Bundesamt für Sicherheit in der Informationstechnik

M 2.462 Auswahlkriterien für die Beschaffung von Bluetooth-Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Einzelne Bluetooth-Geräte unterscheiden sich darin, welche Bluetooth-Spezifikationen verwendet wurden, den verfügbaren Anwendungsprofilen und der Art und Weise, wie Bluetooth von den Herstellern implementiert wurde. Daher sind einzelne Kriterien zu definieren, die bei der Auswahl von Bluetooth-Geräten zu berücksichtigen sind.

Zunächst sollten alle Geräte ausgeschlossen werden, bei denen bekannt ist, dass diese durch Bluetooth-Schwachstellen gefährdet sind. Im Internet gibt es einschlägige Listen zu den einzelnen Schwachstellen, in denen die betroffenen Geräte aufgeführt sind.

Darüber hinaus ist festzulegen, welche Anwendungsprofile für die jeweiligen Einsatzzwecke der Bluetooth-Geräte notwendig sind und welche nicht enthalten sein dürfen bzw. deaktiviert werden müssen. Hierbei sind in den Bluetooth-Geräten die Anwendungsprofile enthalten, die für die jeweiligen Funktionen notwendig sind. So ist in einer Bluetooth-Maus oder -Tastatur stets das HID-Profile implementiert, das für die Funktionen von Zeigegeräten erforderlich ist (siehe M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth ). Jedoch kann es einen sicherheitsrelevanten Vorteil haben, wenn beispielsweise ein Mobiltelefon kein SIM Access Profile hat, da dieses den Zugriff auf die SIM -Karte des Mobiltelefons ermöglicht und so einen potentiellen Angriffspunkt darstellt.

Auf jeden Fall sollte bei der Auswahl der Endgeräte darauf geachtet werden, dass diese mindestens der Bluetooth-Spezifikationsversion 2.1 entsprechen, da ab dieser wesentliche Sicherheitsfunktionen wie beispielsweise das Secure Simple Pairing enthalten sind. Es sollte auch gewährleistet sein, dass keine Geräte verwendet werden, die auf einer Bluetooth-Spezifikation älter als Version 2.1 basieren, da dann auf schwächere Sicherheitsmechanismen zurückgegriffen wird (siehe M 4.362 Sichere Konfiguration von Bluetooth ).

Die wichtigsten sicherheitsrelevanten Kriterien zur Auswahl von Bluetooth-Komponenten sind hier zusammengestellt:

  • Die Bluetooth Special Interest Group (SIG) entwickelt nicht nur die Bluetooth-Spezifikationen weiter, sondern überprüft und zertifiziert auch die Interoperabilität von Bluetooth-Geräten. Allerdings gibt es eine große Anzahl nicht nach den Qualitätsanforderungen der Bluetooth-SIG zertifizierter Produkte auf dem Markt. Diese Produkte weisen womöglich nicht das gewünschte Maß an Kompatibilität auf. Bei der Beschaffung sollte daher darauf geachtet werden, nur solche Produkte zu kaufen, die das offizielle Bluetooth-Label tragen.
  • Nicht bei jedem Bluetooth-Gerät kann die Bluetooth-Schnittstelle deaktiviert werden, dies sollte bereits bei der Auswahl beachtet werden.
  • Die Bluetooth-Spezifikation sieht drei Leistungsklassen vor, durch deren jeweilige maximale Sendeleistung die Reichweite der Geräte bestimmt ist. Bei der Entscheidung für Geräte der Leistungsklassen 1 bis 3 sollte auch berücksichtigt werden, dass mit höherer Reichweite auch der potentielle Kreis der Angreifer zunimmt.
  • Bei Bluetooth-Peripheriegeräten, z. B. einem Headset, ist die Bluetooth- PIN typischerweise voreingestellt oder sogar fest vorgegeben. Da dies eine massive Sicherheitseinschränkung bedeutet, sollte bei der Beschaffung darauf geachtet werden, dass die PIN möglichst frei wählbar ist.
  • Bei dem Bluetooth-Gerät sollten die Spezifikationen von Version 2.1 + EDR implementiert sein. Hierdurch wird gewährleistet, dass der Sicherheitsmodus 4 in Kombination mit den Secure Simple Pairing Funktionalitäten vorhanden ist.

Vor der Beschaffung muss überprüft werden, ob die Bluetooth-Komponenten alle benötigten Profile unterstützen. Wird ein Profil wie das Advanced Audio Distribution Profile (A2DP) nicht unterstützt, ist es beispielsweise nicht möglich, hochwertige Audiodaten über Bluetooth zu übertragen.

Prüffragen:

  • Wurden Kriterien für die Bescahffung von Bluetooth-Geräten definiert?

  • Wurde festgelegt, welche Anwendungsprofile für die jeweiligen Einsatzzwecke der Bluetoothgeräte notwendig sind?

  • Unterstützen die ausgewählten Endgeräte die Bluetooth-Spezifikationsversion 2.1?

Stand: 12. EL Stand 2011