, dass Updates über den gesamten Nutzungszeitraum verfügbar sind. Ansonsten sind es auch hier wieder die Klassiker: patchen, Backups erstellen und so weiter.
Außerdem sollten sie in ein bestehendes ISMS integriert werden und dürfen nicht als Insellösung betrachtet werden. Der Schutz mobiler Geräte muss zum Sicherheitskonzept der Firma passen.
Wie erreicht man eine ganzheitliche Herangehensweise beim Schutz mobiler IT-Geräte?
Das ist zunächst mal abhängig von der Größe des Unternehmens. Im IT-Grundschutz sind konkrete Maßnahmen und Anforderungen zu finden. Größere Institutionen setzen zum Beispiel ein Mobile-Device-Management (MDM) ein. Damit lassen sich Smartphones oder Tablets zentral kontrollieren und konfigurieren. Kleinere Unternehmen werden ihre Geräte eher manuell managen, etwa Patchen und Updaten oder Daten sichern.
Ein MDM benötigt personelle und finanzielle Ressourcen, die Maßnahme muss daher zur Zielgruppe passen. Wir geben im IT-Grundschutz dazu passende Empfehlungen, auch zur Auswahl eines MDM. Wenn Sie bereits ein MDM einsetzen, berücksichtigen Sie den Baustein SYS.3.2.2 Mobile Device Management (MDM) für die Absicherung eines MDM.
Existieren bei mobilen Geräten spezifische Differenzierungen?
Wir haben unter anderem spezielle Bausteine für iOS und für Android. Wir unterteilen immer zwischen Basis-Anforderungen - das sind die wichtigsten Schritte, die vorrangig umgesetzt werden müssen – und den darauf aufbauenden Standard-Anforderungen. Bei Tablets gehört zu den Basis-Anforderungen beispielsweise, dass eine Bildschirmsperre eingerichtet werden muss und Software regelmäßig zu aktualisieren ist. Damit muss angefangen werden.
Zu den Standard-Anforderungen gehört hingegen die Verschlüsselung des Gerätespeichers oder biometrische Verfahren. Bei biometrischen Verfahren sollte man jedoch vorab prüfen, ob die wirklich sicher sind. Bei einigen Geräten reicht ein vor die Kamera gehaltenes Foto des Besitzers aus, um es zu entsperren. Außerdem sollten Sprachassistenten nur aktiviert werden, wenn sie benötigt werden.
Unterscheiden Sie bei mobilen Geräten zwischen Varianten und Typen, wie Laptops und Smartphones?
Wir haben jeweils eigene IT-Grundschutz-Bausteine, beispielsweise für Laptops und Smartphones. Denn die Schwerpunkte sind unterschiedlich. Bei Laptops sind der Virenschutz und die Datensicherung ein großes Thema, insbesondere bei Laptops, die nicht permanent am Netz hängen. Das ist bei Smartphones anders, auf denen werden auch keine langen Texte geschrieben. Laptops arbeiten auf Fileservern, auch das ist bei Smartphones anders. Ein Smartphone haben Sie wahrscheinlich immer in der Jackentasche, den Laptop nehmen Sie hingegen nur mit, wenn Sie ihn brauchen, sonst liegt er vielleicht ungeschützt im Hotelzimmer. Aus all diesen Punkten ergeben sich andere Sicherheitsanforderungen.
Ganz wichtig ist, bei mobiler Nutzung die Sicherheitsmaßnahmen nicht nur auf die Technik zu beschränken, sondern auch an organisatorische Aspekte wie etwa Diebstahlschutz oder Anwenderschulungen zu denken.
Wir haben einen Online-Kurs auf unseren Webseiten im Angebot. Dort lernt man, wie der IT-Grundschutz funktioniert und wie die passenden Bausteine ausgewählt werden. Alle unsere Informationen stehen kostenlos zur Verfügung.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg