Bundesamt für Sicherheit in der Informationstechnik

M 3.80 Sensibilisierung für die Nutzung von Bluetooth

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Beim Betrieb von Geräten mit Bluetooth-Schnittstellen sollten sich die IP -Verantwortlichen und das Sicherheitsmanagement über Bluetooth-Grundlagen informieren. Einen Überblick über die Grundbegriffe bei Bluetooth liefert die Maßnahme M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth .

Schulung von Administratoren

Die Administratoren für Geräte mit Bluetooth-Schnittstellen sollten neben theoretischen auch praktische Kenntnisse besitzen. Sie sollten unter anderem in folgenden Themen geschult sein:

  • Überblick über Sicherheitsaspekte von Bluetooth
  • Typische Gefährdungen bei Bluetooth-Geräten
  • Betriebsmodi, Verbindungsaufbau, Authentikation und Absicherung der Bluetooth-Kommunikation
  • Auswahl geeigneter Sicherheitsmechanismen für den Bluetooth-Betrieb
  • Konfiguration und Test von Bluetooth-Komponenten
  • sicherheitsrelevante Bluetooth-Konfigurationsparameter

Sensibilisierung von Benutzern

Auch die Benutzer von Geräten mit Bluetooth-Schnittstellen sollten die Funktionsweise und die sichere Bedienung der Bluetooth-Komponenten kennenlernen. Benutzern muss genau erläutert werden, was die Sicherheitseinstellungen bedeuten und warum sie wichtig sind. Außerdem müssen sie auf die Gefahren hingewiesen werden, wenn diese Sicherheitseinstellungen aus Bequemlichkeit bzw. zur Reduktion von störenden Warnmeldungen umgangen oder deaktiviert werden. Durch eine gezielte Sensibilisierung der Benutzer kann eine ordnungsgemäße Bedienung der Bluetooth-Komponenten und deren Sicherheitseinstellungen erreicht werden.

Die Verwendung von PINs als Basis für Authentisierung und Verschlüsselung ist ein Problem beim praktischen Einsatz von Bluetooth. Typische Gewohnheiten der Nutzer bei der Vergabe von PINs waren in der Vergangenheit häufig Ziele von Angriffen. Hier bietet Secure Simple Pairing Abhilfe. Insbesondere die Methode der Numeric Comparison bietet eine Chance für den sicheren Einsatz von Bluetooth, da hierbei keine von den Benutzern ausgewählten starken Kennwörter verlangt werden.

Die Absicherung der Kommunikation über Bluetooth lässt sich technisch nicht erzwingen, sie bleibt auch in Anbetracht der aktuellen Verfahren eine Aufgabe für die Benutzer. Dabei stehen sichere Konfiguration und umsichtiger Umgang mit der Technik im Vordergrund.

Die Schulungsinhalte müssen immer entsprechend der jeweiligen Einsatzszenarien angepasst werden. Auch Schulungen mit Hilfe von webbasierten interaktiven Programmen im Intranet sind hier denkbar. Neben der reinen Schulung zu Bluetooth-Sicherheitsmechanismen müssen die Mitarbeiter jedoch auch die entsprechende Sicherheitsrichtlinie ihrer Institution vorgestellt bekommen.

Prüffragen:

  • Sind die Administratoren auf den Umgang mit Bluetooth-Komponenten vorbereitet und insbesondere in sicherheitsrelevanten Aspekten geschult?

  • Sind die Benutzer mit den Bluetooth-Sicherheitsmechanismen vertraut?

Stand: 12. EL Stand 2011