- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Was die eSIM für den Datenschutz bedeutet

Die Mobilfunk-Provider in Deutschland haben die eSIM (embedded SIM) eingeführt. Verschiedene Geräte unterstützen die Technologie bereits. Datenschutzbeauftragte sollten wissen, was diese Entwicklung für ihr Unternehmen bedeutet und wie es gegenwärtig um die Verwaltung der SIM-Karten steht, die zentral für den mobilen Datenschutz sind.

SIM-Karten im Datenschutz-Konzept nicht vergessen

Im Datenschutz ist viel die Rede von Risiken durch mobile Endgeräte wie Smartphones, Tablets und Wearables [1] gesprochen, über Internet of Things [2] (IoT), Spionage-Apps [3] und Sicherheitslücken in mobilen Betriebssystemen.

Ein kleiner Baustein der mobilen Kommunikation wird dabei schnell übersehen: die SIM-Karte. Sie befindet sich in den mobilen Endgeräten, die Verbindung zu mobilen Funknetzen aufbauen können.

Dabei ist es die SIM-Karte, die für die Identitätskontrolle in den mobilen Netzen eine zentrale Rolle spielt. SIM steht bekanntlich für Subscriber Identity Module, ist also ein Identitätsmodul.

Der Anwender braucht die SIM-Karte und die zugehörige PIN, um die Leistungen des Mobilfunkbetreibers zu nutzen.

Speicher für personenbezogene Daten

Die SIM-Karte hat eine weitere, oftmals übersehene Funktion: Sie speichert Daten, und zwar personenbezogene Daten wie das Adressbuch oder auch eingegangene und verschickte SMS in begrenzter Anzahl.

Bereits aus diesem Grund sollten Datenschutzbeauftragte die SIM-Karten ihres Unternehmens in den Blick nehmen. Aber es gibt noch weitere, gute Gründe: die neue Technologie der sogenannten embedded SIM oder eSIM.

Welche Konsequenzen kann die eSIM für den Datenschutz haben?

Schlüssel zum Internet of Things

Vodafone hat als erster deutscher Netzbetreiber mit der Vermarktung der „embedded SIM“ (kurz eSIM) begonnen. Die anderen Betreiber folgten kurz darauf.

eSIM ist bereits bei einigen Geräten wie dem Google Pixel 2 Smartphone und der Smartwatch Huawei Watch 2 integriert und soll als fest eingebauter Bestandteil zum Standard für eine ganz neue Generation von Mobilfunk-Geräten werden, so Vodafone.

Fitness-Tracker, Smart-Watches, aber auch Windows-10 [4]-Tablets bleiben dank der eSIM permanent über das Mobilfunknetz in Verbindung. Die eSIM wird zum Schlüssel für das Internet der Dinge, erklärt der Netzbetreiber Vodafone.

Bereits an dieser Stelle wird der geneigte Datenschutzbeauftragte aufmerksam: Mit einer fest eingebauten eSIM können Fitness-Tracker und Smart-Watches immer mit dem Mobilfunk-Netz verbunden sein.

Das ruft nach einer Bewertung durch den Datenschutz. Immerhin hat der Nutzer bald keine Wahl mehr, ob er eine Mini-, Micro- oder Nano-SIM-Karte in sein Endgerät oder in den Fitness-Tracker steckt: Die eSIM ist bereits enthalten.

Vorteil: flexibel und programmierbar

Andererseits erhöht die eSIM die Flexibilität des Nutzers:

Vorsicht: eSIMs könnten Angreifer anlocken

eSIMs erleichtern den Wechsel des Anbieters, des Tarifs und des Gerätenutzers, ganz ohne Ausbau und Einbau einer SIM-Karte.

Da sich die eSIM von außen programmieren lässt, könnte das Angreifer anziehen. Die eSIMs sind Identitätsausweise im mobilen Netz und deshalb attraktive Angriffsziele für Datendiebe.

Vodafone beschreibt, was Anbieter dagegen tun:

Ob dies tatsächlich die immer raffinierteren Angreifer abhalten wird, muss sich zeigen.

Empfehlung: Verwaltung der Karten organisieren

Die Umstellung von der SIM-Karte hin zur eSIM wird sich noch einige Zeit hinziehen. Denn fest verbaute Karten können nur durch einen Gerätewechsel ins Unternehmen kommen.

Allerdings ist für Unternehmen empfehlenswert, sich auf den Wechsel vorzubereiten, da weitere Geräte-Neuheiten die eSIM mitbringen werden.

Aufgabe des Datenschutzes ist es, etwa den Prozess der internen Vergabe von SIM-Karten an Mitarbeiterinnen und Mitarbeiter zu überarbeiten. Beispielsweise sind der Einsatz von QR-Codes und der Download der persönlichen Profile aus dem Internet neu.

Gleichzeitig dürfen die bestehenden Plastik-SIM-Karten nicht in Vergessenheit geraten. Sie brauchen eine gut und sicher organisierte Verwaltung, die es zu prüfen gilt.

Dabei hilft die Checkliste: Sie legt mögliche Lücken in der Karten-Verwaltung offen.


Download: Checkliste: Verwaltung von SIM-Karten [6]


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS [7] gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Zeitschrift zu testen!