M 4.114 Nutzung der Sicherheitsmechanismen von Mobiltelefonen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Benutzer
Mobiltelefone und dazu angebotene Dienstleistungen können an verschiedenen Stellen durch PINs oder Passwörter abgesichert werden. Hierzu gehören:
Zugriff auf die SIM-Karte
Die SIM-Karte kann durch eine vier- bis achtstellige PIN gegen unberechtigten Zugriff geschützt werden. Mit dieser PIN identifiziert sich der Teilnehmer gegenüber der Karte. Gelangt ein Unbefugter in den Besitz einer SIM-Karte, kann er ohne Kenntnis der PIN diese Karte nicht aktivieren. Um eine missbräuchliche Nutzung der SIM-Karte zu verhindern, sollte daher unbedingt diese PIN-Abfrage aktiviert werden,sodasss die PIN nach dem Einschalten des Mobiltelefons eingegeben werden muss. Die PIN sollte nicht zusammen mit dem Mobiltelefon bzw. der SIM-Karte aufbewahrt werden.
Bei der Auslieferung ist meist die PIN-Abfrage deaktiviert und eine PIN voreingestellt. Bei der ersten Benutzung sollte unbedingt die PIN geändert und aktiviert werden. Hierbei sollte keine triviale oder leicht vorhersagbare PIN gewählt werden (1111, Geburtsdatum, etc.).
Hinweis: Auf der Tastatur der meisten Mobiltelefone sind unter den Ziffern Buchstaben unterlegt. Dies kann dazu benutzt werden, sich statt PINs Passwörter auszuwählen, die leichter zu merken sind, aber natürlich auch wieder nicht zu einfach sein sollten. Beispiel: "4AUGEN" entspricht der PIN "428436".
Nach dreimaliger falscher PIN-Eingabe wird die SIM-Karte gesperrt. Um diese Sperre aufheben zu können, muss ein achtstelliger Entsperrcode eingegeben werden. Dieser wird häufig auch als PUK (PIN Unblocking Key) oder Super-PIN bezeichnet. Nach zehnmaliger Falscheingabe der PUK wird die Karte unbrauchbar. Dieser Entsperrcode wird normalerweise in einem PIN-Brief zusammen mit der SIM-Karte ausgeliefert. Er sollte äußerst sorgfältig und vor unbefugtem Zugriff geschützt aufbewahrt werden. Die PUK darf auf keinen Fall zusammen mit dem Mobiltelefon aufbewahrt werden.
Neben der PIN gibt es mit der PIN2 noch eine weitere Geheimzahl, mit der der Zugriff auf bestimmte Funktionen der SIM-Karte abgesichert werden kann. Sie wird häufig benutzt für Konfigurationsänderungen der SIM-Karte, die nicht vom Benutzer selbst durchgeführt werden können, z. B. Nutzungsrestriktionen. Dies kann aber beispielsweise auch ein Firmentelefonbuch sein, das nur nach der Eingabe der PIN2 geändert werden kann. Die PIN2 hat einen eigenen Entsperrcode (PUK2).
Zugriff auf das Mobiltelefon
Darüber hinaus gibt es im Allgemeinen noch einen Sicherheitscode für das Mobiltelefon (Geräte-PIN), um den Zugriff auf bestimmte Funktionen zu schützen. Auch dieser sollte schnellstmöglich auf einen individuell gewählten Wert gesetzt werden. Er sollte notiert und vor unbefugtem Zugriff geschützt aufbewahrt werden. Die Geräte-PIN muss nicht bei jedem Einschalten des Mobiltelefons eingegeben werden. Mit ihr kann z. B. verhindert werden, dass das Mobiltelefon mit einer anderen SIM-Karte benutzt wird (Diebstahlschutz).
Zugriff auf Mailbox
Beim Netzbetreiber kann für jeden Teilnehmer eine Mailbox eingerichtet werden, die unter anderem als Anrufbeantworter dient. Da die Mailbox von überall und auch von beliebigen Endgeräten aus abgefragt werden kann, muss sie mit einer PIN vor unbefugtem Zugriff geschützt werden. Bei der Neueinrichtung vergibt der Netzbetreiber hierzu eine voreingestellte PIN. Diese sollte unbedingt sofort geändert werden.
Weitere Kennwörter
Neben den diversen oben aufgeführten Geheimnummern kann es für verschiedene Nutzungsarten noch weitere Kennwörter geben. Dies ist z. B. der Fall beim Zugriff auf Benutzerdaten beim Netzbetreiber. So muss bei Fragen an die Hotline wegen der Abrechnung u. U. ein Kennwort genannt werden. Auch kostenpflichtige Dienstleistungen wie z. B. der Abruf von Informationen oder die Durchführung bestimmter Konfigurationen seitens des Netzbetreibers werden häufig durch zusätzliche Kennwörter geschützt. Diese sollten, wie alle anderen Passwörter auch, sorgfältig ausgewählt und sicher aufbewahrt werden.
Generell sollte mit allen PINs und Passwörtern sorgfältig umgegangen werden (siehe auch M 2.11 Regelung des Passwortgebrauchs ).
Hinweis: Angreifer haben in jüngster Zeit wiederholt versucht, telefonisch die PIN oder PUK von Mobilfunknutzern zu erfragen, indem sie sich als Mitarbeiter eines Netzbetreibers ausgegeben und einen technischen Defekt vorgetäuscht haben. Über Geheimnummern sollte nie telefonisch Auskunft gegeben werden!
Es gibt viele verschiedene Sicherheitsmechanismen bei Mobiltelefonen. Welche hiervon vorhanden sind bzw. wie diese aktiviert werden können, ist abhängig vom eingesetzten Mobiltelefon, von der SIM-Karte und vom gewählten Netzbetreiber. Daher sollten die Bedienungsanleitung und die Sicherheitshinweise vom Netzbetreiber sorgfältig daraufhin ausgewertet werden. Beim Einsatz von Firmentelefonen empfiehlt es sich, die wichtigsten Sicherheitsmechanismen sowohl vorzukonfigurieren als auch auf einem übersichtlichen Handzettel zu dokumentieren.
Prüffragen:
- Wurden die notwendigen Sicherheitsmechanismen für die Nutzung von Mobiltelefonen ausgewählt und auf den Geräten vorkonfiguriert?
- Sind die Benutzer über die notwendigen Sicherheitsmechanismen für die Nutzung von Mobiltelefonen informiert?