Gratis
26. Januar 2018 - Bewertung neuer Technologien

Was die eSIM für den Datenschutz bedeutet

Drucken

Die Mobilfunk-Provider in Deutschland haben die eSIM (embedded SIM) eingeführt. Verschiedene Geräte unterstützen die Technologie bereits. Datenschutzbeauftragte sollten wissen, was diese Entwicklung für ihr Unternehmen bedeutet und wie es gegenwärtig um die Verwaltung der SIM-Karten steht, die zentral für den mobilen Datenschutz sind.

eSIM: Was ist mit dem Datenschutz? eSIMs werden in absehbarer Zeit die SIM-Karten ablösen (Bild: StockPhotoAstur / iStock / Thinkstock)

SIM-Karten im Datenschutz-Konzept nicht vergessen

Im Datenschutz ist viel die Rede von Risiken durch mobile Endgeräte wie Smartphones, Tablets und Wearables gesprochen, über Internet of Things (IoT), Spionage-Apps und Sicherheitslücken in mobilen Betriebssystemen.

Ein kleiner Baustein der mobilen Kommunikation wird dabei schnell übersehen: die SIM-Karte. Sie befindet sich in den mobilen Endgeräten, die Verbindung zu mobilen Funknetzen aufbauen können.

Dabei ist es die SIM-Karte, die für die Identitätskontrolle in den mobilen Netzen eine zentrale Rolle spielt. SIM steht bekanntlich für Subscriber Identity Module, ist also ein Identitätsmodul.

Der Anwender braucht die SIM-Karte und die zugehörige PIN, um die Leistungen des Mobilfunkbetreibers zu nutzen.

Speicher für personenbezogene Daten

Die SIM-Karte hat eine weitere, oftmals übersehene Funktion: Sie speichert Daten, und zwar personenbezogene Daten wie das Adressbuch oder auch eingegangene und verschickte SMS in begrenzter Anzahl.

Bereits aus diesem Grund sollten Datenschutzbeauftragte die SIM-Karten ihres Unternehmens in den Blick nehmen. Aber es gibt noch weitere, gute Gründe: die neue Technologie der sogenannten embedded SIM oder eSIM.

Welche Konsequenzen kann die eSIM für den Datenschutz haben?

Schlüssel zum Internet of Things

Vodafone hat als erster deutscher Netzbetreiber mit der Vermarktung der „embedded SIM“ (kurz eSIM) begonnen. Die anderen Betreiber folgten kurz darauf.

eSIM ist bereits bei einigen Geräten wie dem Google Pixel 2 Smartphone und der Smartwatch Huawei Watch 2 integriert und soll als fest eingebauter Bestandteil zum Standard für eine ganz neue Generation von Mobilfunk-Geräten werden, so Vodafone.

Fitness-Tracker, Smart-Watches, aber auch Windows-10-Tablets bleiben dank der eSIM permanent über das Mobilfunknetz in Verbindung. Die eSIM wird zum Schlüssel für das Internet der Dinge, erklärt der Netzbetreiber Vodafone.

Bereits an dieser Stelle wird der geneigte Datenschutzbeauftragte aufmerksam: Mit einer fest eingebauten eSIM können Fitness-Tracker und Smart-Watches immer mit dem Mobilfunk-Netz verbunden sein.

Das ruft nach einer Bewertung durch den Datenschutz. Immerhin hat der Nutzer bald keine Wahl mehr, ob er eine Mini-, Micro- oder Nano-SIM-Karte in sein Endgerät oder in den Fitness-Tracker steckt: Die eSIM ist bereits enthalten.

Vorteil: flexibel und programmierbar

Andererseits erhöht die eSIM die Flexibilität des Nutzers:

  • Es entfällt der physikalische Austausch einer Plastik-SIM beim Wechsel auf ein neues Gerät.
  • Stattdessen ist der Prozess so, dass der Nutzer nach Auswahl des passenden Tarifs neben der bekannten PIN und PUK zum Entsperren auch eine eSIM-Aktivierungscode-Karte bekommt.
  • Auf dieser Karte ist ein QR-Code abgebildet, den der Nutzer mit dem Smartphone abfotografiert.
  • Das lädt das persönliche eSIM-Profil aus dem Internet herunter, so Vodafone.
  • So lassen sich innerhalb weniger Minuten neue Nutzer-Profile auf der eSIM installieren, löschen und wechseln.

Vorsicht: eSIMs könnten Angreifer anlocken

eSIMs erleichtern den Wechsel des Anbieters, des Tarifs und des Gerätenutzers, ganz ohne Ausbau und Einbau einer SIM-Karte.

Da sich die eSIM von außen programmieren lässt, könnte das Angreifer anziehen. Die eSIMs sind Identitätsausweise im mobilen Netz und deshalb attraktive Angriffsziele für Datendiebe.

Vodafone beschreibt, was Anbieter dagegen tun:

  • Das eSIM-Profil wird jeweils während der Installation verschlüsselt.
  • Asymmetrische Verfahren sichern Ende zu Ende die Übertragung zwischen den Servern des Netzbetreibers und dem Modul.
  • Jedes Gerät kann nur das ihm zugewiesen eSIM-Profil entschlüsseln und installieren.

Ob dies tatsächlich die immer raffinierteren Angreifer abhalten wird, muss sich zeigen.

Empfehlung: Verwaltung der Karten organisieren

Die Umstellung von der SIM-Karte hin zur eSIM wird sich noch einige Zeit hinziehen. Denn fest verbaute Karten können nur durch einen Gerätewechsel ins Unternehmen kommen.

Allerdings ist für Unternehmen empfehlenswert, sich auf den Wechsel vorzubereiten, da weitere Geräte-Neuheiten die eSIM mitbringen werden.

Aufgabe des Datenschutzes ist es, etwa den Prozess der internen Vergabe von SIM-Karten an Mitarbeiterinnen und Mitarbeiter zu überarbeiten. Beispielsweise sind der Einsatz von QR-Codes und der Download der persönlichen Profile aus dem Internet neu.

Gleichzeitig dürfen die bestehenden Plastik-SIM-Karten nicht in Vergessenheit geraten. Sie brauchen eine gut und sicher organisierte Verwaltung, die es zu prüfen gilt.

Dabei hilft die Checkliste: Sie legt mögliche Lücken in der Karten-Verwaltung offen.


Download: Checkliste: Verwaltung von SIM-Karten


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Zeitschrift zu testen!