Bundesamt für Sicherheit in der Informationstechnik

B 3.404 Mobiltelefon

Logo Mobiltelefon

Beschreibung

In diesem Baustein werden digitale Mobiltelefone nach dem GSM -Standard (Global System for Mobile communication, D- und E-Netze), UMTS (Universal Mobile Telecommunications System) und LTE (Long Term Evolution) betrachtet. Bei LTE werden Telefonate über Datenpakete abgewickelt, sodass dann zusätzlich Baustein B 4.7 VoIP zu betrachten ist. Handelt es sich beim Mobiltelefon um ein Smartphone, ist auch Baustein B 3.405 Smartphones, Tablets und PDAs und gegebenenfalls Baustein B 3.203 Laptop umzusetzen. Verwendet das Mobiltelefon VPN -Techniken, um sich beispielsweise mit dem Netz der Institution zu verbinden, sollte außerdem Baustein B 4.4 VPN betrachtet werden.

Um ein Mobiltelefon mit einem Mobilfunknetz zu verbinden, braucht es eine SIM-Karte ( SIM - Subscriber Identity Module). Damit kann in den Mobilfunknetzen zwischen Benutzer und Gerät unterschieden werden.

Ein Mobiltelefon ist durch seine international eindeutige Seriennummer ( IMEI - International Mobile Equipment Identity) gekennzeichnet. Der Benutzer wird durch seine auf der SIM -Karte gespeicherte Kundennummer (IMSI - International Mobile Subscriber Identity) identifiziert. Sie wird dem Teilnehmer beim Vertragsabschluss vom Mobilfunkanbieter zugeteilt. Sie ist zu unterscheiden von den ihm zugewiesenen Telefonnummern ( MSISDN ) (mindestens eine) . Durch diese Trennung ist es möglich, dass ein Teilnehmer mit seiner SIM -Karte verschiedene Mobiltelefone nutzen kann

Auf der SIM -Karte wird unter anderem die teilnehmerbezogene Rufnummer ( MSISDN ) gespeichert. Ebenso sind dort die kryptografischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung (zwischen Mobiltelefon und Basisstation) implementiert.

Gefährdungslage

Für den IT -Grundschutz werden im Zusammenhang mit Mobiltelefonen folgende typische Gefährdungen angenommen:

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
G 3.77 Mangelhafte Akzeptanz von Informationssicherheit
G 3.123 Unerlaubte private Nutzung des dienstlichen Mobiltelefons, Smartphones, Tablets oder PDAs

Technisches Versagen

G 4.32 Nichtzustellung einer Nachricht
G 4.41 Nicht-Verfügbarkeit des Mobilfunknetzes
G 4.42 Ausfall des Mobiltelefons, Smartphones, Tablets oder PDAs

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.4 Diebstahl
G 5.27 Nichtanerkennung einer Nachricht
G 5.94 Missbrauch von SIM-Karten
G 5.95 Abhören von Raumgesprächen über Mobiltelefone
G 5.96 Manipulation von Mobiltelefonen
G 5.97 Unberechtigte Datenweitergabe über Mobiltelefone
G 5.98 Abhören von Mobiltelefonaten
G 5.99 Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen
G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten
G 5.192 Vortäuschen falscher Anrufer-Telefonnummern oder SMS-Absender

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT -Grundschutz. Für Mobiltelefone sind eine Reihe von Maßnahmen erforderlich, beginnend mit der Planung über den Betrieb bis zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Es sollte eine Sicherheitsrichtlinie erstellt werden, die umzusetzende Maßnahmen zum sicheren Umgang mit Mobiltelefonen beschreibt (siehe M 2.188 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung ). Bei häufigem und wechselndem dienstlichen Gebrauch von Mobiltelefonen, die vom Unternehmen oder der Behörde zur Verfügung gestellt werden, kann es sinnvoll sein, diese Telefone in einer Sammelaufbewahrung zu halten (siehe M 2.190 Einrichtung eines Mobiltelefon-Pools ).

Umsetzung

Es gibt verschiedene Sicherheitsmechanismen bei Mobiltelefonen, abhängig vom eingesetzten Mobiltelefon, von der SIM -Karte und vom gewählten Netzbetreiber. M 4.114 Nutzung der Sicherheitsmechanismen von Mobiltelefonen gibt einen Überblick über die wichtigsten Sicherheitsfunktionen dieser Geräte und beschreibt, wie diese genutzt werden könnten.

Betrieb

Damit Mobiltelefone geordnet und zuverlässig genutzt werden können, müssen einige Maßnahmen umgesetzt werden, zu denen die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören (siehe M 4.115 Sicherstellung der Energieversorgung von Mobiltelefonen und M 5.79 Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung ) Falls mit dem Gerät Daten übertragen werden, sind ebenfalls einige spezifische Maßnahmen zu beachten, um einerseits eine zuverlässige Funktionsweise zu gewährleisten und andererseits gegen Missbrauch geschützt zu sein (siehe M 5.81 Sichere Datenübertragung über Mobiltelefone ). Wird das Telefon verloren, sollte die SIM-Karte dieses Telefons unverzüglich gesperrt werden, um Missbrauch und unnötige Kosten zu verhindern (siehe M 2.189 Sperrung des Mobiltelefons bei Verlust ). Für die speziellen Gefährdungen der Informationssicherheit durch Mobiltelefone müssen die betreffenden Mitarbeiter besonders sensibilisiert werden (siehe M 2.558 Sensibilisierung der Mitarbeiter zur Informationssicherheit bei Mobiltelefonen, Smartphones, Tablets und PDAs ).

Aussonderung

Da sich auf Mobiltelefonen in der Regel vertrauliche Daten befinden, muss geregelt werden, wie die Geräte auszusondern sind. In Maßnahme M 4.465 Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs werden Empfehlungen gegeben. Falls die Geräte herausnehmbare Speicherkarten besitzen, ist für diese Karten Maßnahme M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln anzuwenden, die beschreibt, wie die herausnehmbaren Speicherkarten entsorgt werden.

Notfallvorsorge

In der Maßnahme M 6.72 Ausfallvorsorge bei Mobiltelefonen werden wichtige Vorkehrungen beschrieben, durch die sich der Benutzer vor Ausfall und bei Verlust eines Mobiltelefons schützen kann.

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Mobiltelefonen vorgestellt.

Planung und Konzeption

M 2.188 (A) Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
M 2.190 (Z) Einrichtung eines Mobiltelefon-Pools

Umsetzung

M 4.114 (A) Nutzung der Sicherheitsmechanismen von Mobiltelefonen

Betrieb

M 2.189 (A) Sperrung des Mobiltelefons bei Verlust
M 2.558 (A) Sensibilisierung der Mitarbeiter zur Informationssicherheit bei Mobiltelefonen, Smartphones, Tablets und PDAs
M 4.115 (B) Sicherstellung der Energieversorgung von Mobiltelefonen
M 4.255 (A) Nutzung von IrDA-Schnittstellen
M 5.78 (Z) Schutz vor Erstellen von Bewegungsprofilen bei der Mobiltelefon-Nutzung
M 5.79 (Z) Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung
M 5.80 (Z) Schutz vor Abhören der Raumgespräche über Mobiltelefone
M 5.81 (B) Sichere Datenübertragung über Mobiltelefone

Aussonderung

M 2.13 (A) Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
M 4.465 (A) Aussonderung von Mobiltelefonen, Smartphones, Tablets und PDAs

Notfallvorsorge

M 6.72 (C) Ausfallvorsorge bei Mobiltelefonen

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK