datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert – Anfor­de­rungs­kri­te­ri­en der tech­ni­schen Ana­ly­se

Wir freu­en uns über die offi­zi­el­le Zer­ti­fi­zie­rung von datomo Mobi­le Device Manage­ment (wie wir im Bei­trag datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert schon aus­führ­lich berich­tet haben). Damit ist datomo Mobi­le Device Manage­ment der­zeit die ers­te MDM-Lösung, die durch­gän­gig TÜV zer­ti­fi­ziert ist.

datomo Mobi­le Device Manage­ment bie­tet geprüf­ten Daten­schutz, geprüf­te Daten­si­cher­heit sowie geprüf­te Schutz­me­cha­nis­men, wie offi­zi­ell mit die­ser TÜV-Zer­ti­fi­zie­rung durch den TÜV TRUST IT aus Köln (Unter­neh­mens­grup­pe TÜV Aus­tria) bestä­tigt wird. Mit die­sem Allein­stel­lungs­merk­mal kann der Vor­sprung vor den Markt­be­glei­tern wei­ter aus­ge­baut wer­den, der­zeit kann nie­mand eine Zer­ti­fi­zie­rung mit ver­gleich­ba­rem Umfang sei­ner MDM Lösung anbie­ten.

Die Prü­fung und Zer­ti­fi­zie­rung der datomo Appli­ka­tio­nen basiert auf ver­schie­de­nen ISO Richt­li­ni­en, auf Grund­la­gen aus der IT Infra­st­ruc­tu­re Libra­ry sowie den best prac­tices des TÜV. Alle Kri­te­ri­en aus dem sehr umfang­rei­chen Anfor­de­rungs­ka­ta­log wur­den vor dem Hin­ter­grund der Sicher­heit von Online Appli­ka­tio­nen aus­ge­wählt. Die so zer­ti­fi­zier­te Lösung stellt Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät sicher.

Im Ein­zel­nen lässt sich die Zer­ti­fi­zie­rung in fol­gen­de 3 Berei­che unter­glie­dern:

  • All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung
  • Tech­ni­sche Über­prü­fung der Appli­ka­ti­on
  • Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men

Die Anfor­de­rungs­kri­te­ri­en, die unter „All­ge­mei­ne orga­ni­sa­to­ri­sche Prü­fung“ fal­len wur­den bereits im oben ver­link­ten Bei­trag hier im Pre­tio­so-Blog erläu­tert.

Im Fol­gen­den gehen wir auf die Anfor­de­rungs­kri­te­ri­en ein, die im Rah­men der tech­ni­schen Ana­ly­se der Appli­ka­ti­on geprüft wer­den. Dabei ist ent­schei­dend, ob der Auf­bau und der Betrieb die­ser sen­si­blen IT-Infra­struk­tur auch den sicher­heits­tech­ni­schen Anfor­de­run­gen gerecht wird. Bezo­gen wird sich bei die­ser Prü­fung auf die fol­gen­den Regel­wer­ke: Inter­na­tio­na­le Stan­dards wie ISO 18028, auf Anfor­de­run­gen des PCIDSS V2.0, der OSSTMM, der OWASP und auf die Best Prac­tices der Sicher­heits­in­dus­trie und des TÜV Trust IT.

Bei der tech­ni­schen Ana­ly­se der Appli­ka­ti­on wer­den im Ein­zel­nen fol­gen­de Kom­po­nen­ten und Anfor­de­run­gen geprüft:

1. Infra­struk­tu­rel­le Anfor­de­run­gen

Alle Kom­po­nen­ten, die zur ope­ra­ti­ven IT-Infra­struk­tur gehö­ren (Web­ser­ver, Appli­ka­ti­ons­ser­ver, Back­up-und Moni­to­ring­sys­te­me, Sys­te­me zur Admi­nis­tra­ti­on der Infra­struk­tur etc.), auch Netz­werk­kom­po­nen­ten, Rou­ter und Swit­ches müs­sen sich sicher­heits­tech­nisch auf dem aktu­el­len Stand befin­den. Alle Sys­te­me sind durch ange­mes­se­ne Maß­nah­men gegen unaut­ho­ri­sier­ten Zugriff aus exter­nen Net­zen zu schüt­zen.

2. Anfor­de­run­gen an Fire­wall Sys­te­me

Stan­dards für Fire­walls wer­den defi­niert und dar­über hin­aus wird klar beschrie­ben, wie eine Fire­wall aus­ge­legt sein muss, um das Sys­tem vor exter­nen Zugrif­fen zu schüt­zen.

3. Sys­tem­här­tung

Rege­lun­gen bezo­gen auf Anfor­de­run­gen für Stan­dard- und Instal­la­ti­ons­pass­wor­te, Stan­dard-Schlüs­sel von ver­schlüs­sel­ten Pro­to­kol­len, Ent­wick­lung von Stan­dards zur Instal­la­ti­on und Här­tung von Betriebs­sys­te­men.

4. Schutz von gespei­cher­ten Infor­ma­tio­nen

Rege­lun­gen zur Spei­che­rung von Daten, Daten­um­fang, Umgang mit kri­ti­schen Daten, Ver­schlüs­se­lung von Daten.

5. Netz­werk­zu­grif­fe zu Sys­te­men

Maß­nah­men müs­sen imple­men­tiert wer­den, die sicher­stel­len, dass kri­ti­sche Daten nur von berech­tig­ten Per­so­nen ein­ge­se­hen und ver­ar­bei­tet wer­den kön­nen (Nut­zer­be­schrän­kun­gen, ein­deu­ti­ge Benut­zer ID, ver­schie­de­ne Authen­ti­fi­zie­rungs­me­cha­nis­men, Umgang mit Pass­wort und Benut­zer­kon­ten)

6. Ein­satz und Pfle­ge eines Schwach­stel­len-Manage­ments

Instal­la­ti­on und Aus­ge­stal­tung von Anti­vi­rus-Mecha­nis­men; sämt­li­che Sys­tem­kom­po­nen­ten und Appli­ka­tio­nen müs­sen mit den letz­ten Sicher­heits­up­dates der Her­stel­ler ver­se­hen sein, die­se müs­sen vor dem Aus­rol­len getes­tet wer­den und indi­vi­du­el­le Mass­nah­men.

7. Ent­wick­lung und Betrieb siche­rer Appli­ka­tio­nen

In Anleh­nung an Best Prac­tice Vor­ge­hens­wei­sen: Über­prü­fung des Quell­codes von Eigen­ent­wick­lun­gen, um even­tu­el­le Sicher­heits­lü­cken zu iden­ti­fi­zie­ren und all­ge­mei­ne Pro­gram­mier­feh­ler zu ver­mei­den.

8. Anfor­de­run­gen an die Admi­nis­tra­ti­on von Infra­struk­tu­ren

Auf­grund der umfas­sen­den Rech­te von Admi­nis­tra­to­ren sind hier tief­grei­fen­de Maß­nah­men erfor­der­lich (z.B. Zugriff darf nur aus sepa­ra­ter Manage­ment-DMZ oder einem Admi­nis­tra­tor-Netz­seg­ment erfol­gen oder zur Admi­nis­tra­ti­on dür­fen gene­rell nur ver­schlüs­sel­te Pro­to­kol­le ein­ge­setzt wer­den).

9. Anfor­de­run­gen an Sys­tem­über­wa­chung (Moni­to­ring)

Log­ging Akti­vi­tä­ten und Benut­zer­ak­ti­vi­tä­ten müs­sen nach­voll­zieh­bar sein. Es muss sicher­ge­stellt wer­de, dass die­se Mecha­nis­men auf allen betrof­fe­nen Sys­te­men vor­han­den sind, um Feh­ler oder Miss­brauch sofort zu erken­nen.

Ein Über­blick über die Anfor­de­rungs­kri­te­ri­en die unter der Rubrik „Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men“ geprüft wur­den erscheint in die­sem Blog in Kür­ze.

