datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert – Anfor­de­rungs­kri­te­ri­en der tech­ni­schen Ana­ly­se

Wir freu­en uns über die offi­zi­el­le Zer­ti­fi­zie­rung von datomo Mobi­le Device Manage­ment (wie wir im Bei­trag datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert schon aus­führ­lich berich­tet haben). Damit ist datomo Mobi­le Device Manage­ment der­zeit die ers­te MDM-Lösung, die durch­gän­gig TÜV zer­ti­fi­ziert ist.

datomo Mobi­le Device Manage­ment bie­tet geprüf­ten Daten­schutz, geprüf­te Daten­si­cher­heit sowie geprüf­te Schutz­me­cha­nis­men, wie offi­zi­ell mit die­ser TÜV-Zer­ti­fi­zie­rung durch den TÜV TRUST IT aus Köln (Unter­neh­mens­grup­pe TÜV Aus­tria) bestä­tigt wird. Mit die­sem Allein­stel­lungs­merk­mal kann der Vor­sprung vor den Markt­be­glei­tern wei­ter aus­ge­baut wer­den, der­zeit kann nie­mand eine Zer­ti­fi­zie­rung mit ver­gleich­ba­rem Umfang sei­ner MDM Lösung anbie­ten.

Die Prü­fung und Zer­ti­fi­zie­rung der datomo Appli­ka­tio­nen basiert auf ver­schie­de­nen ISO Richt­li­ni­en, auf Grund­la­gen aus der IT Infra­st­ruc­tu­re Libra­ry sowie den best prac­tices des TÜV. Alle Kri­te­ri­en aus dem sehr umfang­rei­chen Anfor­de­rungs­ka­ta­log wur­den vor dem Hin­ter­grund der Sicher­heit von Online Appli­ka­tio­nen aus­ge­wählt. Die so zer­ti­fi­zier­te Lösung stellt Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät sicher.

Im Ein­zel­nen lässt sich die Zer­ti­fi­zie­rung in fol­gen­de 3 Berei­che unter­glie­dern:

  • All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung
  • Tech­ni­sche Über­prü­fung der Appli­ka­ti­on
  • Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men

Die Anfor­de­rungs­kri­te­ri­en, die unter „All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung“ fal­len wur­den bereits im oben ver­link­ten Bei­trag hier im Pre­tio­so-Blog erläu­tert.

Im Fol­gen­den gehen wir auf die Anfor­de­rungs­kri­te­ri­en ein, die im Rah­men der tech­ni­schen Ana­ly­se der Appli­ka­ti­on geprüft wer­den. Dabei ist ent­schei­dend, ob der Auf­bau und der Betrieb die­ser sen­si­blen IT-Infra­struk­tur auch den sicher­heits­tech­ni­schen Anfor­de­run­gen gerecht wird. Bezo­gen wird sich bei die­ser Prü­fung auf die fol­gen­den Regel­wer­ke: Inter­na­tio­na­le Stan­dards wie ISO 18028, auf Anfor­de­run­gen des PCIDSS V2.0, der OSSTMM, der OWASP und auf die Best Prac­tices der Sicher­heits­in­dus­trie und des TÜV Trust IT.

Bei der tech­ni­schen Ana­ly­se der Appli­ka­ti­on wer­den im Ein­zel­nen fol­gen­de Kom­po­nen­ten und Anfor­de­run­gen geprüft:

1. Infra­struk­tu­rel­le Anfor­de­run­gen

Alle Kom­po­nen­ten, die zur ope­ra­ti­ven IT-Infra­struk­tur gehö­ren (Web­ser­ver, Appli­ka­ti­ons­ser­ver, Back­up-und Moni­to­ring­sys­te­me, Sys­te­me zur Admi­nis­tra­ti­on der Infra­struk­tur etc.), auch Netz­werk­kom­po­nen­ten, Rou­ter und Swit­ches müs­sen sich sicher­heits­tech­nisch auf dem aktu­el­len Stand befin­den. Alle Sys­te­me sind durch ange­mes­se­ne Maß­nah­men gegen unaut­ho­ri­sier­ten Zugriff aus exter­nen Net­zen zu schüt­zen.

