KONF.3.6 — Fernlöschung oder -sperre
KANN
Security level: erhöht
Effort 5
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Konfiguration für Endgeräte KANN eine Funktion zur Fernlöschung oder -sperre aktivieren.
Guidance (Erläuterung)
Eine automatische Fernlöschung meint hier die technische Möglichkeit, gespeicherte Daten eines Endgeräts über eine externe Steuerung dauerhaft zu entfernen, während eine Fernsperre das Gerät durch zentral initiierte Befehle unbenutzbar macht, ohne die Daten selbst zu löschen. Funktionen zur Fernlöschung (Remote Wiping) sind insbesondere relevant auf allen mobilen Endgeräten, damit bei Bedarf (z.B. wenn das Endgerät verloren geht oder gestohlen wird) alle Daten auf dem Gerät aus der Ferne gelöscht werden können. Ohne eine solche Funktion könnte ein verlorenes, vergessenes oder unzureichend zurückgesetztes Gerät Daten preisgeben oder unbefugt weiterverwendet werden. Für stationäre Endgeräte ist die Anforderung entbehrlich.
Tags:
Produktbeschreibung
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Endgeräte |
| documentation | Konfigurationshistorie |
| result | eine Funktion zur Fernlöschung oder -sperre |
| action_word | aktivieren |
| modal_verb | KANN |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 4757578a-1000-49e7-96fa-d91affa2c768 |
| sec_level | erhöht |
| effort_level | 5 |
| tags | Produktbeschreibung |
Sub-controls
- KONF.3.6.1 Automatische Fernlöschung oder -sperre
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "KONF.3.6.1",
"params": [
{
"id": "konf.3.6.1-prm1",
"label": "einer längeren Frist",
"props": [
{
"name": "alt-identifier",
"value": "ffc45c05-597f-4be9-9358-124b4a008e50"
}
]
}
],
"parts": [
{
"id": "KONF.3.6.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Endgeräte"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Konfigurationshistorie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine automatische Fernlöschung oder -sperre"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "bei Inaktivität nach {{einer längeren Frist}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "aktivieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Konfiguration für Endgeräte KANN eine automatische Fernlöschung oder -sperre bei Inaktivität nach {{ insert: param, konf.3.6.1-prm1 }} aktivieren."
},
{
"id": "KONF.3.6.1_gdn",
"name": "guidance",
"prose": "Beide Mechanismen können bei längerer Inaktivität ausgelöst werden, also wenn ein Endgerät über einen bestimmten Zeitraum hinweg nicht mehr mit den Systemen der Institution in Kontakt steht oder nicht genutzt wird. Als angemessene Frist für eine solche Inaktivität können z. B. 30 Tage, 60 Tage oder 90 Tage definiert werden, abhängig vom Sicherheitsbedarf und der Einsatzumgebung. Dies kann verhindern, dass ungenutzte Geräte mit sensiblen Daten in Umlauf bleiben oder in falsche Hände geraten. Ein automatisches Entfernen oder Sperren kann hier das Risiko eines Datenabflusses erheblich reduzieren und gleichzeitig eine Kontrolle über den Gerätelebenszyklus sichern. Zur Umsetzung kann die Institution beispielsweise Mobile-Device-Management-Lösungen einsetzen, die nach Ablauf der gewählten Frist automatisiert Fernlöschung oder Fernsperre auslösen. Alternativ kann eine Endpoint-Security-Lösung integriert werden, die periodisch prüft, ob das Gerät eine Verbindung zum Netz herstellt, und bei Überschreiten des Schwellenwerts eine definierte Aktion anstößt. Auch ein Prozess, bei dem Inaktivität zunächst mit einer Warnmeldung angekündigt wird, bevor tatsächlich gesperrt oder gelöscht wird, kann die Benutzerfreundlichkeit erhöhen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "ffc45c05-597f-4be9-9358-124b4a008e50"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Produktbeschreibung"
}
],
"title": "Automatische Fernlöschung oder -sperre"
}
],
"id": "KONF.3.6",
"parts": [
{
"id": "KONF.3.6_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Endgeräte"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Konfigurationshistorie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine Funktion zur Fernlöschung oder -sperre"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "aktivieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Konfiguration für Endgeräte KANN eine Funktion zur Fernlöschung oder -sperre aktivieren."
},
{
"id": "KONF.3.6_gdn",
"name": "guidance",
"prose": "Eine automatische Fernlöschung meint hier die technische Möglichkeit, gespeicherte Daten eines Endgeräts über eine externe Steuerung dauerhaft zu entfernen, während eine Fernsperre das Gerät durch zentral initiierte Befehle unbenutzbar macht, ohne die Daten selbst zu löschen. Funktionen zur Fernlöschung (Remote Wiping) sind insbesondere relevant auf allen mobilen Endgeräten, damit bei Bedarf (z.B. wenn das Endgerät verloren geht oder gestohlen wird) alle Daten auf dem Gerät aus der Ferne gelöscht werden können. Ohne eine solche Funktion könnte ein verlorenes, vergessenes oder unzureichend zurückgesetztes Gerät Daten preisgeben oder unbefugt weiterverwendet werden. Für stationäre Endgeräte ist die Anforderung entbehrlich."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4757578a-1000-49e7-96fa-d91affa2c768"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Produktbeschreibung"
}
],
"title": "Fernlöschung oder -sperre"
}