Bundesamt für Sicherheit in der Informationstechnik

M 2.461 Planung des sicheren Bluetooth-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Bluetooth kann anhand der vielen verfügbaren Anwendungsprofile in unterschiedlichen Szenarien zum Einsatz kommen. Daher sind im Vorfeld einige Planungen in der Institution notwendig, um Bluetooth sicher betreiben zu können. Generell ist festzulegen, welche Strategie die Institution im Hinblick auf Bluetooth einnimmt und in welchem Umfang die einzelnen Funktionen und Anwendungsprofile verwendet werden sollen.

Generell müssen zwei Arten von Bluetooth-Geräten unterschieden werden:

  • Endgeräte mit Bluetooth-Funktionalitäten (kurz: Bluetooth-Endgeräte), beispielsweise Mobiltelefone, Smartphones, Laptops usw. .
  • Peripheriegeräte mit Bluetooth-Funktionalitäten (kurz: Bluetooth-Peripheriegeräte), beispielsweise Maus, Tastatur, Headset usw.

Bluetooth-Endgeräte verfügen in der Regel über alle Funktionen der Bluetooth-Spezifikationen und die implementierten Sicherheitsfunktionen können frei verwendet werden. Bluetooth-Peripheriegeräte erweitern Bluetooth-Endgeräte durch ihre speziellen Funktionen. Sie können in der Regel die vorhandenen Sicherheitsfunktionen allerdings nur eingeschränkt nutzen. Bluetooth-Peripheriegeräte verwenden dafür meist einzelne Anwendungsprofile der Bluetooth-Endgeräte.

Der Einsatzzweck der Bluetooth-Peripheriegeräte ist meist durch die Bauart festgelegt. So kann ein Bluetooth-Headset ausschließlich zur Sprachübermittlung und eine Bluetooth-Tastatur nur als Eingabegerät verwendet werden. Die Endgeräte haben im Gegenzug eine Vielzahl von Einsatzmöglichkeiten. So kann beispielsweise ein Mobiltelefon über Bluetooth einem Laptop Modem-Funktionalitäten anbieten oder es können Daten zwischen zwei Bluetooth-Endgeräten ausgetauscht werden.

Zunächst muss also überlegt werden, für welche Zwecke innerhalb und außerhalb der Institution Bluetooth-Geräte eingesetzt werden sollen. Im nächsten Schritt ist zu definieren, in welchen Bereichen und unter welchen Rahmenbedingungen Bluetooth eingesetzt werden darf und in welchen nicht. So sollte beispielsweise in Institutionsbereichen, in denen geschäftskritische Informationen verarbeitet werden, keine Bluetooth-Eingabegeräte verwendet werden, da bei diesen über Keylogging-Angriffe Tastatureingaben mitgeschnitten werden könnten. Daher muss klar geregelt sein, welche Bluetooth-Funktionen in welchen Bereichen der Institution eingesetzt werden darf. Auch wenn die Bluetooth-Nutzung innerhalb bestimmter räumlicher Grenzen untersagt wird, können sich trotzdem Geräte mit Bluetooth-Schnittstellen innerhalb dieser Bereiche befinden. Um zu verhindern, dass diese von außen angesprochen werden, sind entweder die Bluetooth-Schnittstellen dieser Geräte zu deaktivieren oder die Mitnahme von Geräten mit Bluetooth-Schnittstellen wie z. B. Mobiltelefonen oder PDAs in diese Bereiche zu verbieten.

Darüber hinaus muss entschieden werden, welche Sicherheitsfunktionen grundlegend eingesetzt werden sollen, um die Bluetooth-Geräte und die Kommunikation zwischen zwei Bluetooth-Geräten abzusichern (siehe M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth ). Diese Entscheidung ist die Grundlage für die sichere Konfiguration und den sicheren Betrieb der Bluetooth-Geräte (siehe M 4.362 Sichere Konfiguration von Bluetooth und M 4.363 Sicherer Betrieb von Bluetooth-Geräten ). Ebenso müssen Regelungen für die Benutzer existieren, die beschreiben, was bei der Nutzung von Bluetooth-Geräten und deren Sicherheitsfunktionen beachtet muss.

Die Rahmenbedingungen für die Bluetooth-Nutzung müssen in der Sicherheitsrichtlinie der Institution verankert sein.

Um Bluetooth und die damit verbundenen Geräte sicher betreiben zu können, sind die folgenden Punkte wesentlich:

  • Die Arbeitsweise und Technik der eingesetzten drahtlosen Kommunikationssysteme müssen von den für den Betrieb Verantwortlichen vollständig verstanden werden.
  • Die Sicherheit der eingesetzten Technik sollte regelmäßig evaluiert werden. Ebenso sollten regelmäßig die Sicherheitseinstellungen der benutzten Endgeräte ( z. B. Mobiltelefone, Laptops, PDA s) untersucht werden. Sicherheitsrelevante Patches und Updates müssen schnellstmöglich aufgespielt werden.
  • Die Rahmenbedingungen für die Bluetooth-Nutzung müssen in der Sicherheitsrichtlinie der Institution verankert sein.
  • Es ist festzulegen, ob die Bluetooth-Nutzung genehmigt oder unterbunden werden soll. Beispielsweise kann es aus Sicherheitsgründen sinnvoll sein, die Bluetooth-Nutzung bei dienstlichen IT -Geräten generell oder in bestimmten Bereichen zu untersagen.
  • Um die übertragenen Daten zu schützen, müssen Vorgaben ausgearbeitet werden, die sich unter anderem mit der Auswahl adäquater Verschlüsselungs- und Authentikationsverfahren, deren Konfiguration und Schlüsselmanagement beschäftigen.

Sicherheitshinweise für die Bluetooth-Nutzung

Den Benutzern sollten einfache und klare Sicherheitshinweise für die Bluetooth-Nutzung zur Verfügung gestellt werden. In diesen muss unter anderem erklärt werden, welche Verantwortung die Benutzer bei Bluetooth-Nutzung übernehmen, welche Einstellungen an den Bluetooth-Geräten sicherheitsrelevant sind,sowie welche Einstellungen von den Benutzern vorgenommen werden dürfen bzw. müssen und welche von den Administratoren durchgeführt werden. Darüber hinaus ist darin zu definieren welche Arten von Daten über Bluetooth übertragen werden dürfen.

Viele von Endbenutzern verwendete Geräte wie Mobiltelefone oder PDAs besitzen Bluetooth-Schnittstellen, die bei der Auslieferung meistens nicht deaktiviert sind. Es muss klar geregelt sein, ob diese Bluetooth-Schnittstellen genutzt werden dürfen, und wenn ja, unter welchen Rahmenbedingungen.

Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene Bluetooth-Benutzerrichtlinie zu erstellen. In einer solchen Nutzungsrichtlinie sollten dann kurz die Besonderheiten bei der Bluetooth-Nutzung beschrieben werden, wie z. B.

  • unter welchen Rahmenbedingungen Bluetooth-Komponenten genutzt werden dürfen,
  • wie Bluetooth-Endgeräte korrekt zu installieren und zu verwenden sind,
  • welche Schritte bei (vermuteter) Kompromittierung von Bluetooth-Komponenten zu unternehmen sind, vor allem, wer zu benachrichtigen ist.

Die Sicherheit von Bluetooth basiert stark auf der Güte der verwendeten Bluetooth-Passwörter. Diese müssen daher sehr sorgfältig ausgewählt werden, Benutzer und Administratoren sind über deren herausgehobene Bedeutung zu informieren (siehe auch M 3.80 Sensibilisierung für die Nutzung von Bluetooth ).

Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass keine sicherheitsrelevanten Konfigurationen verändert werden dürfen.

Außerdem sollte die Nutzungsrichtlinie ein klares Verbot enthalten, ungenehmigt Bluetooth-Komponenten anzuschließen. Des Weiteren sollte die Richtlinie insbesondere im Hinblick auf die Nutzung von klassifizierten Informationen, beispielsweise Verschlusssachen, Angaben dazu enthalten, welche Informationen über Bluetooth übertragen werden dürfen und welche nicht. Benutzer sollten für Bluetooth-Gefährdungen sowie für Inhalte und Auswirkungen der Bluetooth-Richtlinie sensibilisiert werden.

Prüffragen:

  • Existiert eine aktuelle Sicherheitsrichtlinie für die Bluetooth-Nutzung?

  • Existieren dokumentierte Rahmenbedingungen für die sichere Bluetooth-Nutzung?

Stand: 12. EL Stand 2011