DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Daten­schutz vs. Corona-App

Blue­tooth und die Corona-App

Und? Schon instal­liert? Schon eine Warnung bekommen? Was instal­liert, welche Warnung? Na die Corona-App, was denn sonst!

Im Kampf gegen Covid19, umgangs­sprachlich auch Corona-Virus genannt, setzt die Regierung auch auf eine Lösung, bei der die Aus­breitung von Infek­tionen nach­ver­folgt werden kann, die „Corona-App“.
Idea­ler­weise sollte daher jeder diese App auf seinem Smart­phone instal­lieren und auch benützen. Ver­schiedene Firmen und Institute haben die Corona-App hin­sichtlich Sicherheit und Daten­schutz über­prüft und den Ent­wicklern bescheinigt, sie hätten dabei „einen guten Job gemacht“. Bei der App wurde sehr viel Wert auf eine sichere und anonyme Daten­ver­ar­beitung gelegt. Die Source-Code ist offen­gelegt, so dass auch Fehler schnell gefunden und behoben werden können. Die App ist also sicher?
Ja, aber wie sieht es mit Blue­tooth aus?
Zur Kom­mu­ni­kation wird zwingend das Pro­tokoll Blue­tooth benötigt. In den letzten Jahren sind aller­dings immer wieder Sicher­heits­lücken in Blue­tooth bekannt geworden (Blue­jacking, Blue­bugging, Blues­narfing, Blue­Borne, BlueFrag, etc.), teil­weise kri­tische Pro­bleme, die Daten­verlust oder Angreifern einen uner­laubten Zugriff auf das Smart­phone ermög­lichen. Das Problem dabei sind die viel­fäl­tigen Kom­mu­ni­ka­ti­ons­mög­lich­keiten bei der Akti­vierung von Blue­tooth. Über Blue­tooth kann nicht nur ein Laut­sprecher (Audio) oder eine Maus (HID) ange­bunden werden. Blue­tooth unter­stützt fast 30 Pro­to­kolle (sog „Pro­files“, z.B. HID, A2DP, AVDTP, GATT, BNEP, DUN, GAP, HOGP, L2CAP,OPP, PANU, SPP, usw). Viele Mög­lich­keiten — auch unbe­wusst — Daten zu ver­lieren oder Angreifern Zugriff auf das Gerät zu ermög­lichen. Leider gibt es mit Bord­mitteln dafür keine „Firewall“ also keine Mög­lichkeit diese Pro­files auf bestimmte Klassen oder Anwen­dungen zu beschränken.
Also ist die Ver­wendung der Corona-App doch nicht sicher?
Bei genauerer Betrachtung sind viele der bekannt gewor­denen Schwach­stellen kein Problem von Blue­tooth, sondern ein Problem der Her­steller. Die Blu­e­­tooth-Software in den Geräten, der sog. „Blu­e­­tooth-Stack“ wird und wurde oft feh­lerhaft pro­gram­miert. Die Sicherheit von Blue­tooth und damit auch die Sicherheit bei der Ver­wendung der Corona-App hängt davon ab, ob im Gerät eine bekann­ter­maßen feh­ler­freie Software ver­wendet wird, also ob die not­wen­digen Sicher­heits­up­dates instal­liert sind.
Egal ob man nun ein Smart­phone mit alter oder auch aktu­eller Software ver­wendet, man sollte dennoch zurück­haltend mit Blu­e­­tooth-Ver­­­bin­­dungen umgehen, wenn nötig diese Ver­bindung nur in sicheren Umge­bungen her­stellen und sein Telefon nicht „mit allem und jedem“ koppeln. Bei dem „pairing“ (der Kopplung) mit irgend­einem Gadget schenkt man diesem Gerät sein Ver­trauen. Und wer kennt schon alle Funk­tionen die so ein Blu­e­­tooth-Gadget hat?
Für die aktu­ellen Modelle gibt es Updates, die auch die bekannten Fehler im Blu­e­­tooth-Stack beheben. Was ist aber mit den Modellen, die vom Her­steller nicht mehr unter­stützt werden? Für Geräte, die bisher kein Sicher­heits­update erhalten haben oder erhalten werden, sollte daher die Blu­e­­tooth-Nutzung auf die drin­gendsten Fälle beschränkt werden.
Für die Corona-App muss ich kein Gerät koppeln, aber Blue­tooth akti­vieren. Ist dies nun ein „drin­gender Fall“ — instal­lieren oder nicht instal­lieren, das ist hier die Frage.
Sowohl bei aktu­ellen Modellen aber vor allem bei älteren Geräten gilt es abzu­wägen was einem wich­tiger ist, die Infor­mation über Corona-Kon­­takte oder der Schutz seiner Daten. Bei Geräten mit aktu­eller Software ist die Wahr­schein­lichkeit eines Daten­ver­lusts oder der Über­nahme des Smart­phones über Blue­tooth durch einen Angreifer gering. Bei ver­al­teter Software hin­gegen … aber das kennt man ja von Windows 7.

Ein Kommentar zu Bluetooth und die Corona-App

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.