2. Anfor­de­run­gen an Fire­wall Sys­te­me

Stan­dards für Fire­walls wer­den defi­niert und dar­über hin­aus wird klar beschrie­ben, wie eine Fire­wall aus­ge­legt sein muss, um das Sys­tem vor exter­nen Zugrif­fen zu schüt­zen.

3. Sys­tem­här­tung

Rege­lun­gen bezo­gen auf Anfor­de­run­gen für Stan­dard- und Instal­la­ti­ons­pass­wor­te, Stan­dard-Schlüs­sel von ver­schlüs­sel­ten Pro­to­kol­len, Ent­wick­lung von Stan­dards zur Instal­la­ti­on und Här­tung von Betriebs­sys­te­men.

4. Schutz von gespei­cher­ten Infor­ma­tio­nen

Rege­lun­gen zur Spei­che­rung von Daten, Daten­um­fang, Umgang mit kri­ti­schen Daten, Ver­schlüs­se­lung von Daten.

5. Netz­werk­zu­grif­fe zu Sys­te­men

Maß­nah­men müs­sen imple­men­tiert wer­den, die sicher­stel­len, dass kri­ti­sche Daten nur von berech­tig­ten Per­so­nen ein­ge­se­hen und ver­ar­bei­tet wer­den kön­nen (Nut­zer­be­schrän­kun­gen, ein­deu­ti­ge Benut­zer ID, ver­schie­de­ne Authen­ti­fi­zie­rungs­me­cha­nis­men, Umgang mit Pass­wort und Benut­zer­kon­ten)

6. Ein­satz und Pfle­ge eines Schwach­stel­len-Manage­ments

Instal­la­ti­on und Aus­ge­stal­tung von Anti­vi­rus-Mecha­nis­men; sämt­li­che Sys­tem­kom­po­nen­ten und Appli­ka­tio­nen müs­sen mit den letz­ten Sicher­heits­up­dates der Her­stel­ler ver­se­hen sein, die­se müs­sen vor dem Aus­rol­len getes­tet wer­den und indi­vi­du­el­le Mass­nah­men.

7. Ent­wick­lung und Betrieb siche­rer Appli­ka­tio­nen

In Anleh­nung an Best Prac­tice Vor­ge­hens­wei­sen: Über­prü­fung des Quell­codes von Eigen­ent­wick­lun­gen, um even­tu­el­le Sicher­heits­lü­cken zu iden­ti­fi­zie­ren und all­ge­mei­ne Pro­gram­mier­feh­ler zu ver­mei­den.

8. Anfor­de­run­gen an die Admi­nis­tra­ti­on von Infra­struk­tu­ren

Auf­grund der umfas­sen­den Rech­te von Admi­nis­tra­to­ren sind hier tief­grei­fen­de Maß­nah­men erfor­der­lich (z.B. Zugriff darf nur aus sepa­ra­ter Manage­ment-DMZ oder einem Admi­nis­tra­tor-Netz­seg­ment erfol­gen oder zur Admi­nis­tra­ti­on dür­fen gene­rell nur ver­schlüs­sel­te Pro­to­kol­le ein­ge­setzt wer­den).

9. Anfor­de­run­gen an Sys­tem­über­wa­chung (Moni­to­ring)

Log­ging Akti­vi­tä­ten und Benut­zer­ak­ti­vi­tä­ten müs­sen nach­voll­zieh­bar sein. Es muss sicher­ge­stellt wer­de, dass die­se Mecha­nis­men auf allen betrof­fe­nen Sys­te­men vor­han­den sind, um Feh­ler oder Miss­brauch sofort zu erken­nen.

Ein Über­blick über die Anfor­de­rungs­kri­te­ri­en die unter der Rubrik „Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men“ geprüft wur­den erscheint in die­sem Blog in Kür­ze.

Mit die­ser Zer­ti­fi­zie­rung erfolg­te eine kom­plet­te Ana­ly­se und Beur­tei­lung von datomo Mobi­le Device Manage­ment über das kom­plet­te Ein­satz­sze­na­rio hin­weg, von der Infra­struk­tur, in die die Lösung ein­ge­bet­tet ist über die Lösungs­kom­po­nen­ten bis hin zu den beglei­ten­den Diens­ten. Mit dem TÜV Sie­gel wird attes­tiert, dass datomo MDM alle Anfor­de­run­gen an eine siche­re und zuver­läs­si­ge Lösung erfüllt, dass sie Unter­neh­mens- und Mit­ar­bei­ter­da­ten zuver­läs­sig schützt und dass in ihr sämt­li­che Daten sicher auf­ge­ho­ben wer­den.

Gera­de in der heu­ti­gen Zeit ist die­ses ein beson­ders wert­vol­les Urteil – wie wir fin­den. Des­halb: For­dern Sie am Bes­ten noch heu­te Ihre indi­vi­du­el­le Test­stel­lung an, um sich selbst davon zu über­zeu­gen, war­um datomo MDM die­se kom­ple­xe Zer­ti­fi­zie­rung erlan­gen konn­te.


Ande­re inter­es­san­te Bei­trä­ge:
CeBIT 2013 — Wir zei­gen Mobi­le Device Manage­ment (MDM) und Lösun­gen für Bring Your Own Device (BYOD)
Wie jedes Jahr fin­den Sie Pre­tio­so auch die­ses Jahr in Han­no­ver auf der CeBIT, dies­mal der CeBIT 2013. Und wie jedes Jahr kom­men wir zur CeBIT mit einem Feu­er­werk an Neu­ig­kei­ten. Wir ste­hen wie­der in Hal­le 15 D71 im Pla­net Resel­ler — direkt hin­ter dem rech­ten Haupt­ein­gang, wenn man von den Hal­len 1…
MDM-Essen­ti­als — Was bedeu­tet Dedi­ca­ted Hos­ting bei Mobi­le Device Manage­ment?
Beim Ein­satz von Mobi­le Device Manage­ment kann man grund­sätz­lich aus zwei ver­schie­de­nen Kon­zep­ten aus­wäh­len. Einer­seits kann man den MDM-Ser­ver in die eige­ne Infra­struk­tur instal­lie­ren und betreibt ihn dort selbst. Dies ist die in allen Fäl­len sichers­te Lösung für den MDM-Betrieb. Ande­rer­seits gibt …
Vor­trag Mobi­le Device Manage­ment (MDM) als Hosted Ser­vices am Bei­spiel von AirIT­Sys­tems
Heu­te ver­öf­fent­li­chen wir Vor­trag 3 vom Mobi­le Busi­ness Solu­ti­ons Forum auf der CeBIT 2013. Alle Vor­trags­un­ter­la­gen haben wir unmit­tel­bar nach der CeBIT 2013 im Bei­trag Unse­re Vor­träge zu Mobi­lity Stra­te­gie, Mobi­le Device Manage­ment und BYOD auf der CeBIT 2013 zum Down­load zur Ver­fü­gung ges­te…
Mobi­le Device Manage­ment (MDM) und Custom ROM für Andro­id — Was geht wie?
Andro­id in Unter­neh­men ist nicht mehr auf­zu­hal­ten. Andro­id hat mitt­ler­wei­le 75% Markt­an­teil erreicht — wir berich­te­ten im Bei­trag Andro­id, Black­Berry 10, iOS, Win­dows Pho­ne 8 — Was ist in, was ist out? — und dies bedeu­tet, dass immer mehr Unter­neh­men sich ernst­haft mit Andro­id beschäf­ti­gen, was wi…
Mobi­le Device Manage­ment (MDM) — Best Prac­tices für die Ein­füh­rung — Video
Zuerst: Vie­len Dank für die vie­len posi­ti­ven Reak­tio­nen auf das ers­te Video aus die­ser Serie. Heu­te ver­öf­fent­li­chen wir das zwei­te Video, das sich dem The­ma Best Prac­tices für die Ein­füh­rung wid­met. Auch die­ses Video ist eine Auf­zeich­nung von der CeBIT 2016. Wir erle­ben es regel­mä­ßig bei Anwen­der…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.