Bundesamt für Sicherheit in der Informationstechnik

M 5.81 Sichere Datenübertragung über Mobiltelefone

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Mobiltelefone werden für die Sprachübertragung eingesetzt, es können aber auch Daten und Faxe damit übermittelt werden. Für einige dieser Dienste wird zusätzliches Zubehör benötigt. Moderne Mobiltelefone sind in der Regel dauerhaft mit dem Internet verbunden, um Chat-Nachrichten oder E-Mails zu empfangen. Benutzen Mobiltelefone den LTE -Standard, wird jegliche Kommunikation als Datenübertragung über das Internet-Protokoll ( IP ) realisiert.

Kurzmitteilungen

Mit dem Kurznachrichtendienst (Short Message Service, SMS ) lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. Längere Nachrichten werden dabei in der Regel automatisch vom Mobiltelefon in mehrere Kurzmitteilungen aufgeteilt. Die Übertragung von Kurzmitteilungen erfolgt immer über eine Kurzmitteilungs-Zentrale, die die Nachrichten an den jeweiligen Empfänger weiterleitet.

Kurzmitteilungen werden im Mobiltelefon gespeichert, solange Speicherplatz verfügbar ist. Wenn kein ausreichender Speicherplatz (oft bei älteren oder extrem preisgünstigen Modellen) mehr frei ist, können keine weiteren Kurzmitteilungen empfangen werden. Der Netzbetreiber versucht nur über einen begrenzten Zeitraum, weitere Nachrichten abzusetzen. Wenn nicht rechtzeitig Speicherplatz freigemacht wird, werden die Kurzmitteilungen beim Netzbetreiber gelöscht.

Teilweise kann auch über das Mobiltelefon der Zeitraum, über den Kurzmitteilungen beim Netzbetreiber zwischengespeichert werden, verändert werden. Die Voreinstellung liegt im Allgemeinen zwischen 24 und 48 Stunden. Wenn der Vertrag mit dem Netzbetreiber es nicht vorsieht, kann hierüber allerdings der Speicherungszeitraum nicht erhöht werden. Er sollte auch nicht verringert werden.

Je nach Mobilfunkanbieter besteht die Möglichkeit, dass der Absender der Kurznachricht eine automatische Empfangsbestätigung erhält. Damit sichergestellt wird, ob die Nachrichten (siehe G 5.27 Nichtanerkennung einer Nachricht ) empfangen wurden, sollten Empfangsbestätigungen aktiviert werden. Damit lässt sich zusätzlich auch nachvollziehen, ob die Nachricht wegen zu kurzer Speicherfristen bei der Kurzmitteilungs-Zentrale womöglich nicht zugestellt wurde (siehe G 4.32 Nichtzustellung einer Nachricht ). Die Empfangsbestätigungen sollten so lange wie nötig auf dem Mobiltelefon gespeichert werden.

Um Kurzmitteilungen verschicken zu können, muss die Rufnummer der Kurzmitteilungs-Zentrale ( SMS -Gateway) über das entsprechende Menü am Mobiltelefon voreingestellt werden. Meist ist dies schon auf der SIM-Karte vom Netzbetreiber vorkonfiguriert worden.

Im Internet gibt es diverse Angebote, Kurzmitteilungen mit minimalen Kosten zu versenden. Ein Angreifer kann also ohne großen Aufwand eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon versenden. SMS -Spam wirkt sich ebenso aus wie E-Mail-Spam (siehe G 5.75 Überlastung durch eingehende E-Mails ). Die Mailbox bzw. der Speicherplatz reicht nicht aus und ernsthafte Nachrichten kommen nicht durch. Darüber hinaus entstehen dem Benutzer eventuell hohe Kosten. Hiergegen hilft neben der Sperrung von Drittanbieter-Diensten durch den Provider bzw. Mobilfunkanbieter, im Vorfeld die eigene Rufnummer nicht zu breit zu streuen, also z. B. auf den Eintrag in Telefonbücher zu verzichten, bzw. im Schadensfall eine Zeit lang ganz auf SMS -Empfang zu verzichten.

Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. Konfiguration des Mobiltelefons nicht immer mit übertragen. Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. Dies sollte allen Benutzern klar sein, um die Echtheit einer Nachricht richtig einschätzen zu können. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen, ob diese wirklich vom angegebenen Absender stammt.

Faxe

Es können Faxe über ein mit dem Mobiltelefon gekoppeltes IT-System ( z. B. Notebook) gesendet und empfangen werden.

