Jahresbericht 2019, Nr. 10 - Einsatz mobiler Endgeräte
- erhebliche Risiken für IT-Sicherheit und Datenschutz -
Wesentliches Ergebnis der Prüfung
Die Landesverwaltung setzte 2017 fast 2.000 mobile Endgeräte (Smartphones und Tablets) ein. Es wurden 201 Gerätetypen von 16 Herstellern verwendet. Auf knapp 1.000 Geräten (ohne Polizei) waren 59 verschiedene Betriebssystemversionen installiert. Eine einheitliche Produktstrategie auf Grundlage einer Wirtschaftlichkeitsuntersuchung war nicht vorhanden.
Die Betriebssysteme von 62 % der Geräte waren nicht auf einem aktuellen Stand. Sicherheitsrelevante Updates waren nicht durchgeführt worden oder nicht mehr verfügbar. Dadurch waren ein sicherer Betrieb und der Datenschutz nicht gewährleistet.
Die Konfiguration des überwiegenden Teils der mobilen Endgeräte entsprach nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik. Landeseinheitliche und verbindliche Mindeststandards für die technischen und organisatorischen Sicherheitsmaßnahmen für den Einsatz mobiler Endgeräte fehlten.
Auf den zentral verwalteten mobilen Endgeräten waren fast 700 verschiedene Apps installiert, ohne dass die damit verbundenen Risiken für die Informationssicherheit in einem Freigabeprozess bewertet worden waren. Eine Prüfung, ob ein dienstlicher Bedarf für die Nutzung der Apps besteht und welcher Schutzbedarf für die verarbeiteten Daten und Informationen zu berücksichtigen ist, war unterblieben.
Bei über 700 Geräten, die nicht zentral verwaltet wurden, konnten keine einheitlichen Sicherheitsstandards durchgesetzt und Notfallaktionen ausgelöst werden. Ein großer Teil dieser Geräte hatte Zugriff auf die IT-Infrastruktur des Landes.
Bei auch privater Nutzung dienstlicher Geräte lagen keine Einwilligungserklärungen der Benutzer vor, die es den Dienststellen gestatteten, die für die IT-Sicherheit und den Datenschutz erforderlichen Zugriffe, Kontrollen und Maßnahmen durchzuführen.