umwelt-online: ISRL-Mobile Endgeräte - Informationssicherheitsrichtlinie über die Nutzung von mobilen Endgeräten

ISRL-Mobile Endgeräte - Informationssicherheitsrichtlinie über die Nutzung von mobilen Endgeräten
- Niedersachsen -

Vom 11. Juni 2013
(Nds. MBl. Nr. 25 vom 17.07.2013 S. 482; 10.04.2017 S. 487 ¹⁷; 25.11.2020 S. 1492*)

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 11.6.2013 - MI-42.4-02850/0110-0002 -

1.1 Diese Informationssicherheitsrichtlinie über die Nutzung von mobilen Endgeräten (ISRL-Mobile Endgeräte) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit (ISLL) - Bezugserlass zu a - in Form von Mindestanforderungen die dienstliche Nutzung mobiler Endgeräte durch Anwenderinnen und Anwender. Diese bereichspezifischen Sicherheitsanforderungen gelten in Ergänzung der ISRL-IT-Nutzung (Bezugserlass zu b).

1.2 Mobile Endgeräte i. S. dieser Informationssicherheitsrichtlinie sind informationstechnische und kommunikationstechnische Geräte, die aufgrund ihrer Größe und ihres Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind. Hierzu zählen insbesondere

1.3 Für nicht personalisierte mobile Endgeräte ohne Anbindung an das Landesnetz, deren Daten nur einen geringen Schutzbedarf haben, sind abweichende Maßnahmen im Einzelfall möglich.

1.4 Die Verwendung eines privaten mobilen Endgerätes zur Führung dienstlicher Telefonate in Ausnahmefällen ist keine dienstliche Nutzung i. S. dieser Informationssicherheitsrichtlinie.

1.5 ¹⁷Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der ISLL (Nummern 1.1 bis 1.3 des Bezugserlasses zu a).

Die Behördenleitung ist für die Gewährleistung der Informationssicherheit innerhalb ihrer Behörde verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und umsetzbar sind.

3.3 Die individuellen Sicherheitsanforderungen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

3.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 5) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

Die Behördenleitung legt die innerbehördliche Zuständigkeit (zuständige Stelle) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5.1.1 Es sind Regelungen über die sichere Aufbewahrung von mobilen Endgeräten durch die Anwenderinnen und Anwender zum Schutz vor Diebstahl und unberechtigtem Zugang zu treffen. Diese müssen insbesondere auch die Aufbewahrung im häuslichen Umfeld, auf Reisen sowie in Kraftfahrzeugen umfassen.

5.1.2 Es sind Regelungen über die Weitergabe des mobilen Endgerätes an Dritte zu treffen. Soweit die Weitergabe an Dritte nicht generell ausgeschlossen wird, ist sicherzustellen, dass das Gerät während der Benutzung durch die Dritte oder den Dritten ständig durch die verantwortliche Anwenderin oder den verantwortlichen Anwender überwacht oder vor der Weitergabe ausgeschaltet wird.

5.2.1 Sollte die Einrichtung eines sicheren Passwortes gemäß der ISRL-IT-Nutzung nicht möglich sein, ist sicherzustellen, dass das mobile Endgerät zumindest über eine PIN vor unberechtigtem Zugang geschützt ist. Gleiches gilt, wenn die technischen Gegebenheiten die Eingabe eines sicheren Passwortes nur unter deutlichen Erschwernissen zulassen.

5.2.2 Es sind Regelungen über eine automatische Sperrung nach Zeitablauf sowie eine manuelle Sperrung mobiler Endgeräte bei Nichtbenutzung zu treffen.

5.3.1 Die Speichermedien mobiler Endgeräte sind zu verschlüsseln, soweit dies technisch möglich ist und der Sicherungsaufwand in einem angemessenen Verhältnis zum Schutzbedarf der jeweiligen Daten steht.

5.3.2 Es sind Regelungen zu treffen, nach denen die Speicherung von Daten auf dem mobilen Endgerät auf das notwendige Mindestmaß zu beschränken ist. Dies gilt auch für den Umfang der Datensynchronisierung des E-Mail-Postfachs und des Kalenders.

5.3.3 ¹⁷ Es können Regelungen getroffen werden, nach denen vertrauliche Daten bestimmter Schutzkategorien gemäß der ISRL-Konzeption, personenbezogene Daten bestimmter Schutzstufen sowie Verschlusssachen von der Speicherung auf mobilen Endgeräten ausgenommen sind.

5.4.1 Es sind Regelungen zu treffen, nach denen drahtlose Datenschnittstellen wie Wireless-LAN und Bluetooth ausschließlich bei einem konkreten Bedarf aktiviert werden dürfen. Hiervon ausgenommen ist die Verbindung mit einem Mobilfunknetz.

5.4.2 Die Behördenleitung kann weitergehende Regelungen hinsichtlich der Bedingungen für die Aktivierung drahtloser Datenschnittstellen und für die Einwahl in Funknetzwerke treffen.

5.4.3 Es ist sicherzustellen, dass eine drahtgebundene oder drahtlose Koppelung von mobilen Endgeräten ausschließlich mit vertrauenswürdigen Partnergeräten erfolgen darf.

5.5.1 Die Regelung zum Einsatz und zur Installation von Computerprogrammen gemäß der ISRL-IT-Nutzung gilt für den Einsatz und die Installation mobiler Anwendungen (Apps) auf Smartphones und Tablet-Computern entsprechend.

5.5.2 Die Genehmigung für den Einsatz und die Installation von Apps kann auch generell durch eine Freigabeliste erfolgen. Vor Aufnahme einer App in die Freigabeliste ist eine Risikoanalyse nach den Kriterien gemäß der ISRL-IT-Nutzung durchzuführen.

Es sind Regelungen darüber zu treffen, wie sich die Anwenderin oder der Anwender bei Verlust des mobilen Endgerätes zu verhalten hat, um sicherzustellen, dass die Verlustmeldung unverzüglich der zuständigen Stelle übermittelt wird.

Dieser Gem. RdErl. tritt mit Wirkung vom 01.03.2013 in Kraft und mit Ablauf des 30.06.2021 außer Kraft

Diese Dienstanweisung regelt die dienstliche Nutzung mobiler Endgeräte durch die Anwenderinnen und Anwender. Diese Dienstanweisung gilt in Ergänzung der Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender in der jeweils geltenden Fassung. Die Maßnahmen der Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender finden auf mobile Endgeräte ebenfalls Anwendung, soweit sich aus dieser Dienstanweisung keine abweichenden Maßnahmen ergeben.

Diese Dienstanweisung gilt für alle Anwenderinnen und Anwender (der betreffenden Organisationseinheit).

Mobile Endgeräte i. S. dieser Dienstanweisung sind informationstechnische und kommunikationstechnische Geräte, die aufgrund ihrer Größe und ihres Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind. Hierzu zählen insbesondere

Die Verwendung eines privaten mobilen Endgerätes zur Führung dienstlicher Telefonate in Ausnahmefällen ist keine dienstliche Nutzung i. S. dieser Dienstanweisung.

Mobile Endgeräte sind von den Anwenderinnen und Anwendern sicher aufzubewahren, um einen Zugang von Dritten zu verhindern. Sollte das Gerät auf Dienstreisen in einem Hotel verbleiben müssen, ist sicherzustellen, dass dieses nicht offen sichtbar im Hotelzimmer aufbewahrt wird. Bei Flugreisen dürfen mobile Endgeräte nicht mit dem Reisegepäck aufgegeben werden. Sollte ein Verbleib des Gerätes in einem verschlossenen Kraftfahrzeug notwendig sein, ist das Gerät so zu lagern, dass es nicht von außen wahrnehmbar ist.

Bei einem nicht nur kurzzeitigen Gebrauch eines mobilen Endgerätes in einer offen zugänglichen Umgebung ist das Gerät, soweit technisch möglich, physisch zu sichern. Dies kann beispielsweise mittels eines Kensingtonschlosses erfolgen.

3.3.1 Mobile Endgeräte dürfen von den Anwenderinnen und Anwendern nicht an Dritte weitergegeben werden. Dies gilt auch für eine nur kurzzeitige Weitergabe.

3.3.2 Anderen Bediensteten der Landesverwaltung darf von den Anwenderinnen und Anwendern kurzzeitig der physische Zugang zum mobilen Endgerät gewährt werden, soweit hierfür eine dienstliche Notwendigkeit besteht. Die verantwortliche Anwenderin oder der verantwortliche Anwender hat dabei das mobile Endgerät ständig zu überwachen.

