Teilweise geben Unternehmen bei der Auswahl und dem Einkauf von Mobilitätslösungen wichtigen Hardware-Sicherheitsaspekten zu wenig Beachtung. Außer Frage steht sicherlich: Sie sollten es tun! Hersteller Zebra geht hier führend voran und hat für seine aktuellen Android 10 Devices kürzlich die sogenannte „Common Criteria Zertifizierung“ in den USA erhalten. Was sich dahinter verbirgt und warum diese Zertifizierung auch für die Kaufentscheidung von Unternehmen in Europa relevant ist, erörtert das nachstehende Interview, das mit Scott Eggers, Leiter des Zertifizierungsprozesses für die Common Criteria im US-Markt von Zebra, und Joe Licari, Leiter des Zebra Enterprise Mobile Computing-Team für Kunden aus dem Regierungs- und Gesundheitswesen in den USA, geführt wurde.
Was sind die Common Criteria?
Eggers: Einfach ausgedrückt, ist Common Criteria ein internationales Sicherheits-Framework zur Bewertung der Sicherheitseigenschaften von IT-Produkten, einschließlich mobiler Geräte und anderer Computerhardware, wie sie von Zebra entwickelt und hergestellt werden. Es ist als ISO 15408 standardisiert. Der Zertifizierungsprozess ist eine intensive Evaluierung, die die Sicherheitsstabilität der Software und Hardware in Bezug auf Berechtigungen, Zugriffskontrolle, Datenvernichtung und Entropie validiert. Außerdem wird sichergestellt, dass auch andere Sicherheitsbereiche berücksichtigt werden, wie z. B. die vom National Institute of Standards and Technology (NIST) validierte FIPS 140-2-Verschlüsselung.
Ist diese Zertifizierung etwas, das alle Organisationen auf Unternehmensebene benötigen?
Licari: In den USA ist es vor allem eine Anforderung der Bundesbehörden, einschließlich des Verteidigungsministeriums (DoD) und des Ministeriums für Veteranenangelegenheiten (VA). Es wird auch von anderen globalen Verteidigungsbehörden verwendet, insbesondere von denen in NATO-Ländern.
Warum war es für Zebra wichtig, diese Zertifizierung für seine Mobile-Computing-Lösungen zu erhalten? War es eine Anfrage von Regierungsbehörden, die daran interessiert waren, Zebra-Mobilitätslösungen in ihren sicheren Umgebungen einzusetzen?
Licari: Der öffentliche Sektor ist einer der am schnellsten wachsenden Märkte von Zebra, daher war dies ein Schwerpunkt für unser Team. Die Common Criteria Zertifizierung ist zunehmend eine Voraussetzung für IT-Produkte, die von der US-Regierung für nationale Sicherheitssysteme gekauft werden. Viele Regierungsbehörden, insbesondere das Verteidigungsministerium (Department of Defense, DoD), nehmen diese Anforderung jetzt in ihre Ausschreibungen auf. Auch wenn es nicht ausdrücklich vorgeschrieben ist, wissen wir aus Gesprächen mit unseren Vertriebsleitern und Regierungsbehörden, insbesondere mit Beschaffungsbeauftragten, dass der Beschaffungsprozess viel reibungsloser verläuft, wenn die Common Criteria Zertifizierung vorgelegt werden kann.
Mit anderen Worten, die Zertifizierung gibt den Kunden eine größere Sicherheit und erleichtert den Agenturen die Beschaffung von mobilen Geräten?
Licari: Ganz genau. Es gibt ihnen die Möglichkeit, die Zebra-Geräte zu kaufen, die sie benötigen. Sie müssen nicht länger Kompromisse bei den Computerfunktionen eingehen, nur um eine Reihe von Sicherheitsanforderungen zu erfüllen. Es gibt den Unternehmen auch die Gewissheit, dass die Lösung zertifiziert ist, um sehr spezifische Sicherheitskriterien zu erfüllen, und dass der Prozess der Spezifikation, Implementierung und Bewertung für diese zertifizierte Lösung auf eine gründliche und standardisierte Weise durchgeführt wurde.
