M 4.363 Sicherer Betrieb von Bluetooth-Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Bluetooth-Geräte müssen in geeigneter Weise abgesichert werden. Im Folgenden wird beschrieben, welche Maßnahmen ergriffen werden sollten.

Stationäre Geräte

Stationäre Geräte, bei denen Bluetooth als Kabelersatz verwendet wird, zum Beispiel zur Verbindung mit immer den gleichen Peripheriegeräten, sollten mit Authentisierung betrieben werden. Dabei sind Lösungen mit semipermanenten Verbindungsschlüsseln zu bevorzugen. Grundsätzlich sollte Verschlüsselung aktiviert werden.

Mobile Geräte

Bluetooth-Geräte, die mobil verwendet werden und mit fremden Geräten ( d. h. Geräten mit unbekanntem Sicherheitsniveau) kommunizieren, müssen besonders geschützt werden:

Bei Verlust oder Diebstahl eines mobilen ( bzw. stationären) Geräts müssen alle zugehörigen Verbindungsschlüssel in den verbliebenen Geräten gelöscht werden. Dies geschieht im Allgemeinen durch Löschen des entsprechenden Eintrages in der Bluetooth-Geräteliste der verbliebenen Geräte.

Verwendung von Secure Simple Pairing

Wenn beide zu paarende Geräte mindestens der Bluetooth-Spezifikation 2.1 + EDR entsprechen, sollte Secure Simple Pairing mit dem Sicherheitsmodus 4 mit dem Attribut authenticated verwendet werden (siehe M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth ). Dienste, bei denen dies nicht unterstützt wird, sollten nicht genutzt werden.

Hinweise zur Wahl von PINs bei Bluetooth ohne SSP

PINs sollten eine möglichst zufällige Folge aus den verwendbaren Zeichen sein, triviale PIN s wie "0000" oder "1234" sind unbedingt zu vermeiden. Für eine ausreichende Sicherheit bei der Paarung zweier Bluetooth-Geräte ist eine ausreichend lange PIN notwendig. PINs sollten mindestens 6 Stellen lang sein. Die PIN ist im Normalfall nur bei der ersten Verbindungsaufnahme zwischen Geräten einzugeben (semipermanente Verbindungsschlüssel). Wird bei einem solchen Geräte-Paar zu einem unerwarteten Zeitpunkt vom Benutzer eine PIN-Eingabe verlangt, sollte dieser nach Möglichkeit darauf verzichten, bis er sich in abhörsicherer Umgebung befindet. Eine entsprechende Nutzereinweisung oder -schulung wird empfohlen.

Weitere Schutzmaßnahmen

Solange Bluetooth nicht benutzt wird, sollten die Bluetooth-Schnittstellen der Geräte deaktiviert bleiben. Ob dies tatsächlich der Fall ist, sollte sporadisch geprüft werden. Darüber hinaus sollten auf Bluetooth-Geräten weitere lokale Schutzmaßnahmen installiert bzw. aktiviert werden, soweit dies technisch möglich ist. Dazu zählen:

Es sollte regelmäßig überprüft werden, dass alle getroffenen Sicherheitseinstellungen noch aktuell sind und ob diese Einstellungen auch greifen.

Weitere Informationen hierzu finden sich in den Bausteinen zur Endgeräte-Sicherheit. Im Zweifel sollten sich Anwender am Baustein B 3.208 Internet-PC orientieren und die zugehörigen Maßnahmen sinngemäß anwenden.

Prüffragen: