Sicherheit nach BSI-Vorgaben Per Smartphone immer in Kontakt mit der Verwaltung

Redakteur: Gerald Viola

Die Kommunalverwaltung der Landeshauptstadt Hannover hat 200 Führungskräfte und Verwaltungsmitarbeiter mit Smartphones ausgestattet, damit sie sich unterwegs per eMail oder Telefon mit den Fachabteilungen und Ämtern austauschen können. Im Hintergrund sorgt die ubi-Suite für die Einhaltung der Compliance nach BSI-Vorgaben und eine hohe Stabilität ihrer Geräte. Zudem hält die Mobile-Device-Management-Lösung die Aufgaben in Betrieb und Betreuung gering.

Firmen zum Thema

Die mobile Kommunikation zieht in immer mehr Verwaltungen ein – kein Problem, wenn Sicherheit und Kosten stimmen
Die mobile Kommunikation zieht in immer mehr Verwaltungen ein – kein Problem, wenn Sicherheit und Kosten stimmen
( Archiv: Vogel Business Media )

Die Landeshauptstadt Hannover ist mit mehr als 500.000 Einwohnern die größte Stadt in Niedersachsen. In der Kommunalverwaltung sind 10.000 Mitarbeiter beschäftigt, davon arbeiten rund 7.000 Mitarbeiter an einem PC-Arbeitsplatz. In den Fachbereichen, Ämtern und Betrieben der Landeshauptstadt betreut die Fachbereichsadministration die Benutzer-Arbeitsplätze und Smartphones.

Fallende Gerätepreise führten im Laufe der Jahre dazu, dass ein großer Bestand an PDAs mit heterogenen Betriebssystemen in der Kommunalverwaltung eingesetzt wurde, für die das Betreuungs- und Sicherheitskonzept nicht mehr ausreichte. Daher entschloss sich die Kommunalverwaltung im Frühjahr 2009 für die Einführung einer zentralen Mobile-Device-Management-Lösung, die PDAs und Smartphones mit sicherem Pushmail nach BSI-Vorgaben ausstattet. 200 Führungskräfte und Verwaltungsmitarbeiter mit Schwerpunkt Außendienst sind jetzt mit einem HTC Touch Diamond oder einem HTC Touch Pro 2 unterwegs optimal in die Kommunikation eingebunden. Sie sind jederzeit per eMail oder Anruf erreichbar und mit dem mobilen Zugriff auf das Telefon- und Adressbuch der Landeshauptstadt bestens für ihre Aufgaben gerüstet.

Die Projektleitung erhielt Detlev Rackow, Sicherheitsadministrator der Landeshauptstadt Hannover. Da die Einführung neuer Technologien bei der Landeshauptstadt Hannover dem Grundschutzkatalog des BSI unterliegen, ist das Projekt bei ihm in den richtigen Händen. Neben der technischen Betreuung interner Sicherheitssysteme leitet Detlev Rackow den Bereich Mobile Computing.

Nächste Seite: Rechenzentrum stellt die zentrale Infrastruktur

Pflegeleichtes Management

Bei der Landeshauptstadt Hannover stellt das Rechenzentrum die zentrale IT-Infrastruktur und setzt Richtlinien für den sicheren und effizienten Betrieb von IT-Systemen auf. Die Betreuung der mobilen Geräte liegt in den Händen der Administration aus den Fachbereichen und Ämtern. Das Rechenzentrum leistet hier 2nd Level Support. Folglich suchte Detlev Rackow eine Management-Lösung, die das zentrale Erstellen der Konfigurationen im Rechenzentrum und das automatisierte Ausrollen mobiler Geräte durch die Administration in den Fachbereichen, Ämtern und Betrieben erlaubt.

„Um einen pflegeleichten Einsatz zu gewährleisten, musste die Mobile-Device-Management-Lösung intuitiv, also ohne Spezialkenntnisse, von unseren Administrationskräften bedienbar sein“, erklärt der Projektleiter. „Eine weitere Herausforderung waren die von unserem Datenschutzbeauftragten geforderten und vom BSI empfohlenen Sicherheitsmaßnahmen für Smartphones. Danach musste etwa die Datenverschlüsselung auf allen PDAs und Smartphones auch mit älteren Windows-Mobile-Versionen beim automatisierten Rollout sichergestellt werden“, beschreibt Detlev Rackow die Anforderungen. Geräteausfälle und das Umgehen der kommunalen Sicherheitseinstellungen auf den mobilen Geräten durch die Benutzer sollten verhindert werden.

Nach der Evaluierung zentraler Lösungen hat sich die Verwaltung für ubi-Suite von ubitexx entschieden, weil diese Lösung die Sicherheitsanforderungen an Pushmail nach BSI-Vorgaben erfüllt, gängige Windows-Mobile-Versionen ab 5.x unterstützt, geringe Anforderungen an die bestehende IT-Infrastruktur stellt und flexibel in das Administrationskonzept integrierbar ist.

