Wir freuen uns über die offizielle Zertifizierung von datomo Mobile Device Management (wie wir im Beitrag datomo Mobile Device Management ist als erste MDM Lösung komplett durchgängig TÜV zertifiziert schon ausführlich berichtet haben). Damit ist datomo Mobile Device Management derzeit die erste MDM-Lösung, die durchgängig TÜV zertifiziert ist.
datomo Mobile Device Management bietet geprüften Datenschutz, geprüfte Datensicherheit sowie geprüfte Schutzmechanismen, wie offiziell mit dieser TÜV-Zertifizierung durch den TÜV TRUST IT aus Köln (Unternehmensgruppe TÜV Austria) bestätigt wird. Mit diesem Alleinstellungsmerkmal kann der Vorsprung vor den Marktbegleitern weiter ausgebaut werden, derzeit kann niemand eine Zertifizierung mit vergleichbarem Umfang seiner MDM Lösung anbieten.
Die Prüfung und Zertifizierung der datomo Applikationen basiert auf verschiedenen ISO Richtlinien, auf Grundlagen aus der IT Infrastructure Library sowie den best practices des TÜV. Alle Kriterien aus dem sehr umfangreichen Anforderungskatalog wurden vor dem Hintergrund der Sicherheit von Online Applikationen ausgewählt. Die so zertifizierte Lösung stellt Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sicher.
Im Einzelnen lässt sich die Zertifizierung in folgende 3 Bereiche untergliedern:
- Allgemeine organisatorische Prüfung
- Technische Überprüfung der Applikation
- Überprüfung zur Beschaffung, Entwicklung und Wartung von Informationssystemen
Die Anforderungskriterien, die unter „Allgemeine organisatorische Prüfung“ fallen wurden bereits im oben verlinkten Beitrag hier im Pretioso-Blog erläutert.
Im Folgenden gehen wir auf die Anforderungskriterien ein, die im Rahmen der technischen Analyse der Applikation geprüft werden. Dabei ist entscheidend, ob der Aufbau und der Betrieb dieser sensiblen IT-Infrastruktur auch den sicherheitstechnischen Anforderungen gerecht wird. Bezogen wird sich bei dieser Prüfung auf die folgenden Regelwerke: Internationale Standards wie ISO 18028, auf Anforderungen des PCIDSS V2.0, der OSSTMM, der OWASP und auf die Best Practices der Sicherheitsindustrie und des TÜV Trust IT.
Bei der technischen Analyse der Applikation werden im Einzelnen folgende Komponenten und Anforderungen geprüft:
1. Infrastrukturelle Anforderungen
Alle Komponenten, die zur operativen IT-Infrastruktur gehören (Webserver, Applikationsserver, Backup-und Monitoringsysteme, Systeme zur Administration der Infrastruktur etc.), auch Netzwerkkomponenten, Router und Switches müssen sich sicherheitstechnisch auf dem aktuellen Stand befinden. Alle Systeme sind durch angemessene Maßnahmen gegen unauthorisierten Zugriff aus externen Netzen zu schützen.
2. Anforderungen an Firewall Systeme
Standards für Firewalls werden definiert und darüber hinaus wird klar beschrieben, wie eine Firewall ausgelegt sein muss, um das System vor externen Zugriffen zu schützen.
3. Systemhärtung
Regelungen bezogen auf Anforderungen für Standard– und Installationspassworte, Standard-Schlüssel von verschlüsselten Protokollen, Entwicklung von Standards zur Installation und Härtung von Betriebssystemen.
4. Schutz von gespeicherten Informationen
Regelungen zur Speicherung von Daten, Datenumfang, Umgang mit kritischen Daten, Verschlüsselung von Daten.
5. Netzwerkzugriffe zu Systemen
Maßnahmen müssen implementiert werden, die sicherstellen, dass kritische Daten nur von berechtigten Personen eingesehen und verarbeitet werden können (Nutzerbeschränkungen, eindeutige Benutzer ID, verschiedene Authentifizierungsmechanismen, Umgang mit Passwort und Benutzerkonten)
6. Einsatz und Pflege eines Schwachstellen-Managements
Installation und Ausgestaltung von Antivirus-Mechanismen; sämtliche Systemkomponenten und Applikationen müssen mit den letzten Sicherheitsupdates der Hersteller versehen sein, diese müssen vor dem Ausrollen getestet werden und individuelle Massnahmen.
7. Entwicklung und Betrieb sicherer Applikationen
In Anlehnung an Best Practice Vorgehensweisen: Überprüfung des Quellcodes von Eigenentwicklungen, um eventuelle Sicherheitslücken zu identifizieren und allgemeine Programmierfehler zu vermeiden.
8. Anforderungen an die Administration von Infrastrukturen
Aufgrund der umfassenden Rechte von Administratoren sind hier tiefgreifende Maßnahmen erforderlich (z.B. Zugriff darf nur aus separater Management-DMZ oder einem Administrator-Netzsegment erfolgen oder zur Administration dürfen generell nur verschlüsselte Protokolle eingesetzt werden).
9. Anforderungen an Systemüberwachung (Monitoring)
Logging Aktivitäten und Benutzeraktivitäten müssen nachvollziehbar sein. Es muss sichergestellt werde, dass diese Mechanismen auf allen betroffenen Systemen vorhanden sind, um Fehler oder Missbrauch sofort zu erkennen.
Ein Überblick über die Anforderungskriterien die unter der Rubrik „Überprüfung zur Beschaffung, Entwicklung und Wartung von Informationssystemen“ geprüft wurden erscheint in diesem Blog in Kürze.
Mit dieser Zertifizierung erfolgte eine komplette Analyse und Beurteilung von datomo Mobile Device Management über das komplette Einsatzszenario hinweg, von der Infrastruktur, in die die Lösung eingebettet ist über die Lösungskomponenten bis hin zu den begleitenden Diensten. Mit dem TÜV Siegel wird attestiert, dass datomo MDM alle Anforderungen an eine sichere und zuverlässige Lösung erfüllt, dass sie Unternehmens– und Mitarbeiterdaten zuverlässig schützt und dass in ihr sämtliche Daten sicher aufgehoben werden.
Gerade in der heutigen Zeit ist dieses ein besonders wertvolles Urteil – wie wir finden. Deshalb: Fordern Sie am Besten noch heute Ihre individuelle Teststellung an, um sich selbst davon zu überzeugen, warum datomo MDM diese komplexe Zertifizierung erlangen konnte.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“