G 5.125 Unberechtigte Datenweitergabe über mobile Endgeräte
Mobile Endgeräte wie Notebooks oder PDAs sind im allgemeinen darauf ausgelegt, einen einfachen Datenaustausch mit anderen IT-Systemen zu ermöglichen. Dies kann über ein Verbindungskabel oder auch drahtlos, z. B. über Infrarot, Bluetooth oder GSM, erfolgen.
Wo ein offener Zugang zu IT-Systemen möglich ist, können Informationen unauffällig abgefragt und übermittelt werden. Die gesammelten Daten können dann mit dem mobilen Endgerät unbemerkt mitgenommen oder modifiziert werden. Eine nachträgliche Überprüfung oder gar ein Nachweis ist nicht immer möglich, da häufig die Zugriffe nicht entsprechend protokolliert wurden.
Falls das Gerät über eine drahtlose Kommunikationsschnittstelle verfügt (beispielsweise eine integrierte WLAN-Karte oder eine Bluetooth-Schnittstelle zu einem Mobiltelefon), so können die gespeicherten Informationen auch unmittelbar an jeden Ort der Welt übermittelt werden (siehe auch G 5.97 Unberechtigte Datenweitergabe über Mobiltelefone ).
Wird in einer Organisation ein eigenes drahtloses Netz (WLAN) betrieben, so kann ein Besucher mit seinem mitgebrachten PDA den WLAN-Verkehr belauschen. Falls das drahtlose Netz nicht ausreichend abgesichert ist kann der Angreifer problemlos alle übermittelten Daten "mitschneiden" oder gar auf diesem Weg direkten Zugriff auf das Netz erlangen.
Beispiel:
- Ein Mitarbeiter eines Unternehmens wird aus einer Besprechung mit einem Externen gerufen, um ein wichtiges Telefonat entgegenzunehmen. Der Externe nutzt die kurze Zeitspanne ohne Beaufsichtigung, um den im Besprechungsraum aufgestellten PC mit seinem mobilen Endgerät zu verbinden. Anschließend transferiert er alle zugreifbaren Daten auf sein mobiles Endgerät.