Im Frühjahr 2009 erfolgte die Implementierung der ubi-Suite. Anhand der vom ubitexx-Support bereitgestellten Anleitung hat Detlev Rackow die Einrichtung des Suite Servers selbst vorgenommen. Direkt nach der Installation wurde ein einmonatiger Testlauf erfolgreich durchgeführt.

Nächste Seite: Mobile Kommunikation und Sicherheit

BIS-konforme Smartphones

Danach wurden die Benutzer zügig in das System aufgenommen. In der ubi-Suite hat Detlev Rackow für jedes Amt und jeden Fachbereich eine Benutzergruppe eingerichtet und die Konfigurationen für die Benutzergruppen mit allen notwendigen Programmen und Einstellungen hinterlegt. Grundlegend enthalten alle Benutzerprofile die Einstellungen für Windows Exchange Pushmail, ein vereinfachtes GUI und umfassende Sicherheitsfunktionen. Die Sicherheitspolicies gemäß BSI-Grundschutz BSI-Empfehlungen für Smartphones konnte Detlev Rackow einfach in der ubi-Suite umsetzen.

Per Konfigurationsparameter sind Bluetooth, die Internetrouterfunktion und der Radioempfang deaktiviert, die Windows-Mobile-6.1-eigene Geräteverschlüsselung eingeschaltet und das Installieren sowie Deinstallieren von Software durch den Benutzer gesperrt. Ebenso ist der Benutzerzugriff auf die Registry und andere sicherheitsrelevante Einstellungen der Systemsteuerung gesperrt.

Für die einheitliche Umsetzung der Policy auf allen Smartphones und PDAs sorgt ubi-Suite. Zu den Sicherheitsrichtlinien gehört auch, dass der Einsatz mobiler Anwendungen zentral genehmigt werden muss. So ist bei den Führungskräften der Kommunalverwaltung Google Maps Mobile sehr beliebt. Mit ubiSelect wird Google Maps Mobile zentral ausgerollt und auf der neuesten Version gehalten.

Nächste Seite: Einheitliche Administration

Delegated Administration Roll-out

Bei der Landeshauptstadt Hannover erhalten die Mitarbeiter sofort einsatzbereite Smartphones vom zuständigen Administrator. Er entfernt die Pin-Sperre der SIM-Karte, öffnet im Internet Explorer das ubi-Suite Provisioning und gibt den Benutzernamen, das Aktivierungspasswort sowie den Domännamen ein. ubi-Suite installiert und konfiguriert dann automatisiert Software, Einstellungen und Zertifikate auf dem Smartphone. Der Mitarbeiter gibt nur das Windows-Kennwort ein und kann sofort auf eMails oder Termine zugreifen. Jeder mobile Mitarbeiter kann das Telefon- und Adressbuch der Kommunalverwaltung auf seinem mobilen Gerät nutzen.

Vor Einführung der ubi-Suite musste die Administration der Landeshauptstadt jedes mobile Gerät zeitaufwendig manuell aufsetzen. Die Konfiguration kostete 30 bis 45 Minuten pro Gerät und führte häufig zu Fehlern. Selbst die Parallelinstallation mehrerer Smartphones sparte keine Zeit. Im Gegenteil: Die Fehlerquote stieg. Heute werden neue Smartphones nur noch per Mobilfunknetz (OTA) aufgesetzt. Damit entfallen gut 20 Arbeitsschritte.

Benötigt ein Mitarbeiter ein Smartphone, tragen die Administratoren den User Account in die entsprechende Active-Directory-Gruppe ein, das Gerät erfasst ubi-Suite automatisch bei der Installation. Im Rechenzentrum entstehen nur noch Aufwände, wenn ein neuer Gerätetyp geprüft und zugelassen wird.

Nächste Seite: Fazit und Ausblick

Schnelle Amortisierung

„Ohne die ubi-Suite hätten wir die Smartphones meines Erachtens nur mit erhöhtem Personalaufwand ausrollen können. Im laufenden Betrieb konnten wir zudem den Zeitaufwand für das Einrichten eines Geräts halbieren. Doch noch wichtiger ist der geringe Support. Die Betreuung der Smartphones erfordert rund fünf Stunden im Monat; vorher war es ein Mann-Tag. Durch die strikte Umsetzung unserer Sicherheitsrichtlinien sind Geräteausfälle aufgrund von Benutzereingriffen selten“, konstatiert Detlev Rackow.

Die Mobile-Device-Management-Lösung von ubitexx hat sich für die Landeshauptstadt Hannover innerhalb von vier bis fünf Monaten bezahlt gemacht.

Disaster Recovery inklusiv

Der Sicherheitsadministrator: „Die PIM-Daten liegen zentral auf dem Server und werden auf den Smartphones verschlüsselt vorgehalten. Die Verschlüsselung kann nur durch den rechtmäßigen Benutzer mittels seiner PIN aufgelöst werden.“ Geht ein Gerät verloren, wird es remote in den Auslieferungszustand versetzt. So können Daten keinesfalls in fremde Hände geraten.

Die Beschäftigten und die Administration sind mit ubi-Suite durchweg zufrieden.

(ID:2045202)