3.3.3 Eine Weitergabe an Dritte ist ausnahmsweise gestattet, wenn die Mitführung eines mobilen Endgerätes beim Zugang zu einer Einrichtung nicht gestattet ist und eine Lagerung beim Pförtner oder Sicherheitsdienst dieser Einrichtung vorgesehen ist. Eine Weitergabe ist nur bei vertrauenswürdigen Organisationen gestattet. Das Gerät ist vor der Weitergabe stets auszuschalten.

Soweit dies nicht bereits im Rahmen der Systemadministration erfolgt ist, sind mobile Endgeräte durch die Anwenderin oder den Anwender mit einem Passwort gemäß Nummer 4.2 der Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender zu sichern und so zu konfigurieren, dass sie sich nach spätestens 15 Minuten ohne Nutzerinteraktion automatisch sperren und für die Freigabe ein Passwort erforderlich ist. Sollte diese Sicherung technisch nicht möglich sein (z.B. bei "einfachen" Mobiltelefonen), ist zumindest die Sicherung des Gerätes mittels einer PIN vorzunehmen. Soweit die Eingabe eines Passwortes gemäß Nummer 4.2 der Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender nur unter deutlichen Erschwernissen möglich ist (z.B. wenn Sonderzeichen nicht direkt zugänglich sind), kann ebenfalls die Sicherung mittels einer PIN erfolgen.

5.1 Der Umfang der auf dem mobilen Endgerät gespeicherten Daten ist von den Anwenderinnen und Anwendern möglichst gering zu halten. Zu diesem Zweck ist die Notwendigkeit des Datenbestandes auf dem Gerät regelmäßig zu überprüfen. Nicht länger in der mobilen Anwendung benötigte Daten sind zu löschen. Dies schließt auch den synchronisierten Datenbestand des E-Mail-Postfachs und des Kalenders ein.

vorübergehend gespeichert werden, soweit diese Daten durch eine Verschlüsselung gesichert sind.

6.1 Drahtlose Datenschnittstellen wie Wireless-LAN oder Bluetooth dürfen durch die Anwenderin oder den Anwender ausschließlich bei einem konkreten Bedarf aktiviert werden. Sollten diese Schnittstellen nicht mehr benötigt werden, sind diese unverzüglich wieder zu deaktivieren. Hiervon ausgenommen ist die Verbindung mit einem Mobilfunknetz (GSM, UMTS, LTE).

6.2 Eine drahtgebundene oder drahtlose Verbindung eines mobilen Endgerätes mit einem Partnergerät (z.B. anderes mobiles Endgerät, Headset, Drucker) darf ausschließlich mit vertrauenswürdigen Partnergeräten erfolgen.

6.3 Sollte zur Koppelung mit einem Partnergerät über Bluetooth die "Sichtbarkeit" des Bluetooth-Adapters notwendig sein, ist dieser als "vorübergehend sichtbar" zu konfigurieren. Die Pflicht zu einer unverzüglichen Deaktivierung des Adapters nach Beendigung der Anwendung bleibt unberührt.

6.4 Die Pflichten gemäß den Nummern 6.1 bis 6.3 bestehen nur, wenn die Anwenderin oder der Anwender beim eingesetzten Gerät auch die tatsächliche Möglichkeit zur Umsetzung hat.

7.1 Auf Smartphones und Tablet-Computern dürfen mobile Anwendungen (Apps) ausschließlich mit Genehmigung (der zuständigen Stelle) installiert werden.

7.2 (Die zuständige Stelle) hat eine (im Intranet unter ... einsehbare) Liste von Apps erstellt, deren Installation auch ohne eine Genehmigung im Einzelfall zulässig ist.

Bei Verlust eines mobilen Endgerätes, einer Speicherkarte oder einer SIM-Karte (ist/sind) unverzüglich die (zuständige Stelle) (sowie die oder der Vorgesetzte) zu informieren. (Zusätzlich ist der Servicedesk von IT.N, Tel. 120-3999, zu unterrichten.) Dies gilt auch, falls das Gerät wiederaufgefunden wird.

(Die zuständige Stelle) kann (im Einvernehmen mit der oder dem Informationssicherheitsbeauftragten) nach pflichtgemäßem Ermessen im Einzelfall Ausnahmen von den Regelungen dieser Dienstanweisung zulassen. Die Ausnahmen sind zu dokumentieren und durch Ersatzmaßnahmen abzusichern.