7. März 2016 - Bewertung neuer Technologien

Was die eSIM für den Datenschutz bedeutet

Die ersten Mobilfunk-Provider führen in Deutschland die eSIM (embedded SIM) ein. Datenschutzbeauftragte sollten wissen, was diese Entwicklung für ihr Unternehmen bedeutet und wie es gegenwärtig um die Verwaltung der SIM-Karten steht, die zentral für den mobilen Datenschutz sind.

eSIM: Was ist mit dem Datenschutz? eSIMs werden in absehbarer Zeit die SIM-Karten ablösen (Bild: StockPhotoAstur / iStock / Thinkstock)

eSIMs sind flexibel und programmierbar

In Kürze startet Vodafone als erster deutscher Netzbetreiber mit der Vermarktung der „embedded SIM“ (kurz eSIM). Zukünftig wird eSIM als fest eingebauter Bestandteil zum Standard für eine ganz neue Generation von Mobilfunk-Geräten, so Vodafone. Fitness-Tracker oder Smart-Watches können dank der eSIM permanent über das Mobilfunknetz in Verbindung bleiben, die eSIM wird zum Schlüssel für das Internet der Dinge, erklärt der Netzbetreiber Vodafone.

Bereits an dieser Stelle sollten Datenschutzbeauftragte aufmerksam werden: Mit einer fest eingebauten eSIM können die Fitness-Tracker und Smart-Watches immer mit dem Mobilfunk-Netz verbunden sein. Das ruft nach einer Bewertung durch den Datenschutz. Immerhin hat der Nutzer bald keine Wahl mehr, ob er eine Mini-, Micro- oder Nano-SIM-Karte in sein Endgerät oder in den Fitness-Tracker steckt. Denn die eSIM ist bereits enthalten.

Gleichzeitig erhöht die eSIM die Flexibilität des Nutzers:

  • Mit der eSIM entfällt zukünftig der physikalische Austausch einer Plastik-SIM beim Wechsel auf ein neues Gerät.
  • Stattdessen ist der Prozess so, dass der Nutzer nach Auswahl des passenden Tarifs neben der bekannten PIN und PUK zum Entsperren auch eine eSIM-Aktivierungscode-Karte bekommt.
  • Auf dieser Karte ist ein QR-Code abgebildet, den der Nutzer mit dem Smartphone abfotografiert. Das lädt das persönliche eSIM-Profil aus dem Internet herunter, so Vodafone.
  • So lassen sich innerhalb weniger Minuten neue Nutzer-Profile auf der eSIM installieren, löschen und wechseln.

eSIMs können Angreifer anlocken

eSIMs erleichtern also den Wechsel des Anbieters, des Tarifs und auch des Gerätenutzers, ganz ohne Ausbau und Einbau einer SIM-Karte. Dass sich die eSIM von außen programmieren lässt, könnte Angreifer anziehen. Die eSIMs sind Identitätsausweise im mobilen Netz und deshalb attraktive Angriffsziele für Datendiebe.

Wie Vodafone beschreibt, wird das eSIM-Profil jeweils während der Installation verschlüsselt. Asymmetrische Verfahren sichern die Ende-zu-Ende-Übertragung zwischen den Servern des Netzbetreibers und dem Modul. Jedes Gerät kann nur das ihm zugewiesen eSIM-Profil entschlüsseln und installieren. Ob das tatsächlich die immer raffinierteren Angreifer abhalten wird, muss sich erst zeigen.

Verwaltung der SIM-Karten organisieren

Der anstehende Wechsel von der SIM-Karte hin zur eSIM wird sich noch einige Zeit hinziehen. Fest verbaute eSIMs können nur durch einen Gerätewechsel oder durch neue Geräte ins Unternehmen kommen. Allerdings sollten sich Unternehmen auf den Wechsel zur eSIM schon jetzt vorbereiten, denn weitere Netzprovider folgen in Kürze mit dem eSIM-Konzept:

  • So muss zum Beispiel der Prozess der internen Vergabe von SIM-Karten an Mitarbeiterinnen und Mitarbeiter überarbeitet werden.
  • Auch sind der Einsatz von QR-Codes und der Download der persönlichen eSIM-Profile aus dem Internet neu.

SIM-Karten im Datenschutz-Konzept

Vergessen Sie gleichzeitig die bestehenden Plastik-SIM-Karten nicht. Im Datenschutz ist aktuell viel über Risiken durch mobile Endgeräte wie Smartphones und Tablets zu hören, über Spionage-Apps und Sicherheitslücken in mobilen Betriebssystemen. Ein kleiner Baustein der mobilen Kommunikation wird dabei schnell übersehen: die SIM-Karte, die sich in den mobilen Endgeräten befindet, die Verbindung zu mobilen Funknetzen aufbauen können.

Dabei ist es die SIM-Karte, die für die Identitätskontrolle in den mobilen Netzen so eine zentrale Rolle spielt. SIM steht für Subscriber Identity Module, ist also ein Identitätsmodul. Der Anwender braucht die SIM-Karte und die zugehörige PIN, um die Leistungen des Mobilfunkbetreibers nutzen zu können. Die SIM-Karte hat eine weitere, oftmals übersehene Funktion: Sie speichert Daten, und zwar personenbezogene Daten wie das Adressbuch oder auch eingegangene und verschickte SMS in begrenzter Anzahl.

Sie brauchen eine gut und sicher organisierte Verwaltung, die der Datenschutzbeauftragte prüft. Dabei hilft Ihnen die Checkliste, die mögliche Lücken in der SIM-Karten-Verwaltung offenlegt.


Download: Checkliste: Verwaltung von SIM-Karten


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Zeitschrift zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln