IT-Grundschutz für Mobiltelefone

Von Isabel Münch, BSI

In vielen Behörden und Unternehmen werden Mobiltelefone heutzutage als selbstverständliche Arbeitsmittel eingesetzt. Dementsprechend müssen auch die mit deren Nutzung verbundenen Sicherheitsaspekte betrachtet werden. Die nächste Ausgabe des IT-Grundschutzhandbuchs greift dieses Thema mit einem eigenen Baustein zur Handy-Nutzung auf.

Der neue Baustein betrachtet anwenderrelevante ITSicherheitseigenschaften von Mobiltelefonen. Außerdem wird ein systematischer Weg aufgezeigt, wie ein Konzept zum Einsatz von Mobiltelefonen innerhalb einer Organisation erstellt und wie dessen Umsetzung und Einbettung sichergestellt werden kann.

Daneben sei noch auf die BSI-Broschüre Mobiltelefone, Gefährdungen & Sicherheitsmaßnahmen" verwiesen, in der die Funktionsweise der derzeit aktuellen Mobilfunksysteme nach dem GSM-Standard sowie kritische Angriffspunkte" dieser Systeme transparent gemacht werden (http://www.bsi.bund. de/literat/studien/mobiltel.htm).

Bei der Nutzung von Mobiltelefonen gibt es eine Vielzahl von Möglichkeiten, diese vor Missbrauch zu schützen. Damit diese Möglichkeiten auch genutzt werden können, müssen sie zunächst allen Benutzern bekannt sein, was keineswegs eine Selbstverständlichkeit ist. Zu den typischen Sicherheitsmaßnahmen, die sowohl bei der privaten als auch bei der dienstlichen Nutzung von Handys beachtet werden sollten, gehören

die sorgfältige Aufbewahrung von Mobiltelefon und SIM-Karte, um einem Verlust oder Diebstahl vorzubeugen bzw. um eine lange Lebensdauer zu gewährleisten (z.B. Akkupflege, Aufbewahrungsort außerhalb von Büro- oder Wohnräumen, Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen),
Sperrung des Mobiltelefons bei Verlust,
Sicherstellung der Funktionsfähigkeit und Vorsorge gegen Datenverlust,
Sorgfalt bei der Weitergabe von Informationen,
die Absicherung durch PINs und Passwörter.

Mobiltelefone und dazu angebotene Dienstleistungen können an verschiedenen Stellen durch PINs oder Passwörter abgesichert werden. Dazu gehören:

der Zugriff auf die SIM-Karte,
der Zugriff auf das eigentliche Endgerät, also das Mobiltelefon,
der Zugriff auf bestimmte Funktionen des Mobiltelefons, z.B. das Telefonbuch,
der Zugriff auf die Mailbox, also die Anrufbeantworterfunktion, oder andere Dienstleistungen des Netzbetreibers,
der Zugriff auf Daten beim Netzbetreiber (bei Fragen an die Hotline muss u.U. ein Kennwort genannt werden).

Alle diese Sicherheitsmechanismen sollten auch genutzt werden. Am wichtigsten ist dabei sicherlich der Schutz der SIM-Karte, da deren Mißbrauch den Eigentümer sehr teuer kommen kann. Die persönliche Geheimzahl (PIN) darf keinesfalls zusammen mit der zum Mobiltelefon gehörigen SIM-Karte aufbewahrt werden. Bei Verlust der SIM-Karte sollte sofort beim Netzbetreiber eine Kartensperre veranlasst werden, um einen eventuellen Missbrauch, und damit auch einen persönlichen Schaden, abzuwehren.

Aufklärung der Benutzer über Social Engineering und Hoax

Bei persönlichen Gesprächen am Telefon oder auch bei EMail sind viele Personen bereit, weit mehr Details zu äußern, als sie das in schriftlicher Form oder in größerer Runde tun würden. Solche Verhaltensweisen werden leider immer wieder ausgenutzt, um an vertrauliche Informationen zu kommen. Die Mitarbeiter sollten daher auch darüber aufgeklärt werden, dass sie vertrauliche Informationen nicht ohne weiteres telefonisch weitergeben sollten. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden. Bei der Benutzung von Mobiltelefonen sollten sie außerdem darauf achten, dass vertrauliche Mitteilungen nicht in der Öffentlichkeit besprochen werden.

Immer wieder kursieren spektakuläre, aber falsche Warnmeldungen (Hoax). Im Bereich des Mobilfunks gab es eine ganze Reihe solcher Hoax-Nachrichten, bei denen davor gewarnt wurde, dass an Mobiltelefonen die Eingabe bestimmter Tastenkombinationen oder die Wahl bestimmter Rufnummern dazu führen könnten, Gespräche abzuhören oder auf Kosten anderer zu telefonieren. Durch die Nennung bestimmter Mobiltelefon-Marken und einiger technischer Ausdrücke wird der Anschein von Seriösität erweckt. Solche Gerüchte halten sich hartnäckig und verunsichern die Benutzer. Damit nicht wertvolle Arbeitszeit auf die Prüfung des Wahrheitsgehaltes solcher Nachrichten verschwendet wird, sollten alle Mitarbeiter schnellstmöglich über das Auftreten eines neuen Hoax informiert werden. Es gibt verschiedene Informationsdienste, die entsprechende Warnungen weitergeben, wie z.B. http://www.hoax-info.de.

Sicherstellung der Funktionsfähigkeit

Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. Dies ist natürlich besonders ärgerlich, wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen. Daher sollten von vorneherein entsprechende Vorkehrungen getroffen werden, um einem Ausfall vorzubeugen bzw. die Probleme zu minimieren.

Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll, sollte ein Ersatz-Mobiltelefon, mindestens aber ein Ersatz-Akku, mitgeführt werden.

Datensicherung auch beim Handy nicht vergessen!

Alle auf dem Mobiltelefon gespeicherten Daten wie Telefonbucheintragungen, Nachrichten, etc. sollten in regelmäßigen Abständen auf einem anderen Medium gespeichert werden, damit sie im Zweifelsfall rekonstruiert werden können. Hierzu gibt es mehrere Möglichkeiten:

Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten notiert und sicher aufbewahrt werden.
Alle Daten, die auf der SIM-Karte gespeichert sind, also z.B. Telefonbücher, können über SIM-Kartenleser und entsprechende Software in einen PC eingelesen und dort verwaltet werden. Dies hat außerdem den Vorteil, dass Adressdaten auf dem PC leichter gepflegt und mit anderen Adressdatenbanken synchronisiert werden können. Insbesondere bei der Nutzung mehrerer Mobiltelefone ist ein Abgleich der Telefonbücher auf diesem Weg sinnvoll. Wenn nur die Daten auf der SIM-Karte gesichert werden, sind alle Benutzer darauf hinzuweisen, dass sie auch nur dort Rufnummern und Ähnliches speichern sollten.
Das Mobiltelefon kann auch mit einem weiteren ITSystem, z.B. einem Notebook oder einem Organizer, gekoppelt und die zu sichernden Daten auf diesem Weg ausgetauscht werden. Dabei können sowohl die auf der SIM-Karte als auch die im Gerät gespeicherten Daten gesichert werden.

Reparatur

Bei einem Mobiltelefon können das komplette Gerät oder auch nur einzelne Komponenten defekt sein. Die Reparatur sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein.

Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an. Bei schnelllebigen Geräten wie Mobiltelefonen lohnt sich eine Reparatur häufig nicht, sodass auch manchmal ein Tauschgerät angeboten wird. Da gerade ein Mobiltelefon kontinuierlich zur Verfügung stehen sollte, ist bei der Auswahl des Mobiltelefons bzw. des Händlers darauf zu achten, dass solche Dienstleistungen angeboten werden.

Bevor das Mobiltelefon zur Reparatur gegeben wird, sollten alle personenbezogenen Daten, also z.B. der Anrufspeicher, gespeicherte EMails und das Telefonbuch im Gerät gelöscht werden, soweit das noch möglich ist. Vorher sollten sie selbstverständlich gesichert werden. Außerdem sollte die SIM-Karte entfernt werden.

Um bei der Vielzahl der möglichen Sicherheitsmaßnahmen den Überblick nicht zu verlieren, sollte für die Handy-Nutzung eine Sicherheitsrichtlinie erstellt werden, in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Zusätzlich sollte für die Benutzer ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von Mobiltelefonen erstellt werden.

Weitere Neuigkeiten zum IT-Grundschutzhandbuch

Die nächste Ausgabe des IT-Grundschutzhandbuchs wird voraussichtlich im Oktober 2000 im Bundesanzeiger-Verlag erscheinen. Das BSI wird hier und im Internet entsprechend darauf hinweisen (http://www.bsi.de/gshb). Natürlich gibt es in der nächsten Ausgabe weitere neue Bausteine und andere Veränderungen.

Dies ist zunächst ein weiterer Baustein technischer" Ausrichtung, der sich mit Remote Access beschäftigt, also dem Zugriff von außen auf das lokale Netz einer Organisation. Durch entfernte Zugriffe kann ein Benutzer sich von seinem lokalen Rechner aus mit einem entfernten Rechnernetz verbinden und dessen Ressourcen nutzen, als ob eine direkte LAN-Kopplung bestehen würde.

Ein weiterer neuer Baustein beschäftigt sich mit dem IT-Sicherheitsmanagement, also dem Aufbau einer Organisationsstruktur bzw. der Etablierung eines IT-Sicherheitsprozesses, die beide zusammen in der Lage sind, die IT-Sicherheitsziele einer Behörde bzw. eines Unternehmens zu verwirklichen und die Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb zu gewährleisten. Es wird ein systematischer Weg aufgezeigt, wie ein funktionierendes IT-Sicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.

Daneben wurden die Kapitel überarbeitet, die in die Arbeit und den Umgang mit dem IT-Grundschutzhandbuch einführen. Kapitel1 enthält jetzt einen Wegweiser durch das IT-Grundschutzhandbuch und stellt im Überblick die Konzeption IT-Grundschutz dar. Kapitel2 beschreibt die Anwendung des IT-Grundschutzhandbuchs. Insbesondere wird dargestellt, wie eine vorhandene IT-Landschaft mit den in diesem Handbuch enthaltenen Bausteinen abgebildet und wie der Soll-Ist-Vergleich nach IT-Grundschutz durchgeführt und dokumentiert werden kann. Hier wurde insbesondere dem steigenden Vernetzungsgrad Rechnung getragen. Erfahrungen aus der Beratungspraxis des BSI haben gezeigt, dass es zweckmäßig ist, im Rahmen einer IT-Sicherheitsanalyse bzw. IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, einen IT-Verbund, getrennt zu betrachten. Voraussetzung für die Anwendung des IT-Grundschutzhandbuchs auf einen IT-Verbund sind detaillierte Unterlagen über seine Struktur. Diese können beispielsweise über eine IT-Strukturanalyse gewonnen werden. Anschließend müssen die Bausteine des IT-Grundschutzhandbuchs in einem Modellierungsschritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet werden.

Ablaufschema
Ablauf einer IT-Sicherheitskonzeption nach dem kommenden Grundschutzhandbuch

Nach der Erfassung der vorhandenen Informationstechnik wird eine Schutzbedarfsfeststellung durchgeführt. In der anschließenden IT-Grundschutzanalyse wird zunächst die betrachtete IT-Landschaft durch Bausteine des Handbuchs nachgebildet. Anschließend findet der Soll-Ist-Vergleich zwischen empfohlenen Standard-Sicherheitsmaßnahmen und den tatsächlich vorhandenen Maßnahmen statt. Sollten bei der Schutzbedarfsfeststellung Komponenten mit einem hohen oder sehr hohen Schutzbedarf herausgearbeitet worden sein, so bietet es sich an, nach der IT-Grundschutzanalyse eine ergänzende IT-Sicherheitsanalyse durchzuführen. Dies kann ebenso für den Fall erforderlich sein, dass im IT-Grundschutzhandbuch keine passenden Bausteine vorhanden sind. Den Abschluss der Erstellung eines IT-Sicherheitskonzepts unter Verwendung des Handbuchs bildet die Erstellung eines Realisierungsplans für die identifizierten und konsolidierten IT-Sicherheitsmaßnahmen.