Mit die­ser Zer­ti­fi­zie­rung erfolg­te eine kom­plet­te Ana­ly­se und Beur­tei­lung von datomo Mobi­le Device Manage­ment über das kom­plet­te Ein­satz­sze­na­rio hin­weg, von der Infra­struk­tur, in die die Lösung ein­ge­bet­tet ist über die Lösungs­kom­po­nen­ten bis hin zu den beglei­ten­den Diens­ten. Mit dem TÜV Sie­gel wird attes­tiert, dass datomo MDM alle Anfor­de­run­gen an eine siche­re und zuver­läs­si­ge Lösung erfüllt, dass sie Unter­neh­mens- und Mit­ar­bei­ter­da­ten zuver­läs­sig schützt und dass in ihr sämt­li­che Daten sicher auf­ge­ho­ben wer­den.

Gera­de in der heu­ti­gen Zeit ist die­ses ein beson­ders wert­vol­les Urteil – wie wir fin­den. Des­halb: For­dern Sie am Bes­ten noch heu­te Ihre indi­vi­du­el­le Test­stel­lung an, um sich selbst davon zu über­zeu­gen, war­um datomo MDM die­se kom­ple­xe Zer­ti­fi­zie­rung erlan­gen konn­te.


Ande­re inter­es­san­te Bei­trä­ge:
CeBIT 2012 — Tes­ten Sie Mobi­le Device Manage­ment (MDM) mit Bring Your Own Device (BYOD) — Live!
Auf dem Mobi­le World Con­gress (MWC) 2012 habe ich gera­de erlebt, dass mir vie­le Anbie­ter ihre Lösun­gen nicht vor­füh­ren konn­ten oder woll­ten. Das hat mich geär­gert. Ich will auf einer Mes­se ja nicht eine Remo­te-Sit­zung nach der Mes­se ange­bo­ten erhal­ten. Ich kom­me ja auf die Mes­se, um mir die aktu­el­le…
MDM Essen­ti­als — Mobi­le Device Manage­ment muss microSD-Kar­ten mana­gen kön­nen
Das Manage­ment von microSD-Kar­ten ist ein viel­fach ver­nach­läs­sig­ter Aspekt von MDM-Sys­te­men. Vie­le Anbie­ter kön­nen dies nicht oder nicht aus­rei­chend. Es liegt auf der Hand, dass die siche­re Ver­wal­tung der in den mobi­len End­ge­rä­ten ein­ge­setz­ten microSD-Kar­ten eine zen­tra­le Auf­ga­be von einem MDM-Sys­te…
MDM Essen­ti­als — Mobi­le Device Manage­ment und SMS — was hat das mit­ein­an­der zu tun?
Immer wie­der wer­de ich gefragt, wofür ein MDM-Sys­tem denn SMS braucht, oft mit dem Hin­weis, dass ein iPad und Gerä­te ohne GSM-Funk­tio­na­li­tät (Mobil­funk) doch auch gema­nagt wer­den kön­nen (müs­sen). Dies ist voll­kom­men rich­tig. Man kann natür­lich Gerä­te auch ohne SMS mana­gen und dies ist kei­nes­falls sc…
it-sa 2012 Welt­pre­mie­re: datomo Secu­re MIM­card — Basis für siche­res Mobi­le Iden­ti­ty Manage­ment
Pretioso’s ers­tes neu­es Pro­dukt datomo Secu­re MIM­card® ist die Basis für Pretioso’s zwei­tes neu­es Pro­dukt — siche­res Mobi­le Iden­ti­ty Manage­ment, die Fort­ent­wick­lung vom bewähr­ten datomo Mobi­le Device Manage­ment. datomo Secu­re MIM­card® ist ein hoch­si­che­rer Hard­ware Token für alle mobi­len Gerä­te und d…
Mobi­le Device Manage­ment — Gart­ner ver­öf­fent­licht sei­nen obsku­ren Magi­cal Qua­drant 2013
Regel­mä­ßi­ge Leser des Pre­tio­so Blog wis­sen, dass ich die Aus­sa­gen jedes Voll­trun­ke­nen erns­ter neh­me als Gartner’s regel­mä­ßig kom­plett am Ziel vor­bei­ge­hen­de Bewer­tun­gen. Ed Bott hat die Bedeu­tungs­lo­sig­keit von Gart­ner in einem poin­tier­ten Bei­trag kom­men­tiert. den wir im Bei­trag War­um hört die IT-​Ind…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.