M 2.462 Auswahlkriterien für die Beschaffung von Bluetooth-Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Einzelne Bluetooth-Geräte unterscheiden sich darin, welche Bluetooth-Spezifikationen verwendet wurden, den verfügbaren Anwendungsprofilen und der Art und Weise, wie Bluetooth von den Herstellern implementiert wurde. Daher sind einzelne Kriterien zu definieren, die bei der Auswahl von Bluetooth-Geräten zu berücksichtigen sind.

Zunächst sollten alle Geräte ausgeschlossen werden, bei denen bekannt ist, dass diese durch Bluetooth-Schwachstellen gefährdet sind. Im Internet gibt es einschlägige Listen zu den einzelnen Schwachstellen, in denen die betroffenen Geräte aufgeführt sind.

Darüber hinaus ist festzulegen, welche Anwendungsprofile für die jeweiligen Einsatzzwecke der Bluetooth-Geräte notwendig sind und welche nicht enthalten sein dürfen bzw. deaktiviert werden müssen. Hierbei sind in den Bluetooth-Geräten die Anwendungsprofile enthalten, die für die jeweiligen Funktionen notwendig sind. So ist in einer Bluetooth-Maus oder -Tastatur stets das HID-Profile implementiert, das für die Funktionen von Zeigegeräten erforderlich ist (siehe M 3.79 Einführung in Grundbegriffe und Funktionsweisen von Bluetooth). Jedoch kann es einen sicherheitsrelevanten Vorteil haben, wenn beispielsweise ein Mobiltelefon kein SIM Access Profile hat, da dieses den Zugriff auf die SIM-Karte des Mobiltelefons ermöglicht und so einen potentiellen Angriffspunkt darstellt.

Auf jeden Fall sollte bei der Auswahl der Endgeräte darauf geachtet werden, dass diese mindestens der Bluetooth-Spezifikationsversion 2.1 entsprechen, da ab dieser wesentliche Sicherheitsfunktionen wie beispielsweise das Secure Simple Pairing enthalten sind. Es sollte auch gewährleistet sein, dass keine Geräte verwendet werden, die auf einer Bluetooth-Spezifikation älter als Version 2.1 basieren, da dann auf schwächere Sicherheitsmechanismen zurückgegriffen wird (siehe M 4.362 Sichere Konfiguration von Bluetooth).

Die wichtigsten sicherheitsrelevanten Kriterien zur Auswahl von Bluetooth-Komponenten sind hier zusammengestellt:

Vor der Beschaffung muss überprüft werden, ob die Bluetooth-Komponenten alle benötigten Profile unterstützen. Wird ein Profil wie das Advanced Audio Distribution Profile (A2DP) nicht unterstützt, ist es beispielsweise nicht möglich, hochwertige Audiodaten über Bluetooth zu übertragen.

Prüffragen: