atomo Mobile Device Manage­ment ist als erste MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert – Anfor­de­rungs­kri­te­rien der tech­ni­schen Analyse

0

Wir freuen uns über die offi­zi­elle Zer­ti­fi­zie­rung von datomo Mobile Device Manage­ment (wie wir im Bei­trag datomo Mobile Device Manage­ment ist als erste MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert schon aus­führ­lich berich­tet haben). Damit ist datomo Mobile Device Manage­ment der­zeit die erste MDM-​Lösung, die durch­gän­gig TÜV zer­ti­fi­ziert ist.

datomo Mobile Device Manage­ment bie­tet geprüf­ten Daten­schutz, geprüfte Daten­si­cher­heit sowie geprüfte Schutz­me­cha­nis­men, wie offi­zi­ell mit die­ser TÜV-​Zertifizierung durch den TÜV TRUST IT aus Köln (Unter­neh­mens­gruppe TÜV Aus­tria) bestä­tigt wird. Mit die­sem Allein­stel­lungs­merk­mal kann der Vor­sprung vor den Markt­be­glei­tern wei­ter aus­ge­baut wer­den, der­zeit kann nie­mand eine Zer­ti­fi­zie­rung mit ver­gleich­ba­rem Umfang sei­ner MDM Lösung anbieten.

Die Prü­fung und Zer­ti­fi­zie­rung der datomo Appli­ka­tio­nen basiert auf ver­schie­de­nen ISO Richt­li­nien, auf Grund­la­gen aus der IT Infra­struc­ture Library sowie den best prac­tices des TÜV. Alle Kri­te­rien aus dem sehr umfang­rei­chen Anfor­de­rungs­ka­ta­log wur­den vor dem Hin­ter­grund der Sicher­heit von Online Appli­ka­tio­nen aus­ge­wählt. Die so zer­ti­fi­zierte Lösung stellt Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät sicher.

Im Ein­zel­nen lässt sich die Zer­ti­fi­zie­rung in fol­gende 3 Berei­che untergliedern:

  • All­ge­meine orga­ni­sa­to­ri­sche Prüfung
  • Tech­ni­sche Über­prü­fung der Applikation
  • Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Informationssystemen

Die Anfor­de­rungs­kri­te­rien, die unter „All­ge­meine orga­ni­sa­to­ri­sche Prü­fung“ fal­len wur­den bereits im oben ver­link­ten Bei­trag hier im Pretioso-​Blog erläutert.

Im Fol­gen­den gehen wir auf die Anfor­de­rungs­kri­te­rien ein, die im Rah­men der tech­ni­schen Ana­lyse der Appli­ka­tion geprüft wer­den. Dabei ist ent­schei­dend, ob der Auf­bau und der Betrieb die­ser sen­si­blen IT-​Infrastruktur auch den sicher­heits­tech­ni­schen Anfor­de­run­gen gerecht wird. Bezo­gen wird sich bei die­ser Prü­fung auf die fol­gen­den Regel­werke: Inter­na­tio­nale Stan­dards wie ISO 18028, auf Anfor­de­run­gen des PCIDSS V2.0, der OSSTMM, der OWASP und auf die Best Prac­tices der Sicher­heits­in­dus­trie und des TÜV Trust IT.

Bei der tech­ni­schen Ana­lyse der Appli­ka­tion wer­den im Ein­zel­nen fol­gende Kom­po­nen­ten und Anfor­de­run­gen geprüft:

1. Infra­struk­tu­relle Anforderungen

Alle Kom­po­nen­ten, die zur ope­ra­ti­ven IT-​Infrastruktur gehö­ren (Web­ser­ver, Appli­ka­ti­ons­ser­ver, Backup-​und Moni­to­ring­sys­teme, Sys­teme zur Admi­nis­tra­tion der Infra­struk­tur etc.), auch Netz­werk­kom­po­nen­ten, Rou­ter und Swit­ches müs­sen sich sicher­heits­tech­nisch auf dem aktu­el­len Stand befin­den. Alle Sys­teme sind durch ange­mes­sene Maß­nah­men gegen unaut­ho­ri­sier­ten Zugriff aus exter­nen Net­zen zu schützen.

2. Anfor­de­run­gen an Fire­wall Systeme

Stan­dards für Fire­walls wer­den defi­niert und dar­über hin­aus wird klar beschrie­ben, wie eine Fire­wall aus­ge­legt sein muss, um das Sys­tem vor exter­nen Zugrif­fen zu schützen.