Eggers: Joe hat absolut Recht. Die Tests sind rigoros und werden von einem unabhängig lizenzierten Labor überprüft. Die Ergebnisse werden auf der Website der National Information Assurance Partnership (NIAP) veröffentlicht. Und es ist wichtig anzumerken, dass, auch wenn die Verteidigungsbehörden die Common Criteria-Zertifizierungsstandards definieren und die größte Nachfrage nach der Lösungsevaluierung haben, sie nicht die einzigen sind, die von den Verbesserungen profitieren, die an den Lösungen von Zebra vorgenommen wurden.
Was meinen Sie damit?
Eggers: Ich weiß, dass unser Chief Security Officer, Mike Zachman, dies bereits in einigen Podcasts erwähnt hat, aber Zebra ist ein sehr sicherheitsbewusstes Unternehmen, und wir sind sehr proaktiv bei der Stärkung unserer Lösungen. Jede Entscheidung, die wir treffen, und jede technologische Änderung, die wir letztendlich implementieren, wird von den Bedürfnissen der Kunden sowie den Trends, die wir auf dem Markt sehen und vorhersehen, bestimmt. Wir denken immer darüber nach, wie wir unsere Lösungen und Services verfeinern können, um ihre Abläufe besser zu unterstützen, und wir unternehmen sehr aggressive, definitive Schritte, um den Wert jeder SKU in unserem Portfolio zu erhöhen.
Aber der Return on Investment (ROI) ist nicht ausschließlich eine greifbare Zahl. In der heutigen Welt ist die Technologie in irgendeiner Weise in jeden Arbeitsablauf integriert. Jeder Mitarbeiter hat sie in der Hand. Sie diktiert heute die Produktivitätsraten, die operative Kapazität und die Missionsergebnisse. Sie lenkt jeden Schritt der Teams an der Front. Und das in allen Bereichen: Behörden, Gesundheitswesen, Einzelhandel, Energieversorgung, Anlagenwartung – was immer Sie wollen. Da die mobile Technologie zum Standard geworden ist, ist sie bis an den Rand des Unternehmens vorgedrungen. Eine unvorstellbare Menge an sensiblen Daten wechselt buchstäblich jeden Tag den Besitzer, manchmal in Form einer Datenverbindung, einer Textnachricht, einer E-Mail-App-Benachrichtigung und ebenso oft in Form einer Geräteübergabe. Die Android-Mobilgeräte von Zebra werden häufig als Teil einer gemeinsam genutzten Flotte verwendet.
Daher wollen alle Unternehmen sicherstellen, dass die nächste Person, die ein Gerät in die Hand nimmt, nur die Informationen sieht, für die sie aufgrund einer Sicherheitsfreigabe oder einer anderen Zugriffskontrollmaßnahme die Berechtigung hat. Sie wollen auch sicherstellen, dass diese Geräte nicht zu Schwachstellen für böswillige Akteure werden, um auf Back-End-Systeme zuzugreifen. Auch wenn wir die Common Criteria Zertifizierung angestrebt haben, um sicherzustellen, dass wir die Sicherheitskriterien für unsere Regierungskunden erfüllen, werden alle unsere Kunden davon profitieren.
Hat das gesamte Mobile Computing Portfolio von Zebra die Common Criteria Zertifizierung erhalten?
Eggers: Es gibt 28 Android 10 Handheld-Mobilcomputer, Tablets und Wearables – alle auf dem Qualcomm SD660-Chipsatz -, die derzeit nach dem von National Information Assurance Partnership (NIAP) verwalteten US-Schema zertifiziert sind. Unsere Zertifizierung ist auf der NIAP-Website zu finden.
Gibt es weitere Geräte, die in Zukunft zertifiziert werden?
Licari: Wir werden weiterhin evaluieren, welche anderen Geräte in Zukunft eine Zertifizierung benötigen, basierend auf den Anwendungsfällen der Kunden, und wir sind entschlossen, diesen Prozess zu wiederholen, wenn neue Android-Betriebssystemversionen und Chipsätze auf den Markt kommen.
