Bundesamt für Sicherheit in der Informationstechnik

M 4.364 Regelungen für die Aussonderung von Bluetooth-Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wenn Bluetooth-Geräte außer Betrieb genommen werden, müssen alle sensiblen Informationen gelöscht werden. Hierbei müssen insbesondere die Authentikationsinformationen für den Zugang zu Bluetooth-Netzen und anderer erreichbarer Ressourcen, die in der Sicherheitsinfrastruktur und anderen Systemen gespeichert sind, entfernt bzw. als ungültig deklariert werden. Dies bedeutet, dass beispielsweise kryptographische Schlüssel sicher gelöscht und Zertifikate für digitale Signaturen gesperrt werden müssen.

Als Bluetooth-Geräte findet eine Vielzahl verschiedener Geräte Verwendung. Hierzu zählen unter anderem:

  • Laptops
  • PDA s, Smartphones und ähnliche Geräte mit Bluetooth-Unterstützung
  • Bluetooth-fähige Telefone, Drucker und Kameras
  • Bluetooth-fähige Peripheriegeräte wie beispielsweise Headsets, Mäuse, Tastaturen usw.

Die Bluetooth-Funktionalität ist typischerweise eine neben diversen anderen Funktionen bei diesen Endgeräten. Bei der Außerbetriebnahme dieser Endgeräte ist daher zu berücksichtigen, ob solche Geräte sicherheitskritische Bluetooth-Informationen beinhalten, die zu löschen, zu übertragen bzw. zu archivieren sind, z. B. :

  • Informationen über den Benutzer des Endgerätes
  • Zertifikate bzw. zugehörige private Schlüssel (für Benutzer oder Geräte)
  • Informationen über verbundene Endgeräte (Pairing-Informationen)
  • Schlüsselmaterial von Authentikationsverfahren wie z. B. Schlüssel für das Pairing zwischen Bluetooth-Endgeräten

Hierfür sind je nach Gerät und Speicherung geeignete Verfahren zur Vernichtung, Löschung oder Wiederverwendung der sicherheitsrelevanten Informationen zu nutzen. Bei Zertifikaten ist beispielsweise ein Eintrag in die entsprechende Zertifikatsrückruflisten (Certificate Revocation List, CRL) vorzunehmen, um das Zertifikat zu widerrufen.

Falls ein Bluetooth-Gerät gestohlen wird, sind mindestens alle oben aufgeführten Informationen zu berücksichtigen, und es ist dafür zu sorgen, dass diese Endgeräte keinen Zugriff mehr auf noch vorhandene Bluetooth-Geräte oder Netzstrukturen haben. Dies wird am Besten erreicht, indem die Pairing-Informationen zu den gestohlenen Endgeräten auf den noch vorhandenen Endgeräten gelöscht werden.

Prüffragen:

  • Wird bei der Außerbetriebnahme von Bluetooth-fähigen Endgeräten darauf geachtet, dass die sicherheitskritischen Bluetooth-Informationen gelöscht werden?

  • Sind geeignete Verfahren zur Vernichtung, Löschung oder Wiederverwendung von sicherheitsrelevanten Informationen von Bluetooth-Geräten vorhanden?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK