Trending
MIT
Sie sind hier:»»datomo Mobile Device Manage­ment — Welt­weit als erste MDM Lösung und Ser­vice kom­plett TÜV zertifiziert

datomo Mobile Device Manage­ment — Welt­weit als erste MDM Lösung und Ser­vice kom­plett TÜV zertifiziert

0
By on Gastbeitrag, Software

Das TÜV-​Siegel garan­tiert Daten­schutz und Daten­si­cher­heit bei datomo Mobile Device Manage­ment in allen Berei­chen: Her­stel­ler – Soft­ware – Mana­ged Service

datomo Mobile Device Manage­ment ist als welt­weit erste MDM-​Lösung kom­plett durch­gän­gig TÜV-​zertifiziert hin­sicht­lich Daten­si­cher­heit sowie den rele­van­ten Schutz­me­cha­nis­men. Diese Zer­ti­fi­zie­rung umfasst die kom­plette Lösung über alle kun­den­ge­rich­te­ten Berei­che: d.h. sowohl der Ent­wick­lungs­pro­zess, die Soft­ware als sol­che als auch der Mana­ged Service

Die­ses TÜV-​Siegel ist damit die logi­sche Bestä­ti­gung des kon­se­quen­ten Weges von Pre­tioso mit der datomo Mobi­lity Suite in den Berei­chen Sicher­heit und Daten­schutz. Der Pro­zess der Prü­fung und Zer­ti­fi­zie­rung der datomo Appli­ka­tio­nen erfolgt auf Basis ver­schie­de­ner ISO Richt­li­nien und Grund­la­gen aus ITIL (IT Infra­struc­ture Library) sowie den best prac­tices des TÜV. Die Anfor­de­run­gen des Prüf­ka­ta­logs basie­ren wei­ter­hin auf allen wich­ti­gen Stan­dards und Normen.

Mit die­ser TÜV-​Zertifizierung bie­tet datomo Mobile Device Manage­ment erneut ein wei­te­res her­aus­ra­gen­des Dif­fe­ren­zie­rungs­merk­mal in puncto Sicher­heit mobi­ler End­ge­räte am Markt. Damit wird der Vor­sprung vor den Markt­be­glei­tern wei­ter aus­ge­baut, denn nie­mand kann der­zeit eine umfas­sen­dere Zer­ti­fi­zie­rung sei­ner MDM Lösung anbieten.

Alle Aspekte aus dem Anfor­de­rungs­ka­ta­log die der Zer­ti­fi­zie­rung zugrunde lie­gen, wur­den vor dem Hin­ter­grund der Sicher­heit von Online Appli­ka­tio­nen aus­ge­wählt. Ziel war es dabei, höchst­mög­li­ches Maß an Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät zu gewähr­leis­ten. Die Prü­fung der datomo Appli­ka­tion basierte auf fol­gen­den 3 Säulen:

  • Orga­ni­sa­to­ri­sche Prü­fung der Pro­zesse von der Soft­ware­ent­wick­lung bis zum Mana­ged Service
  • Tech­ni­sche Ana­lyse und Über­prü­fung der Applikation
  • Über­prü­fung zur Beschaf­fung, Ent­wick­lung und War­tung Informationssystemen
  • Com­pli­ance hin­sicht­lich Datenschutzvorgaben

Damit wird sicher­ge­stellt, dass sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Aspekte bei der Prü­fung und Zer­ti­fi­zie­rung berück­sich­tigt wer­den und somit für die Online Appli­ka­tion das für den Nut­zer not­wen­dige und sinn­volle Maß an Sicher­heit gewähr­leis­tet wer­den kann.

Unter den Bereich All­ge­meine orga­ni­sa­to­ri­sche Prü­fung fal­len dabei z.B. auch fol­gende The­men­ge­biete der ISO 27001: Anfor­de­run­gen an die Sicher­heits­leit­li­nie (Secu­rity Policy), die Orga­ni­sa­tion der Infor­ma­ti­ons­si­cher­heit, das Asset Manage­ment, die Per­so­nal­si­cher­heit, die phy­si­sche und umge­bungs­be­zo­gene Sicher­heit, das Betriebs– und Kom­mu­ni­ka­ti­ons­ma­nage­ment, Zugangs­kon­trol­len, der Umgang mit Infor­ma­ti­ons­si­cher­heits­vor­fäl­len, die Sicher­stel­lung des Betriebs (IT Ser­vice Con­ti­nuity Manage­ment) und die Ein­hal­tung von Vor­ga­ben (Compliance).

Bei der tech­ni­schen Ana­lyse der Appli­ka­tion wurde geprüft, ob die IT-​Infrastruktur auch den sicher­heits­tech­ni­schen Anfor­de­run­gen gerecht wird. Abge­lei­tet wur­den diese Anfor­de­run­gen aus inter­na­tio­na­len Stan­dards wie ISO 27033, aus Anfor­de­run­gen der OSSTMM, der OWASP und den Best Prac­tices der Sicher­heits­in­dus­trie und der TÜV Trust IT.

Zur tech­ni­schen Ana­lyse der Appli­ka­tion gehör­ten im Ein­zel­nen: die Beur­tei­lung der Infra­struk­tur (Back­u­p­sys­teme, Appli­ka­ti­ons­ser­ver, Moni­to­ring­sys­teme etc), die Ana­lyse der Fire­walls, wobei zum einen Stan­dards für Fire­walls defi­niert wer­den und dar­über hin­aus klar beschrie­ben wird, wie eine Fire­wall aus­ge­legt sein muss, um das Sys­tem vor exter­nen Zugrif­fen zu schüt­zen. Dar­über hin­aus wird die Sys­tem­här­tung gere­gelt, wer­den Rah­men­be­din­gun­gen für den Schutz von gespei­cher­ten Infor­ma­tio­nen defi­niert und fest­ge­schrie­ben, dass Netz­werk­zu­griffe nur von befug­ten Per­so­nen erfol­gen dür­fen. Es wird der Ein­satz eines Schwach­stel­len­ma­nage­ments defi­niert. Die Ent­wick­lung von Soft­ware und Appli­ka­tio­nen muss an Best Prac­tice Vor­ge­hens­wei­sen ange­lehnt sein. Der Quell­code von Eigen­ent­wick­lun­gen ist über­prüft wor­den, um even­tu­elle Sicher­heits­lü­cken zu iden­ti­fi­zie­ren und Pro­gram­mier­feh­ler zu vermeiden.

Ebenso fest­ge­schrie­ben wurde die Admi­nis­tra­tion der Infra­struk­tu­ren, denn auf­grund der erwei­ter­ten und pri­vi­le­gier­ten Rechte von Admi­nis­tra­to­ren sind hier tief­grei­fende Maß­nah­men erfor­der­lich. Zuletzt wur­den Anfor­de­run­gen an das Monitoring-​System fest­ge­schrie­ben, da ansons­ten keine Feh­ler­ana­ly­sen mög­lich sind.

In einem drit­ten Prüf­be­reich ging es u.a. darum, spe­zi­fi­sche Anfor­de­run­gen an Beschaf­fung, Ent­wick­lung und War­tung von Infor­ma­ti­ons­sys­te­men zu defi­nie­ren.

Dabei wur­den Sicher­heits­an­for­de­run­gen defi­niert und spe­zi­fi­ziert. Daran anschlie­ßend erfolgte die Vali­die­rung von Ein­gabe– und Aus­ga­be­da­ten. Schließ­lich erfolgte noch die Defi­ni­tion für die Instal­la­tion von Soft­ware und Updates in die Lösung sowie auch Maß­nah­men zum Schutz des Quellcodes.

Ins­ge­samt erfolgte mit die­ser Zer­ti­fi­zie­rung eine kom­plette Ana­lyse und Beur­tei­lung von datomo Mobile Device Manage­ment über das kom­plette Ein­satz­sze­na­rio hin­weg, von der Infra­struk­tur, in die die Lösung ein­ge­bet­tet ist über die Lösungs­kom­po­nen­ten sel­ber selbst bis hin zu den beglei­ten­den Diens­ten. Der Erhalt des TÜV Sie­gels attes­tiert datomo MDM, dass es sich dabei um eine Lösung han­delt, über die zu Recht behaup­tet wer­den kann, dass sie allen Anfor­de­run­gen an eine sichere und zuver­läs­sige Lösung erfüllt, die Unter­neh­mens– und Mit­ar­bei­ter­da­ten adäquat schützt und in der sämt­li­che Daten sicher auf­ge­ho­ben werden.

Gerade in der heu­ti­gen Zeit ist die­ses ein beson­ders wert­vol­les Urteil.

Ich danke allen Betei­lig­ten für ihren Ein­satz, die Ziel­ori­en­tie­rung und den Wil­len, das Ziel zu errei­chen. Diese Zer­ti­fi­zie­rung ist hun­dert­mal mehr Wert als jeder (alberne) Gartner-​Quadrant. Eine Zer­ti­fi­zie­rung vom IT-​TÜV erar­bei­tet man sich, ein Erschei­nen im Gartner-​Quadranten kauft man sich – das ist der wesent­li­che Unter­schied! Wir ver­spre­chen allen Anwen­dern, die heute schon bei uns sind und die noch zu uns kommen:

Wir arbei­ten wei­ter. Versprochen!

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

Share.

Related Posts

Eine Antwort verfassen