3. Sys­tem­här­tung

Rege­lun­gen bezo­gen auf Anfor­de­run­gen für Stan­dard– und Instal­la­ti­ons­pass­worte, Standard-​Schlüssel von ver­schlüs­sel­ten Pro­to­kol­len, Ent­wick­lung von Stan­dards zur Instal­la­tion und Här­tung von Betriebssystemen.

4. Schutz von gespei­cher­ten Informationen

Rege­lun­gen zur Spei­che­rung von Daten, Daten­um­fang, Umgang mit kri­ti­schen Daten, Ver­schlüs­se­lung von Daten.

5. Netz­werk­zu­griffe zu Systemen

Maß­nah­men müs­sen imple­men­tiert wer­den, die sicher­stel­len, dass kri­ti­sche Daten nur von berech­tig­ten Per­so­nen ein­ge­se­hen und ver­ar­bei­tet wer­den kön­nen (Nut­zer­be­schrän­kun­gen, ein­deu­tige Benut­zer ID, ver­schie­dene Authen­ti­fi­zie­rungs­me­cha­nis­men, Umgang mit Pass­wort und Benutzerkonten)

6. Ein­satz und Pflege eines Schwachstellen-​Managements

Instal­la­tion und Aus­ge­stal­tung von Antivirus-​Mechanismen; sämt­li­che Sys­tem­kom­po­nen­ten und Appli­ka­tio­nen müs­sen mit den letz­ten Sicher­heits­up­dates der Her­stel­ler ver­se­hen sein, diese müs­sen vor dem Aus­rol­len getes­tet wer­den und indi­vi­du­elle Massnahmen.

7. Ent­wick­lung und Betrieb siche­rer Applikationen

In Anleh­nung an Best Prac­tice Vor­ge­hens­wei­sen: Über­prü­fung des Quell­codes von Eigen­ent­wick­lun­gen, um even­tu­elle Sicher­heits­lü­cken zu iden­ti­fi­zie­ren und all­ge­meine Pro­gram­mier­feh­ler zu vermeiden.

8. Anfor­de­run­gen an die Admi­nis­tra­tion von Infrastrukturen

Auf­grund der umfas­sen­den Rechte von Admi­nis­tra­to­ren sind hier tief­grei­fende Maß­nah­men erfor­der­lich (z.B. Zugriff darf nur aus sepa­ra­ter Management-​DMZ oder einem Administrator-​Netzsegment erfol­gen oder zur Admi­nis­tra­tion dür­fen gene­rell nur ver­schlüs­selte Pro­to­kolle ein­ge­setzt werden).

9. Anfor­de­run­gen an Sys­tem­über­wa­chung (Monitoring)

Log­ging Akti­vi­tä­ten und Benut­zer­ak­ti­vi­tä­ten müs­sen nach­voll­zieh­bar sein. Es muss sicher­ge­stellt werde, dass diese Mecha­nis­men auf allen betrof­fe­nen Sys­te­men vor­han­den sind, um Feh­ler oder Miss­brauch sofort zu erkennen.

Ein Über­blick über die Anfor­de­rungs­kri­te­rien die unter der Rubrik „Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men“ geprüft wur­den erscheint in die­sem Blog in Kürze.

Mit die­ser Zer­ti­fi­zie­rung erfolgte eine kom­plette Ana­lyse und Beur­tei­lung von datomo Mobile Device Manage­ment über das kom­plette Ein­satz­sze­na­rio hin­weg, von der Infra­struk­tur, in die die Lösung ein­ge­bet­tet ist über die Lösungs­kom­po­nen­ten bis hin zu den beglei­ten­den Diens­ten. Mit dem TÜV Sie­gel wird attes­tiert, dass datomo MDM alle Anfor­de­run­gen an eine sichere und zuver­läs­sige Lösung erfüllt, dass sie Unter­neh­mens– und Mit­ar­bei­ter­da­ten zuver­läs­sig schützt und dass in ihr sämt­li­che Daten sicher auf­ge­ho­ben werden.

Gerade in der heu­ti­gen Zeit ist die­ses ein beson­ders wert­vol­les Urteil – wie wir fin­den. Des­halb: For­dern Sie am Bes­ten noch heute Ihre indi­vi­du­elle Test­stel­lung an, um sich selbst davon zu über­zeu­gen, warum datomo MDM diese kom­plexe Zer­ti­fi­zie­rung erlan­gen konnte.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

Share.

Eine Antwort verfassen