B 4.8 Bluetooth

Beschreibung
Bluetooth ist ein offener Industriestandard für ein lizenzfreies Nahbereichsfunkverfahren zur kabellosen Sprach- und Datenkommunikation zwischen IT-Geräten (Kabelersatz und Ad-hoc-Networking). Die Entwicklung von Bluetooth geht auf eine Initiative der Bluetooth Special Interest Group (Bluetooth SIG) im Jahre 1998 zurück, der eine große Zahl von Herstellern angehört.
Mit Bluetooth können mobile Endgeräte über eine Funkschnittstelle schnell und einfach miteinander verbunden werden. Verschiedene in den Geräten definierte Bluetooth-Profile ermöglichen dann die Übertragung von Daten, Sprachsignalen, Steuerungsinformationen bis hin zur Bereitstellung von Diensten, wie beispielsweise FTP oder Modem- und Netzdiensten. Bluetooth funkt, genauso wie WLAN, im lizenzfreien ISM-Band zwischen 2,402 GHz und 2,480 GHz, hat jedoch nur eine Reichweite von circa 100 m, benötigt aber, im Gegensatz zu Infrarot, keine Sichtverbindung zwischen den einzelnen Endgeräten. Bluetooth wird vornehmlich bei mobilen Endgeräten wie Mobiltelefone, PDAs oder Laptops eingesetzt.
In diesem Baustein soll ein systematischer Weg aufgezeigt werden, wie Bluetooth-fähige Endgeräte einer Institution sicher verwendet werden können.
Gefährdungslage
Für den IT-Grundschutz werden im Rahmen der Nutzung von Bluetooth folgende typische Gefährdungen angenommen:
Höhere Gewalt
- | G 1.17 | Ausfall oder Störung eines Funknetzes |
Organisatorische Mängel
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
Menschliche Fehlhandlungen
- | G 3.3 | Nichtbeachtung von Sicherheitsmaßnahmen |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
- | G 3.43 | Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen |
Technisches Versagen
- | G 4.60 | Unkontrollierte Ausbreitung der Funkwellen |
- | G 4.79 | Schwachstellen in der Bluetooth-Implementierung |
- | G 4.80 | Unzureichende oder fehlende Bluetooth-Sicherheitsmechanismen |
Vorsätzliche Handlungen
- | G 5.28 | Verhinderung von Diensten |
- | G 5.143 | Man-in-the-Middle-Angriff |
- | G 5.159 | Erstellung von Bewegungsprofilen unter Bluetooth |
- | G 5.160 | Missbrauch der Bluetooth-Profile |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Damit Bluetooth sicher eingesetzt werden kann, müssen auch damit gekoppelte Clients sicher konfiguriert sein. Geeignete Sicherheitsempfehlungen für Clients sind in den Bausteinen der Schicht 3 beschrieben.
Im Rahmen des Bluetooth-Einsatzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.
Planung und Konzeption
Um Bluetooth sicher und effektiv einsetzen zu können, sollte ein Konzept erstellt werden, das auf der Gesamt-Sicherheitsstrategie der Institution sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die Bluetooth-Nutzung in der Behörde bzw. im Unternehmen zu regeln und eine Sicherheitsrichtlinie dafür zu erarbeiten (siehe M 2.461 Planung des sicheren Bluetooth-Einsatzes).
Beschaffung
Für die Beschaffung von Bluetooth-Komponenten müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.462 Auswahlkriterien für die Beschaffung von Bluetooth-Geräten).
Umsetzung
Je nach Sicherheitsanforderungen müssen die Bluetooth-Komponenten unterschiedlich konfiguriert werden (siehe M 4.362 Sichere Konfiguration von Bluetooth). Benutzer und Administratoren sind ausreichend zu schulen, um Sicherheitsvorfälle zu minimieren und auf mögliche Gefahren bei einer unsachgemäßen Verwendung von Bluetooth-Komponenten hinzuweisen und zu sensibilisieren (siehe M 3.80 Sensibilisierung für die Nutzung von Bluetooth).
Betrieb
Bluetooth-Geräte müssen im Betrieb angemessen abgesichert werden (siehe M 4.363 Sicherer Betrieb von Bluetooth-Geräten).
Aussonderung
Werden Bluetooth-Geräte außer Betrieb genommen, so sind alle sensiblen Informationen wie Zugangsinformationen zu löschen (siehe M 4.364 Regelungen für die Aussonderung von Bluetooth-Geräten).
Nachfolgend wird das Maßnahmenbündel für den Einsatz von Bluetooth vorgestellt.
Planung und Konzeption
- | M 2.461 | (A) | Planung des sicheren Bluetooth-Einsatzes |
- | M 3.79 | (W) | Einführung in Grundbegriffe und Funktionsweisen von Bluetooth |
Beschaffung
- | M 2.462 | (Z) | Auswahlkriterien für die Beschaffung von Bluetooth-Geräten |
Umsetzung
- | M 3.80 | (A) | Sensibilisierung für die Nutzung von Bluetooth |
- | M 4.362 | (A) | Sichere Konfiguration von Bluetooth |
Betrieb
- | M 2.463 | (Z) | Nutzung eines zentralen Pools an Bluetooth-Peripheriegeräten |
- | M 4.363 | (A) | Sicherer Betrieb von Bluetooth-Geräten |
Aussonderung
- | M 4.364 | (A) | Regelungen für die Aussonderung von Bluetooth-Geräten |