Bundesamt für Sicherheit in der Informationstechnik

M 4.363 Sicherer Betrieb von Bluetooth-Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Bluetooth-Geräte müssen in geeigneter Weise abgesichert werden. Im Folgenden wird beschrieben, welche Maßnahmen ergriffen werden sollten.

Stationäre Geräte

Stationäre Geräte, bei denen Bluetooth als Kabelersatz verwendet wird, zum Beispiel zur Verbindung mit immer den gleichen Peripheriegeräten, sollten mit Authentisierung betrieben werden. Dabei sind Lösungen mit semipermanenten Verbindungsschlüsseln zu bevorzugen. Grundsätzlich sollte Verschlüsselung aktiviert werden.

Mobile Geräte

Bluetooth-Geräte, die mobil verwendet werden und mit fremden Geräten ( d. h. Geräten mit unbekanntem Sicherheitsniveau) kommunizieren, müssen besonders geschützt werden:

  • Die Paarung zweier Geräte sollte immer in abhörsicherer Umgebung durchgeführt werden. Eine Umgebung kann als abhörsicher angesehen werden, wenn es keine Möglichkeit gibt, unbeobachtet per Bluetooth von außen einzudringen. Die Reichweite der eigenen Bluetooth-Geräte alleine ist nicht entscheidend.
  • Lösungen mit semipermanenten Verbindungsschlüsseln sind zu bevorzugen.
  • Die Paarung sollte nur mit vertrauenswürdigen Geräten erfolgen.

Bei Verlust oder Diebstahl eines mobilen ( bzw. stationären) Geräts müssen alle zugehörigen Verbindungsschlüssel in den verbliebenen Geräten gelöscht werden. Dies geschieht im Allgemeinen durch Löschen des entsprechenden Eintrages in der Bluetooth-Geräteliste der verbliebenen Geräte.

Verwendung von Secure Simple Pairing

Wenn beide zu paarende Geräte mindestens der Bluetooth-Spezifikation 2.1 + EDR entsprechen, sollte Secure Simple Pairing mit dem Sicherheitsmodus 4 mit dem Attribut authenticated verwendet werden (siehe M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth ). Dienste, bei denen dies nicht unterstützt wird, sollten nicht genutzt werden.

Hinweise zur Wahl von PINs bei Bluetooth ohne SSP

PINs sollten eine möglichst zufällige Folge aus den verwendbaren Zeichen sein, triviale PIN s wie "0000" oder "1234" sind unbedingt zu vermeiden. Für eine ausreichende Sicherheit bei der Paarung zweier Bluetooth-Geräte ist eine ausreichend lange PIN notwendig. PINs sollten mindestens 6 Stellen lang sein. Die PIN ist im Normalfall nur bei der ersten Verbindungsaufnahme zwischen Geräten einzugeben (semipermanente Verbindungsschlüssel). Wird bei einem solchen Geräte-Paar zu einem unerwarteten Zeitpunkt vom Benutzer eine PIN-Eingabe verlangt, sollte dieser nach Möglichkeit darauf verzichten, bis er sich in abhörsicherer Umgebung befindet. Eine entsprechende Nutzereinweisung oder -schulung wird empfohlen.

Weitere Schutzmaßnahmen

Solange Bluetooth nicht benutzt wird, sollten die Bluetooth-Schnittstellen der Geräte deaktiviert bleiben. Ob dies tatsächlich der Fall ist, sollte sporadisch geprüft werden. Darüber hinaus sollten auf Bluetooth-Geräten weitere lokale Schutzmaßnahmen installiert bzw. aktiviert werden, soweit dies technisch möglich ist. Dazu zählen:

  • Zugriffsschutz ( z. B. Diebstahlsicherungen)
  • Benutzerauthentisierung
  • Schutz vor Schadprogrammen (z. B. Virenschutz)
  • Personal Firewall
  • restriktive Datei- und Ressourcenfreigabe auf Betriebssystemebene
  • Verschlüsselung des Endgeräts

Es sollte regelmäßig überprüft werden, dass alle getroffenen Sicherheitseinstellungen noch aktuell sind und ob diese Einstellungen auch greifen.

Weitere Informationen hierzu finden sich in den Bausteinen zur Endgeräte-Sicherheit. Im Zweifel sollten sich Anwender am Baustein B 3.208 Internet-PC orientieren und die zugehörigen Maßnahmen sinngemäß anwenden.

Prüffragen:

  • Werden die Bluetooth-Schnittstellen aller Geräte deaktiviert, solange keine Bluetooth-Kommunikation erfolgt?

  • Wird zum Verbinden mit anderen Bluetooth-Geräten Secure Simple Pairing verwendet?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK