31. Juli 2008 - Bluetooth

So erleben Sie kein blaues Wunder mit Bluetooth

Bluetooth sorgt bei immer mehr Geräten für drahtlose Verbindungen und gilt als der moderne Kabelersatz. Doch gerade bei älteren Bluetooth-fähigen Geräten könnten persönliche Daten durch Hacker entwendet werden. Die Verwendung von nicht veränderbaren Geräteschlüsseln als PIN macht bestimmte Geräte angreifbar. Die vergleichsweise geringe Reichweite von Bluetooth stellt keinen verlässlichen Schutz dar. Wie Sie Bluesnarfing, Bluebugging und Bluejacking am besten abwehren können, erfahren Sie in diesem Beitrag.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Kabelgewirr auf dem Schreibtisch gehört in immer mehr Büros der Vergangenheit an. Peripheriegeräte wie Maus und Tastatur werden über Funk mit dem Computer verbunden.

Auch der Datenabgleich zwischen dem Mobiltelefon und dem Notebook erfolgt zunehmend kabellos. Und Internettelefonate (VoIP, Voice-over-IP) benötigen ebenso wie Handygespräche keine Kabelverbindung mehr zum Headset. Die fehlenden Kabel werden oftmals über den Kurzstreckenfunk Bluetooth ersetzt.

Kurze Reichweite ist kein Schutz

Kurzstreckenfunk bedeutet dabei, dass Bluetooth im Vergleich zu anderen Funkverbindungen eine relativ kurze Reichweite hat, die zwischen zehn und 100 Metern liegt, abhängig von der Geräteklasse.

Diese kurze Reichweite wird meist mit einem gewissen Gefühl von Sicherheit assoziiert, denn ein potentieller Angreifer und Datendieb müsste ja in unmittelbarer Nähe sein. Leider ist die geringe Reichweite aber kein wirklicher Schutz, und auch der PIN, mit dem die Verschlüsselung der Verbindung erfolgen kann, ist mitunter bei speziellen Geräten eher ein Sicherheitsrisiko als ein Schutz.

Eine Frage des PINs

Zu den wesentlichen Sicherheitsfunktionen von Bluetooth gehört die Verschlüsselung und die für die Verbindungsaufnahme notwendige Autorisierung und Authentifizierung. Damit zwei Bluetooth-fähige Geräte eine Verbindung untereinander aufbauen können, muss je nach implementierter Sicherheitsstufe ein Pairing erfolgen.

Damit eine sogenannte Vertrauensbeziehung zwischen den Geräten besteht, muss meist für beide Geräte ein PIN zur Berechnung des Verbindungsschlüssels eingegeben werden. Dieser PIN gehört nicht zu dem Benutzer, sondern zu dem jeweiligen Gerät.

Wenn sich der PIN nicht ändern lässt

Da ein Angreifer die Werkseinstellung für ein bestimmtes Bluetooth-Gerät kennen könnte, sollte man immer zuerst den PIN des Gerätes vor der ersten Nutzung ändern. Allerdings gibt es insbesondere ältere Geräte, aber auch bestimmte Produktklassen, bei denen man den PIN gar nicht ändern kann.

Der PIN entspricht bei diesen Geräten immer einem festen, bestimmten Geräteschlüssel, der zum Beispiel dem Benutzerhandbuch entnommen werden kann. So könnte der PIN für ein bestimmtes Produkt „0000“ heißen. Dieser PIN ist nicht nur zu kurz, sondern auch bei jedem Modell dieses Produktes gleich. Doch Bluetooth kennt noch andere Risiken, die Sie als Datenschützer kennen sollten.

Persönliche Daten vor Bluetooth-Angriff schützen

Ziel einer Attacke über die Bluetooth-Verbindung sind meist die persönlichen Daten auf dem Mobiltelefon wie gespeicherte SMS, E-Mails, Terminkalender oder das Telefonbuch. Denkbar ist auch die missbräuchliche Nutzung des Gerätes wie unerlaubte Mobiltelefonate auf Kosten anderer. Da sich über Bluetooth Dateien übertragen lassen, könnte auch Malware darüber auf das Endgerät eingeschleust werden.

Voraussetzung für solche Attacken ist in den meisten Fällen, dass die Bluetooth-Schnittstelle für andere „sichtbar“ ist. Dabei bedeutet sichtbar, dass andere Bluetooth-fähige Geräte über eine automatische Umgebungssuche (Sniffing) die aktive Bluetooth-Schnittstelle des eigenen Geräts feststellen können.

Bluetooth-Gefahren kennen und abwehren

Bluetooth-Geräte im sogenannten erkennbaren Modus (Sende- und Empfangsbereitschaft) könnten sogar mit speziellen Antenne aus bis zu einem Kilometer Entfernung attackiert werden. Zu den bekannten Bluetooth-Attacken zählen Bluejacking, Bluebugging und Bluesnarfing.

  • Bei Bluejacking handelt es sich um eine Art Spam via Bluetooth. Unbefugte könnten an Ihr Bluetooth-Handy eine ungewollte digitale Visitenkarte oder Nachricht senden. Zukünftig könnte dies zum Beispiel zu Werbezwecken in Innenstädten missbraucht werden, in denen Plakate und Schaufenster Werbung via Bluetooth schicken. Allerdings könnte wie auch bei Spam per E-Mail der Versuch dahinter stecken, den Empfänger anzulocken, um Malware zu installieren.
  • Ebenso sind Denial of Service (DoS) Attacken auf Bluetooth-Schnittstellen denkbar, um diese durch massenhafte Kontaktanfragen zu stören oder sogar das Gerät kurzfristig außer Betrieb zu setzen.
  • Mit Bluebugging versuchen Hacker unerkannt Befehle an Endgeräte zu erteilen, zum Beispiel um Anrufe zu tätigen, Textnachrichten zu senden und zu lesen, Kontakte im Adressbuch einzusehen oder Gespräche mitzuhören.
  • Bluesnarfing hingegen dient dem gezielten Datendiebstahl aus gespeicherten Nachrichten, Kontaktlisten und Telefonbüchern. Insbesondere ältere Bluetooth-fähige Geräte zeigen Anfälligkeiten für diese Angriffe.

Angreifer bevorzugen öffentliche Bereiche

Da Mobiltelefone, Personal Digital Assistants (PDAs) und Notebooks zunehmend als mobiler Büroersatz und zur Speicherung vertraulicher Daten genutzt werden, sollte die Sicherheit der Daten immer auch hinsichtlich der Bluetooth-Schnittstelle geprüft werden.

Besondere Gefahren bestehen in öffentlichen Bereichen wie Flughäfen, Bahnhöfen und Fußgängerzonen, in denen sich selbst aus geringer Entfernung unerkannt Angriffe via Bluetooth starten lassen könnten.

So könnte ein Hacker unter anderem die Übertragung der Verbindungsschlüssels abgefangen, um den PIN zu entschlüsseln. Bei voreingestellten und kurzen PINs mit nur vier Stellen ist dies mit entsprechender Ausrüstung in relativ kurzer Zeit machbar.

Schutzmaßnahmen: So schützen Sie sich vor den Bluetooth-Angriffen
  • Aktualisieren Sie die Firmware des Handys und das Betriebssystem des Bluetooth-fähigen Notebooks sowie anderer Endgeräte in regelmäßigen Abständen. Viele Bluetooth-Angriffe nutzen Schwachstellen in den Systemen aus.
  • Deaktivieren Sie die Bluetooth-Schnittstelle immer nach Gebrauch.
  • Verwenden Sie PINs mit mindestens acht Stellen und nutzen Sie alphanumerische Zeichen. Geräte, die keine PIN-Änderung zulassen, sollten aus Sicherheitsgründen am besten gar nicht oder nur in geschützten Bereichen genutzt werden.
  • Führen Sie kein Pairing mit unbekannten Geräten durch.
  • Vermeiden Sie Pairing in öffentlichen Bereichen.
  • Schalten Sie bei Bluetooth-Aktivierung in den unsichtbaren Modus.
  • Stimmen Sie keiner Datenübertragung aus unbekannter Quelle zu.
  • Speichern Sie möglichst wenig persönliche Daten auf Geräten mit Bluetooth-Schnittstelle.
  • Installieren Sie einen Malware-Schutz auch auf Ihrem Handy.

 

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln