Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.81 Sichere Datenübertragung über Mobiltelefone - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.81 Sichere Datenübertragung über Mobiltelefone

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Benutzer

Mobiltelefone werden normalerweise für die Sprachübertragung eingesetzt, es können aber auch Daten und Faxe damit übertragen werden. Für einige dieser Dienste wird zusätzliches Zubehör benötigt.

Kurzmitteilungen

Mit dem Kurznachrichtendienst (Short Message Service - SMS) lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale, die die Nachrichten an den jeweiligen Empfänger weiterleitet.

Kurzmitteilungen werden im Mobiltelefon gespeichert, solange Speicherplatz verfügbar ist. Wenn kein ausreichender Speicherplatz mehr frei ist, können keine weiteren Kurzmitteilungen empfangen werden. Der Netzbetreiber versucht nur über einen begrenzten Zeitraum, weitere Nachrichten abzusetzen. Wenn nicht rechtzeitig Speicherplatz freigemacht wird, werden die Kurzmitteilungen beim Netzbetreiber gelöscht.

Teilweise kann auch über das Mobiltelefon der Zeitraum, über den Kurzmitteilungen beim Netzbetreiber zwischengespeichert werden, verändert werden. Die Voreinstellung liegt im Allgemeinen zwischen 24 und 48 Stunden. Wenn der Vertrag mit dem Netzbetreiber es nicht vorsieht, kann hierüber allerdings der Speicherungszeitraum nicht erhöht werden. Er sollte auch nicht verringert werden.

Um Kurzmitteilungen verschicken zu können, muss die Rufnummer der Kurzmitteilungs-Zentrale (SMS-Gateway) über das entsprechende Menü am Mobiltelefon voreingestellt werden. Meist ist dies schon auf der SIM-Karte vom Netzbetreiber vorkonfiguriert worden.

Im Internet gibt es diverse WWW-Angebote, über die mit minimalen Kosten Kurzmitteilungen versandt werden können. Es ist ohne großen Aufwand möglich, auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden. Die Auswirkungen von SMS-Spam sind wie bei E-Mail (siehe auch G 5.75 Überlastung durch eingehende E-Mails). Die Mailbox bzw. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. Darüber hinaus entstehen dem Benutzer (evtl. hohe) Kosten. Hiergegen hilft nur, im Vorfeld die eigene Rufnummer nicht zu breit zu streuen, also z. B. auf den Eintrag in Telefonbücher zu verzichten, bzw. im Schadensfall eine Zeit lang auf SMS zu verzichten.

Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. Konfiguration des Mobiltelefons nicht immer mitübertragen. Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. Dies sollte allen Benutzern klar sein, um die Echtheit einer Nachricht richtig einschätzen zu können. Eine Nachricht der Art "Aufgrund einer Umstellung benötigen wir

Ihre ec-PIN. Bitte senden Sie diese an die angegebene Rufnummer. Ihre Bank" sollte nicht ernst genommen werden. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen, ob diese wirklich vom angegebenen Absender stammt.

Es passiert immer wieder, dass SMS-Nachrichten beim falschen Empfänger landen, weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde. Auch wenn die Displays der Mobiltelefone klein sind, sollten die Empfängerangaben vor dem Absenden überprüft werden.

Faxe

Über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden. Es können auch Faxe empfangen werden, wenn diese den Restriktionen der SMS-Übertragung genügen, insbesondere also lediglich einen kurzen Text enthalten. Darüber hinaus können Faxe auch über ein mit dem Mobiltelefon gekoppeltes IT-System (z. B. Notebook) gesendet und empfangen werden.

Bei der Fax-Nutzung ist ähnlich wie bei herkömmlichen Faxgeräten (siehe Baustein B 3.402 Faxgerät) zu beachten, dass

E-Mail

Über Mobiltelefone können neben Kurzmitteilungen auch E-Mails empfangen und verschickt werden. E-Mails sind wie Kurzmitteilungen häufig auf 160 Zeichen begrenzt. Wenn dieser Service vom Netzbetreiber eingerichtet worden ist, erhält das Mobiltelefon eine eigene E-Mail-Adresse.

Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden, an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden.

Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen. Je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden.

Potentielle Sicherheitsprobleme und Maßnahmen bei der Nutzung von E-Mail sind in Baustein B 5.3 E-Mail beschrieben. Dabei ist zu beachten, dass die E-Mail-Funktionalität bei Mobiltelefonen stark eingeschränkt ist gegenüber anderen E-Mail-Anwendungen. Ebenso wie SMS ist E-Mail hier eher für die Übermittlung kurzer und kurzlebiger Nachrichten gedacht. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte).

Die Übergänge zwischen den verschiedenen Nachrichtenarten wie SMS, Fax und E-Mail sind relativ fließend. Die Unterschiede liegen für die Benutzer im Allgemeinen nicht in der Art der Dateneingabe, sondern im Übertragungsformat. Hier können vom Netzbetreiber auch weitere Formate wie X.400 oder Paging angeboten werden.

Datenübertragung

Wenn das Mobiltelefon mit einem weiteren IT-System (z. B. einem Notebook oder einem Organizer) gekoppelt wird, können auch größere Datenmengen übertragen werden. Dabei kann die Kopplung auf verschiedene Arten erfolgen, je nachdem, welche Techniken die beiden Geräte unterstützen.

Bei der Datenübertragung z. B. von einem Laptop über GSM sollten die übertragenen Daten vorher auf dem Endgerät verschlüsselt werden. Hierzu gibt es eine Vielzahl von Programmen, die dies einfach ermöglichen. Die Verschlüsselung vor der Übertragung sichert die Informationen auf der gesamten Strecke zwischen Absender und Empfänger. Dies geht über die Absicherung der Luftschnittstelle zwischen Mobiltelefon und Basisstation, wie sie bei GSM Standard ist, hinaus. Weiterhin können die Nachrichten dann auch digital signiert werden. Wie adäquate kryptographische Verfahren und Systeme ausgewählt und eingesetzt werden können, ist in Baustein B 1.7 Kryptokonzept beschrieben.

Im Internet finden sich diverse Anbieter, über die zusätzliche Klingeltöne, Displaysymbole oder Ähnliches für die verschiedenen Mobiltelefone heruntergeladen werden können. Hier sollte aber beachtet werden, dass das Aufspielen solcher Daten unter Umständen die Geräte auch funktionsuntüchtig machen kann.

Die Datenübertragung sollte in allen Organisationen klar geregelt sein. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen (siehe auch M 2.204 Verhinderung ungesicherter Netzzugänge).

Damit durch die Datenübertragung über GSM-Schnittstellen keine Sicherheitslücken entstehen, sollte diese restriktiv gehandhabt werden. So sollten bei IT-Systemen, auf denen sensitive Daten verarbeitet werden, keine Mobilfunkkarten zugelassen werden. Dies gilt ebenso bei allen IT-Systemen, die an einem Rechner-Netz angebunden sind, damit hier nicht der Schutz durch eine Firewall unterhöhlt werden kann.