datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert – Anfor­de­rungs­kri­te­ri­en der tech­ni­schen Ana­ly­se

Wir freu­en uns über die offi­zi­el­le Zer­ti­fi­zie­rung von datomo Mobi­le Device Manage­ment (wie wir im Bei­trag datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert schon aus­führ­lich berich­tet haben). Damit ist datomo Mobi­le Device Manage­ment der­zeit die ers­te MDM-Lösung, die durch­gän­gig TÜV zer­ti­fi­ziert ist.

datomo Mobi­le Device Manage­ment bie­tet geprüf­ten Daten­schutz, geprüf­te Daten­si­cher­heit sowie geprüf­te Schutz­me­cha­nis­men, wie offi­zi­ell mit die­ser TÜV-Zer­ti­fi­zie­rung durch den TÜV TRUST IT aus Köln (Unter­neh­mens­grup­pe TÜV Aus­tria) bestä­tigt wird. Mit die­sem Allein­stel­lungs­merk­mal kann der Vor­sprung vor den Markt­be­glei­tern wei­ter aus­ge­baut wer­den, der­zeit kann nie­mand eine Zer­ti­fi­zie­rung mit ver­gleich­ba­rem Umfang sei­ner MDM Lösung anbie­ten.

Die Prü­fung und Zer­ti­fi­zie­rung der datomo Appli­ka­tio­nen basiert auf ver­schie­de­nen ISO Richt­li­ni­en, auf Grund­la­gen aus der IT Infra­st­ruc­tu­re Libra­ry sowie den best prac­tices des TÜV. Alle Kri­te­ri­en aus dem sehr umfang­rei­chen Anfor­de­rungs­ka­ta­log wur­den vor dem Hin­ter­grund der Sicher­heit von Online Appli­ka­tio­nen aus­ge­wählt. Die so zer­ti­fi­zier­te Lösung stellt Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät sicher.

Im Ein­zel­nen lässt sich die Zer­ti­fi­zie­rung in fol­gen­de 3 Berei­che unter­glie­dern:

  • All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung
  • Tech­ni­sche Über­prü­fung der Appli­ka­ti­on
  • Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men

Die Anfor­de­rungs­kri­te­ri­en, die unter „All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung“ fal­len wur­den bereits im oben ver­link­ten Bei­trag hier im Pre­tio­so-Blog erläu­tert.

Im Fol­gen­den gehen wir auf die Anfor­de­rungs­kri­te­ri­en ein, die im Rah­men der tech­ni­schen Ana­ly­se der Appli­ka­ti­on geprüft wer­den. Dabei ist ent­schei­dend, ob der Auf­bau und der Betrieb die­ser sen­si­blen IT-Infra­struk­tur auch den sicher­heits­tech­ni­schen Anfor­de­run­gen gerecht wird. Bezo­gen wird sich bei die­ser Prü­fung auf die fol­gen­den Regel­wer­ke: Inter­na­tio­na­le Stan­dards wie ISO 18028, auf Anfor­de­run­gen des PCIDSS V2.0, der OSSTMM, der OWASP und auf die Best Prac­tices der Sicher­heits­in­dus­trie und des TÜV Trust IT.

Bei der tech­ni­schen Ana­ly­se der Appli­ka­ti­on wer­den im Ein­zel­nen fol­gen­de Kom­po­nen­ten und Anfor­de­run­gen geprüft:

1. Infra­struk­tu­rel­le Anfor­de­run­gen

Alle Kom­po­nen­ten, die zur ope­ra­ti­ven IT-Infra­struk­tur gehö­ren (Web­ser­ver, Appli­ka­ti­ons­ser­ver, Back­up-und Moni­to­ring­sys­te­me, Sys­te­me zur Admi­nis­tra­ti­on der Infra­struk­tur etc.), auch Netz­werk­kom­po­nen­ten, Rou­ter und Swit­ches müs­sen sich sicher­heits­tech­nisch auf dem aktu­el­len Stand befin­den. Alle Sys­te­me sind durch ange­mes­se­ne Maß­nah­men gegen unaut­ho­ri­sier­ten Zugriff aus exter­nen Net­zen zu schüt­zen.