Dabei ist ähnlich wie bei herkömmlichen Faxgeräten (siehe Baustein B 3.402 Faxgerät ) zu beachten, dass

  • der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann,
  • es je nach Bedeutung von Faxen erforderlich sein kann, davon Kopien anzufertigen, was beim Mobiltelefon unter Umständen schwierig ist,
  • es sinnvoll sein kann, die Rufnummern von bestimmten Faxempfängern bzw. Absendern zu sperren.

Außerdem empfiehlt sich,

  • nach dem Versand nachzufragen, ob das Fax lesbar angekommen ist,
  • nach dem Empfang nachzufragen, ob das Fax wirklich vom angegebenen Absender stammt,
  • ab und zu die programmierten Zieladressen zu kontrollieren.

E-Mail

Über Mobiltelefone können neben Kurzmitteilungen auch E-Mails empfangen und verschickt werden. Bei älteren Endgeräten sind E-Mails wie Kurzmitteilungen auf 160 Zeichen begrenzt. Wenn dieser Service vom Netzbetreiber eingerichtet worden ist, erhält das Mobiltelefon eine eigene E-Mail-Adresse. In der Regel besitzen Mobiltelefone heute jedoch E-Mail-Clients, die E-Mails wie ein PC verarbeiten können. Besitzen Mobiltelefone keinen E-Mail-Client aber einen Browser, so können E-Mails in der Regel über eine Web-Oberfläche verarbeitet werden.

Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden, an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei versandt werden.

Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz (bei älteren oder extrem preisgünstigen Geräten) ausschöpfen. Der E-Mail-Client sollte daher so eingestellt werden, dass Dateianhänge nur bei Bedarf, also wenn der Benutzer sie explizit anfragt, nachgeladen werden.

Potenzielle Sicherheitsprobleme und Maßnahmen für E-Mail sind in Baustein B 5.3 Groupware beschrieben. Dabei ist zu beachten, dass die E-Mail-Funktionalität bei Mobiltelefonen stark eingeschränkt ist gegenüber anderen E-Mail-Anwendungen. Ebenso wie SMS ist E-Mail hier eher für die Übermittlung kurzer und kurzlebiger Nachrichten gedacht. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind in der Regel nur mit Smartphones möglich. Alternativ gibt es noch spezielle Geräte oder zusätzliche Module, mit denen verschlüsselte oder signierte Nachrichten mit einem Mobiltelefon übermittelt werden können.

Instant Messenger

Auf einigen Mobiltelefonen und den meisten Smartphones sind Instant Messenger vorhanden oder lassen sich nachträglich installieren. Mit Instant Messengern können Nachrichten, aber auch Dateien wie z. B. Bilder, Filme, und Office-Dokumente übertragen werden. Auch Instant Messenger, die über das Internet-Relay-Chat-( IRC )-System funktionieren, sind vielfach im Einsatz. Die Kommunikation über Instant Messenger sollte, wenn möglich, Ende-zu-Ende-verschlüsselt erfolgen. Es dürfen nur vertrauenswürdige IRC -Server bzw. Instant-Message-Provider verwendet werden. In diesem Fall ist die Vertraulichkeit der Kommunikation gegenüber Kurznachrichten deutlich erhöht. Dubiose Dateiübertragungen sollten abgelehnt werden. Instant Messenger haben zudem gegenüber den Kurznachrichten den Vorteil, dass Kosten nach Datenmenge und nicht nach Anzahl der Nachrichten entstehen. Zusätzlich besitzen viele Instant Messenger die Funktion der Empfangsbestätigung, die auch genutzt werden sollte, um der Gefahr der Nichtanerkennung von Nachrichten (siehe G 5.27 Nichtanerkennung einer Nachricht ) zu begegnen.

Datenübertragung

Ein Mobiltelefon kann je nach Modell mit einem weiteren IT-System ( z. B. einem Notebook oder einem Organizer) gekoppelt werden und dann leichter auch größere Datenmengen übertragen. Dabei kann die Kopplung auf verschiedene Arten erfolgen, je nachdem, welche Techniken die beiden Geräte unterstützen.

Einsteckkarte: Eine Einsteckkarte ( PC -Card, PCMCIA ) ist die ursprünglich konventionelle, aber mittlerweile kaum noch eingesetzte Lösung zur Verbindung von Mobiltelefon und Notebook. Die meisten Einsteckkarten können allerdings nur an Mobiltelefone eines bestimmten Herstellers angeschlossen werden.

Softmodem: Bei dieser Lösung wird statt einer Einsteckkarte eine spezielle Software auf dem Notebook installiert. Das Mobiltelefon wird dann einfach über die serielle (oder USB) Schnittstelle mit dem Notebook verbunden. Diese Lösung ist meist preiswerter als eine Einsteckkarte.

Infrarot: Über eine Infrarot-Schnittstelle können Daten auch ohne Kabel vom Mobiltelefon zu einem anderen Gerät ( z. B. Laptop oder Organizer) übertragen werden. Dazu muss sowohl das Mobiltelefon als auch das Partnergerät den Infrarot Übertragungsstandard IrDA unterstützen. IrDA ist ein weltweiter Standard für die Datenübertragung über Infrarot, wird aber für Datenübertragungen heute kaum noch eingesetzt (siehe M 4.255 Nutzung von IrDA-Schnittstellen ).

Bluetooth: Bluetooth ist ein etablierter Standard, nach dem Geräte per Funk über Entfernungen von 1 bis 100m (je nach Bluetooth-Klasse) miteinander Daten austauschen können. (siehe B 4.8 Bluetooth ).

WLAN: Über Wireless- LAN kann ein Mobiltelefon mit einem Rechnernetz verbunden werden oder es kann selbst als sogenannter WLAN -Hotspot fungieren ("Tethering") und eine Internetverbindung für andere IT -Systeme bereitstellen. Die WLAN -Verbindung sollte dabei über WPA kryptografisch abgesichert werden. Weitere Details zum Einsatz von WLAN sind im Baustein B 4.6 WLAN zu finden.

Bei der Datenübertragung z. B. von einem Laptop über das Mobilfunknetz sollten die übertragenen Daten vorher auf dem Endgerät verschlüsselt werden. Hierzu gibt es eine Vielzahl von Applikationen, die dies einfach ermöglichen. Die Verschlüsselung vor der Übertragung sichert die Informationen auf der gesamten Strecke zwischen Absender und Empfänger. Dies geht über die bei GSM standardmäßige Absicherung der Luftschnittstelle zwischen Mobiltelefon und Basisstation hinaus. Das ist notwendig, weil die Verschlüsselung über das GSM -Netz auf der Luftschnittstelle als gebrochen gilt. Bei schlechter Umsetzung bietet die Verschlüsselung bei der Übertragung mit UMTS auch keinen besseren Schutz als bei der Übertragung mit GSM . Werden die Daten hingegen mithilfe von Programmen auf dem Endgerät verschlüsselt, können die Nachrichten zudem noch digital signiert werden. Wie adäquate kryptografische Verfahren und Systeme ausgewählt und eingesetzt werden können, ist im B 1.7 Kryptokonzept beschrieben. Alternativ zur Verschlüsselung der Daten bieten moderne Mobiltelefone vielfach die Möglichkeit, verschlüsselte VPN -Tunnel zu etablieren, womit die Datenübertragung zwischen Mobiltelefon und anderen Netzteilnehmern ebenfalls hinreichend abgesichert werden kann. Alternativ könnte ein vorhandener Laptop auch als VPN -Endpunkt verwendet werden, über diesen das Mobiltelefon eine geschützte Datenverbindung aufbauen kann. Wird VPN verwendet, besteht überdies der Vorteil, dass die Verschlüsselung transparent ist und keine weitere Benutzerinteraktion benötigt.

Besitzt das Mobiltelefon einen Browser und E-Mail-Client, so ist es über diese Kanäle so verwundbar wie ein PC . Unbedacht heruntergeladene Dateien, Klingeltöne, aber auch Drive-by-Infektionen können die Geräte ebenso funktionsuntüchtig machen wie stationäre Computer.

Die Datenübertragung sollte in allen Organisationen klar geregelt sein. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen (siehe M 2.204 Verhinderung ungesicherter Netzzugänge ).

Damit durch die Datenübertragung über GSM -Schnittstellen keine Sicherheitslücken entstehen, sollte diese restriktiv gehandhabt werden. So sollten bei IT -Systemen, auf denen sensitive Daten verarbeitet werden, keine Mobilfunkkarten zugelassen werden bzw. Verbindungen über das Mobilfunknetz immer mit verschlüsselten VPN -Tunneln abgesichert sein. Dies gilt ebenso bei allen IT -Systemen, die an einem Rechner-Netz angebunden sind, damit hier nicht der durch eine Firewall eigentlich vorhandene Schutz unterhöhlt werden kann.

Prüffragen:

  • Gibt es Regelungen, welche Daten über Mobiltelefone übertragen werden dürfen?

  • Gibt es Regelungen, welche Schnittstellen zu benutzen sind und wie verschlüsselt werden soll?

Stand: 14. EL Stand 2014