Bundesamt für Sicherheit in der Informationstechnik

B 4.8 Bluetooth

Logo B 4.8 Bluetooth

Beschreibung

Bluetooth ist ein offener Industriestandard für ein lizenzfreies Nahbereichsfunkverfahren zur kabellosen Sprach- und Datenkommunikation zwischen IT-Geräten (Kabelersatz und Ad-hoc-Networking). Die Entwicklung von Bluetooth geht auf eine Initiative der Bluetooth Special Interest Group (Bluetooth SIG) im Jahre 1998 zurück, der eine große Zahl von Herstellern angehört.

Mit Bluetooth können mobile Endgeräte über eine Funkschnittstelle schnell und einfach miteinander verbunden werden. Verschiedene in den Geräten definierte Bluetooth-Profile ermöglichen dann die Übertragung von Daten, Sprachsignalen, Steuerungsinformationen bis hin zur Bereitstellung von Diensten, wie beispielsweise FTP oder Modem- und Netzdiensten. Bluetooth funkt, genauso wie WLAN , im lizenzfreien ISM-Band zwischen 2,402 GHz und 2,480 GHz, hat jedoch nur eine Reichweite von circa 100 m, benötigt aber, im Gegensatz zu Infrarot, keine Sichtverbindung zwischen den einzelnen Endgeräten. Bluetooth wird vornehmlich bei mobilen Endgeräten wie Mobiltelefone, PDA s oder Laptops eingesetzt.

In diesem Baustein soll ein systematischer Weg aufgezeigt werden, wie Bluetooth-fähige Endgeräte einer Institution sicher verwendet werden können.

Gefährdungslage

Für den IT-Grundschutz werden im Rahmen der Nutzung von Bluetooth folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.17 Ausfall oder Störung eines Funknetzes

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Technisches Versagen

G 4.60 Unkontrollierte Ausbreitung der Funkwellen
G 4.79 Schwachstellen in der Bluetooth-Implementierung
G 4.80 Unzureichende oder fehlende Bluetooth-Sicherheitsmechanismen

Vorsätzliche Handlungen

G 5.28 Verhinderung von Diensten
G 5.143 Man-in-the-Middle-Angriff
G 5.159 Erstellung von Bewegungsprofilen unter Bluetooth
G 5.160 Missbrauch der Bluetooth-Profile

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Damit Bluetooth sicher eingesetzt werden kann, müssen auch damit gekoppelte Clients sicher konfiguriert sein. Geeignete Sicherheitsempfehlungen für Clients sind in den Bausteinen der Schicht 3 beschrieben.

Im Rahmen des Bluetooth-Einsatzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Um Bluetooth sicher und effektiv einsetzen zu können, sollte ein Konzept erstellt werden, das auf der Gesamt-Sicherheitsstrategie der Institution sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die Bluetooth-Nutzung in der Behörde bzw. im Unternehmen zu regeln und eine Sicherheitsrichtlinie dafür zu erarbeiten (siehe M 2.461 Planung des sicheren Bluetooth-Einsatzes ).

Beschaffung

Für die Beschaffung von Bluetooth-Komponenten müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.462 Auswahlkriterien für die Beschaffung von Bluetooth-Geräten ).

Umsetzung

Je nach Sicherheitsanforderungen müssen die Bluetooth-Komponenten unterschiedlich konfiguriert werden (siehe M 4.362 Sichere Konfiguration von Bluetooth ). Benutzer und Administratoren sind ausreichend zu schulen, um Sicherheitsvorfälle zu minimieren und auf mögliche Gefahren bei einer unsachgemäßen Verwendung von Bluetooth-Komponenten hinzuweisen und zu sensibilisieren (siehe M 3.80 Sensibilisierung für die Nutzung von Bluetooth ).

Betrieb

Bluetooth-Geräte müssen im Betrieb angemessen abgesichert werden (siehe M 4.363 Sicherer Betrieb von Bluetooth-Geräten ).

Aussonderung

Werden Bluetooth-Geräte außer Betrieb genommen, so sind alle sensiblen Informationen wie Zugangsinformationen zu löschen (siehe M 4.364 Regelungen für die Aussonderung von Bluetooth-Geräten ).

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Bluetooth vorgestellt.

Planung und Konzeption

M 2.461 (A) Planung des sicheren Bluetooth-Einsatzes
M 3.79 (W) Einführung in Grundbegriffe und Funktionsweisen von Bluetooth

Beschaffung

M 2.462 (Z) Auswahlkriterien für die Beschaffung von Bluetooth-Geräten

Umsetzung

M 3.80 (A) Sensibilisierung für die Nutzung von Bluetooth
M 4.362 (A) Sichere Konfiguration von Bluetooth

Betrieb

M 2.463 (Z) Nutzung eines zentralen Pools an Bluetooth-Peripheriegeräten
M 4.363 (A) Sicherer Betrieb von Bluetooth-Geräten

Aussonderung

M 4.364 (A) Regelungen für die Aussonderung von Bluetooth-Geräten

Stand: 12. EL Stand 2011