2. Anfor­de­run­gen an Fire­wall Sys­te­me

Stan­dards für Fire­walls wer­den defi­niert und dar­über hin­aus wird klar beschrie­ben, wie eine Fire­wall aus­ge­legt sein muss, um das Sys­tem vor exter­nen Zugrif­fen zu schüt­zen.

3. Sys­tem­här­tung

Rege­lun­gen bezo­gen auf Anfor­de­run­gen für Stan­dard- und Instal­la­ti­ons­pass­wor­te, Stan­dard-Schlüs­sel von ver­schlüs­sel­ten Pro­to­kol­len, Ent­wick­lung von Stan­dards zur Instal­la­ti­on und Här­tung von Betriebs­sys­te­men.

4. Schutz von gespei­cher­ten Infor­ma­tio­nen

Rege­lun­gen zur Spei­che­rung von Daten, Daten­um­fang, Umgang mit kri­ti­schen Daten, Ver­schlüs­se­lung von Daten.

5. Netz­werk­zu­grif­fe zu Sys­te­men

Maß­nah­men müs­sen imple­men­tiert wer­den, die sicher­stel­len, dass kri­ti­sche Daten nur von berech­tig­ten Per­so­nen ein­ge­se­hen und ver­ar­bei­tet wer­den kön­nen (Nut­zer­be­schrän­kun­gen, ein­deu­ti­ge Benut­zer ID, ver­schie­de­ne Authen­ti­fi­zie­rungs­me­cha­nis­men, Umgang mit Pass­wort und Benut­zer­kon­ten)

6. Ein­satz und Pfle­ge eines Schwach­stel­len-Manage­ments

Instal­la­ti­on und Aus­ge­stal­tung von Anti­vi­rus-Mecha­nis­men; sämt­li­che Sys­tem­kom­po­nen­ten und Appli­ka­tio­nen müs­sen mit den letz­ten Sicher­heits­up­dates der Her­stel­ler ver­se­hen sein, die­se müs­sen vor dem Aus­rol­len getes­tet wer­den und indi­vi­du­el­le Mass­nah­men.

7. Ent­wick­lung und Betrieb siche­rer Appli­ka­tio­nen

In Anleh­nung an Best Prac­tice Vor­ge­hens­wei­sen: Über­prü­fung des Quell­codes von Eigen­ent­wick­lun­gen, um even­tu­el­le Sicher­heits­lü­cken zu iden­ti­fi­zie­ren und all­ge­mei­ne Pro­gram­mier­feh­ler zu ver­mei­den.

8. Anfor­de­run­gen an die Admi­nis­tra­ti­on von Infra­struk­tu­ren

Auf­grund der umfas­sen­den Rech­te von Admi­nis­tra­to­ren sind hier tief­grei­fen­de Maß­nah­men erfor­der­lich (z.B. Zugriff darf nur aus sepa­ra­ter Manage­ment-DMZ oder einem Admi­nis­tra­tor-Netz­seg­ment erfol­gen oder zur Admi­nis­tra­ti­on dür­fen gene­rell nur ver­schlüs­sel­te Pro­to­kol­le ein­ge­setzt wer­den).

9. Anfor­de­run­gen an Sys­tem­über­wa­chung (Moni­to­ring)

Log­ging Akti­vi­tä­ten und Benut­zer­ak­ti­vi­tä­ten müs­sen nach­voll­zieh­bar sein. Es muss sicher­ge­stellt wer­de, dass die­se Mecha­nis­men auf allen betrof­fe­nen Sys­te­men vor­han­den sind, um Feh­ler oder Miss­brauch sofort zu erken­nen.

Ein Über­blick über die Anfor­de­rungs­kri­te­ri­en die unter der Rubrik „Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men“ geprüft wur­den erscheint in die­sem Blog in Kür­ze.

Mit die­ser Zer­ti­fi­zie­rung erfolg­te eine kom­plet­te Ana­ly­se und Beur­tei­lung von datomo Mobi­le Device Manage­ment über das kom­plet­te Ein­satz­sze­na­rio hin­weg, von der Infra­struk­tur, in die die Lösung ein­ge­bet­tet ist über die Lösungs­kom­po­nen­ten bis hin zu den beglei­ten­den Diens­ten. Mit dem TÜV Sie­gel wird attes­tiert, dass datomo MDM alle Anfor­de­run­gen an eine siche­re und zuver­läs­si­ge Lösung erfüllt, dass sie Unter­neh­mens- und Mit­ar­bei­ter­da­ten zuver­läs­sig schützt und dass in ihr sämt­li­che Daten sicher auf­ge­ho­ben wer­den.

Gera­de in der heu­ti­gen Zeit ist die­ses ein beson­ders wert­vol­les Urteil – wie wir fin­den. Des­halb: For­dern Sie am Bes­ten noch heu­te Ihre indi­vi­du­el­le Test­stel­lung an, um sich selbst davon zu über­zeu­gen, war­um datomo MDM die­se kom­ple­xe Zer­ti­fi­zie­rung erlan­gen konn­te.


Ande­re inter­es­san­te Bei­trä­ge:
Secu­re­View — schon wie­der ein neu­es Fea­ture für unse­re Lösung zum Mobi­le Device Manage­ment (MDM) von datomo
Heu­te haben wir ein wei­te­res mäch­ti­ges Fea­ture für datomo Device Manage­ment, unse­re viel­sei­ti­ge MDM-Lösung frei­ge­ge­ben und dazu auch eine Pres­se­mit­tei­lung ver­öf­fent­licht in unse­rer Pres­se­box. Was bringt dem Anwen­der Secu­re­View? Secu­re­View stellt sicher, dass Doku­men­te auf mobi­len End­ge­rä­ten sicher …
MDM Essen­ti­als — War­um Mobi­le Device Manage­ment mehr als der Black­Ber­ry Enter­pri­se Ser­ver (BES) kann
Ich wer­de immer wie­der gefragt, ob man eine MDM-Lösung über­haupt braucht, wenn man einen Black­Ber­ry Enter­pri­se Ser­ver ein­setzt. Die­se Fra­ge kann man nicht ein­fach mit „Ja” oder „Nein” beant­wor­ten, die kor­rek­te Ant­wort ist: „Es kommt dar­auf an …”. Wor­auf? Es kommt dar­auf an, wel­chen Level von S…
datomo Mobi­le Device Manage­ment (MDM) 3.9 — Mehr neue Funk­tio­nen als je zuvor für Andro­id und iOS
Für datomo Mobi­le Device Manage­ment wur­de heu­te das neue Mas­ter-Release 3.9 frei­ge­ge­ben mit einer in die­ser Fül­le noch nie dage­we­se­nen Viel­falt an neu­en Funk­tio­nen und Fea­tures, wodurch der Vor­sprung die­ser füh­ren­den Lösung erneut bestä­tigt und wei­ter aus­ge­baut wur­de. Da passt es gut, dass der Artik…
Das BSI erklärt Mobi­le Device Manage­ment (MDM) — Das The­ma per­fekt auf den Punkt gebracht!
Von einem Stu­den­ten, der der­zeit sei­ne Bache­lor­ar­beit zum The­ma Mobi­le Device Manage­ment (MDM) schreibt, wur­de ich auf das am 13.03.13 ver­öf­fent­lich­te White­pa­per des BSI zum The­ma MDM auf­merk­sam gemacht. Das BSI führt in dem neun­sei­ti­gen White­pa­per zum The­ma sehr gut aus, was bei der Ent­schei­dung fü…
Vor­trag Best Prac­tice: How-To für die Ein­füh­rung von MDM
Dies ist nun der zwei­te Vor­trag, den ich auf dem Mobi­le Busi­ness Solu­ti­ons Forum wäh­rend der CeBIT 2013 gehal­ten habe. Wir hat­ten die Vor­trä­ge unmit­tel­bar nach der CeBIT 2013 im Bei­trag Unse­re Vor­träge zu Mobi­lity Stra­te­gie, Mobi­le Device Manage­ment und BYOD auf der CeBIT 2013 zum Do…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.