Bundesamt für Sicherheit in der Informationstechnik

M 4.114 Nutzung der Sicherheitsmechanismen von Mobiltelefonen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Mobiltelefone und dazu angebotene Dienstleistungen können an verschiedenen Stellen durch PIN s oder Passwörter abgesichert werden. Hierzu gehören:

Zugriff auf die SIM-Karte

Die SIM -Karte kann durch eine vier- bis achtstellige PIN gegen unberechtigten Zugriff geschützt werden. Mit dieser PIN identifiziert sich der Teilnehmer gegenüber der Karte. Gelangt ein Unbefugter in den Besitz einer SIM -Karte, kann er ohne Kenntnis der PIN diese Karte nicht aktivieren. Um eine missbräuchliche Benutzung der SIM-Karte zu verhindern, sollte daher unbedingt die PIN -Abfrage aktiviert werden, sodass die PIN nach dem Einschalten des Mobiltelefons eingegeben werden muss. Die PIN sollte nicht zusammen mit dem Mobiltelefon bzw. der SIM -Karte aufbewahrt werden.

Bei der Auslieferung ist meist die PIN -Abfrage deaktiviert und eine PIN voreingestellt. Bei der ersten Benutzung sollte unbedingt die PIN geändert und aktiviert werden. Hierbei sollte keine triviale oder leicht vorhersagbare PIN gewählt werden (1111, Geburtsdatum, etc.).

Hinweis: Auf der Tastatur der meisten Mobiltelefone sind unter den Ziffern Buchstaben unterlegt. Dies kann dazu benutzt werden, sich statt PIN s Passwörter auszuwählen, die leichter zu merken sind, aber natürlich auch wieder nicht zu einfach sein sollten. Beispiel: "4AUGEN" entspricht der PIN "428436".

Nach dreimaliger falscher PIN -Eingabe wird die SIM -Karte in der Regel gesperrt. Um diese Sperre aufheben zu können, muss ein achtstelliger Entsperrcode eingegeben werden. Dieser wird häufig auch als PUK (Personal Unblocking Key) oder Super- PIN bezeichnet. Nach zehnmaliger Falscheingabe der PUK wird die Karte unbrauchbar. Dieser Entsperrcode wird normalerweise in einem PIN -Brief zusammen mit der SIM-Karte ausgeliefert. Er sollte äußerst sorgfältig und vor unbefugtem Zugriff geschützt aufbewahrt werden. Die PUK darf auf keinen Fall zusammen mit dem Mobiltelefon aufbewahrt werden.

Neben der PIN gibt es mit der PIN 2 noch eine weitere Geheimzahl, mit der der Zugriff auf bestimmte Funktionen der SIM -Karte abgesichert werden kann. Sie wird häufig benutzt für Konfigurationsänderungen der SIM -Karte, die nicht vom Benutzer selbst durchgeführt werden können, z. B. Nutzungsrestriktionen. Dies kann aber beispielsweise auch ein Firmentelefonbuch sein, das nur nach der Eingabe der PIN 2 geändert werden kann. Die PIN 2 hat einen eigenen Entsperrcode (PUK2).

Zugriff auf das Mobiltelefon

Darüber hinaus gibt es im Allgemeinen noch einen Sicherheitscode für das Mobiltelefon (Geräte- PIN ), um den Zugriff auf bestimmte Funktionen zu schützen. Auch dieser sollte schnellstmöglich auf einen individuell gewählten Wert gesetzt werden. Er sollte notiert und vor unbefugtem Zugriff geschützt aufbewahrt werden. Alternativ bieten moderne Mobiltelefone einen Zugriffsschutz per Passwort, Gesten, Fingerabdruck oder Gesichtserkennung. Das Mobiltelefon sollte so eingestellt werden, dass der Sicherheitscode nach einigen Minuten Untätigkeit erneut eingegeben werden muss. Es sollte eine PIN , ein Passwort oder, eine Geste nach der jeweiligen Sicherheitsrichtlinie der Institution gewählt werden. Alternativ kann ein Fingerabdruckscanner benutzt werden. Da eine Gesichtserkennung bereits mit einfachen Fotos vom Gesicht des Benutzers getäuscht werden kann, sollte dieses Verfahren nicht eingesetzt werden.

Diebstahlschutz durch zusätzliche Applikationen

Moderne Mobiltelefone bieten die Möglichkeit, durch zusätzliche Applikationen das Mobiltelefon bei Verlust oder Diebstahl zu orten, seine Daten zu löschen bzw. es komplett zu sperren. Es sollte eine passende Applikation ausgewählt und eingesetzt werden. Die betreffenden Mitarbeiter sollten im Umgang mit dieser Applikation geschult werden.

Zugriff auf Mailbox

Beim Netzbetreiber kann für jeden Teilnehmer eine Mailbox eingerichtet werden, die unter anderem als Anrufbeantworter dient. Da die Mailbox von überall und auch von beliebigen Endgeräten aus abgefragt werden kann, muss sie mit einer PIN vor unbefugtem Zugriff geschützt werden. Bei der Neueinrichtung vergibt der Netzbetreiber hierzu eine voreingestellte PIN . Diese sollte unbedingt sofort geändert werden.

Weitere Kennwörter

Neben den diversen oben aufgeführten Geheimnummern kann es für verschiedene Nutzungsarten noch weitere Kennwörter geben. Dies ist z. B. der Fall beim Zugriff auf Benutzerdaten beim Netzbetreiber. So muss bei Fragen an die Hotline wegen der Abrechnung unter Umständen ein Kennwort genannt werden. Auch kostenpflichtige Dienstleistungen wie z. B. der Abruf von Informationen oder die Durchführung bestimmter Konfigurationen seitens des Netzbetreibers bzw. Mobilfunkanbieters werden häufig durch zusätzliche Kennwörter geschützt. Diese sollten, wie alle anderen Passwörter auch, sorgfältig ausgewählt, sicher aufbewahrt und nicht an Dritte weitergegeben werden.

Generell sollte mit allen PIN s und Passwörtern sorgfältig umgegangen werden (siehe auch M 2.11 Regelung des Passwortgebrauchs ).

Hinweis: Angreifer haben in jüngster Zeit wiederholt versucht, telefonisch die PIN oder PUK von Mobilfunknutzern zu erfragen, indem sie sich als Mitarbeiter eines Netzbetreibers ausgegeben und einen technischen Defekt vorgetäuscht haben. Über Geheimnummern sollte nie telefonisch Auskunft gegeben werden!

Es gibt viele verschiedene Sicherheitsmechanismen bei Mobiltelefonen. Welche hiervon vorhanden sind bzw. wie diese aktiviert werden können, ist abhängig vom eingesetzten Mobiltelefon, von der SIM -Karte und vom gewählten Netzbetreiber. Daher sollten die Bedienungsanleitung und die Sicherheitshinweise des Netzbetreibers sorgfältig daraufhin ausgewertet werden. Beim Einsatz von Firmentelefonen empfiehlt es sich, die wichtigsten Sicherheitsmechanismen sowohl vorzukonfigurieren als auch auf einem übersichtlichen Handzettel zu dokumentieren.

Einige Modelle bieten auch die Möglichkeiten von Kennwort geschützten SIM -Locks. Dadurch kann z. B. zusätzlich verhindert werden, dass das Gerät nach einem Diebstahl mit einer anderen SIM-Karte problemlos weiter betrieben werden kann. Weiterhin kann mit einem SIM-Lock verhindert, dass in ein unbeaufsichtigtes Gerät eine SIM mit Schadpotential eingelegt wird.

Prüffragen:

  • Wurden die notwendigen Sicherheitsmechanismen für die Nutzung von Mobiltelefonen ausgewählt und auf den Geräten vorkonfiguriert?

  • Welche Sicherheitsmechanismen sind für die Nutzung von Mobiltelefonen vorgeschrieben?

  • Sind die Benutzer über die notwendigen Sicherheitsmechanismen für die Nutzung von Mobiltelefonen informiert?

Stand: 14. EL Stand 2014