Mobiles Arbeiten auch in Zukunft sicher : Moderne Plattformlösungen ermöglichen ein lebendiges App-Ökosystem für Verschlusssachen
Wer wollte darauf verzichten? Mobiles Arbeiten hat die Arbeitswelt in vielen Branchen revolutioniert – Mitarbeitende entscheiden oft selbst, wie, wann und wo sie arbeiten. Mobile Anwendungen machens möglich. Allerdings müssen auch beim flexiblen Arbeiten Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet sein. In Zukunft werden Plattformlösungen und AppÖkosysteme noch mehr Flexibilität erlauben und die Funktionspalette signifikant erweitern.
Von Lars Bruchhaus, Jan Metzke und Yvonne Omlor, Referat VS-IT Portfoliomanagement, BSI
Die mobile Kommunikation gehört zu den besonders innovativen und sich rasant entwickelnden Bereichen der IT-Branche. „New Normal“ heißt, es wird erwartet, dass die Arbeit überall und jederzeit erledigt werden kann. Das gelingt mit mobilen Endgeräten, die dank einfach zu installierender Apps und aufgrund ihrer Leistungsfähigkeit zu universellen Werkzeugen geworden sind.
Diese Entwicklung birgt jedoch auch Risiken: Gehen mobile Geräte verloren oder werden sogar gestohlen, sind potenziell vertrauliche Daten gefährdet. Auch Missbrauch und Manipulation der Geräte sind ein Risiko, zum Beispiel wenn Nutzende unbemerkt überwacht werden.
Sicher mobil in der Bundesverwaltung
Das BSI arbeitet seit vielen Jahren mit verschiedenen Herstellern an Lösungen für die Bundesverwaltung zum sicheren mobilen Arbeiten, einschließlich mit Verschlusssachen bis zum Einstufungsgrad VS – nur für den Dienstgebrauch (VS-NfD). Bei diesen Lösungen wird der klassische sicherheitstechnische Dreiklang umgesetzt: „Data at Rest“ – sichere Speicherung auf den Endgeräten, „Data in Use“ – Sicherheit bei der Arbeit mit den Daten und „Data in Transit“ – sichere Anbindung ans Backend. Mit einem Mobile-Device- Management (MDM) werden die Endgeräte verwaltet und sicher konfiguriert.
Obwohl mobile Betriebssysteme oft über gute Sicherheitsmechanismen verfügen, sind diese aufgrund der Komplexität der Systeme und der hohen Entwicklungsdynamik ohne eine enge Zusammenarbeit mit den Herstellern schwer zu bewerten. Daher waren Hersteller sicherer mobiler Lösungen bisher häufig gezwungen, eigene Sicherheitsmechanismen für Produkte wie SecurePIM Government SDS oder SecuSUITE for Samsung Knox zu entwickeln. Auf diese Weise lässt sich ein hohes, nachweisbares Sicherheitsniveau erreichen, funktionale Erweiterungen stellen sich jedoch oft als aufwendig und schwierig umsetzbar heraus.
Deshalb hat das BSI in den vergangenen Jahren die Zusammenarbeit mit den Herstellern Apple und Samsung ausgebaut und native Sicherheitsfunktionen in den Plattformen iOS/iPadOS und Samsung Knox evaluiert. Diese überprüfte Plattformsicherheit ist die Basis für die Lösungen „indigo“ und perspektivisch „Knox Native Solution“.
Plattformlösungen
Native Sicherheitsfunktionen bilden das Fundament für die Lösungen indigo und Knox Native Solution. Beide ermöglichen bereits einen abgesicherten Zugriff auf E‑Mails, Kalender und Kontakte auf VS-NfD-Niveau über die vorinstallierten nativen Apps. Darüber hinaus bietet indigo eine VS-NfD-konforme S/MIME-Verschlüsselung. Die zugrunde liegende Verschlüsselung basiert bei indigo auf dem nativ verbauten Sicherheitsanker von Apple, der Secure Enclave, während Knox Native Solution auf ein gemeinsam mit dem BSI entwickeltes Java-Card-Applet setzt, das im zertifizierten Embedded Secure Element von Samsung ausgeführt wird. Die Trennung zwischen persönlichen und dienstlichen Apps wird ermöglicht durch die Separationsmechanismen des Betriebssystems sowie eine evaluierte, native VPN-Technologie (Abb. 1).
Die nativen Sicherheitsfunktionen schonen nicht nur das interne Netz und verbessern die Akkulaufzeit. Sie schaffen auch ein Erlebnis, wie Nutzende es von ihren privaten Endgeräten kennen. Durch ihre Skalierbarkeit bilden native Sicherheitsfunktionen außerdem die Basis eines lebendigen Ökosystems, das sukzessive und kontinuierlich den Funktionsumfang der mobilen Lösungen durch die dynamische Aufnahme zusätzlicher sicherer Apps erweitert.
Ausblick: App-Ökosystem
Mit TrustOwl sowie Secu-FOX als Intranet-Browser und Secu-OFFICE sowie TrustDok für die Dokumentenverarbeitung sind erste Apps verfügbar, die sich auf die nativen Sicherheitsmechanismen der indigo-Plattform stützen. Zusätzlich stehen Nutzenden der freigegebenen indigo-Lösung die Apps Wire und SecuVOICE für sichere Kommunikation zur Verfügung. Auch die parallele Weiternutzung bisheriger Lösungen wie etwa SecurePIM im Sinne einer sanften Migration ist möglich.
Durch Nutzung geprüfter Sicherheitsfunktionen können zukünftig auch weitere bereits verfügbare Apps und Eigenentwicklungen für die Bundesverwaltung bereitgestellt werden. Hierzu entwickelt das BSI mit einer Prüfstelle einen leicht zugänglichen Prozess (Abb. 2). Sowohl die bereits existierenden Apps als auch die Eigenentwicklungen werden einer Prüfung unterzogen. Dabei wird die korrekte Nutzung der bereits evaluierten Sicherheitsfunktionen nachgewiesen. Zusätzlich werden valide Prozesse zur Fehlerbehebung und zum Lifecycle sichergestellt. Nach erfolgreicher Prüfung können die Apps in den Plattformlösungen genutzt werden.
Der modulare Aufbau des Ökosystems erlaubt die kontinuierliche Weiterentwicklung. Zukünftige Apps können einfach integriert werden, ohne dass umfangreiche Neuentwicklungen für die Plattform erforderlich sind. Damit kann die Bundesverwaltung auch in Zukunft von innovativen, bedarfsgerechten Lösungen für die sichere, mobile Arbeit profitieren und gleichzeitig einen hohen Schutz ihrer Daten gewährleisten.
Impressum
Redaktion: Katrin Alberts (verantwortlich), Brigitte Hoffmann
E-Mail: katrin.alberts@bsi.bund.de
Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn
Hausanschrift:
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455
Web:www.bsi.bund.de
Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit
Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss. 32. Jahrgang 2024