Mit der zunehmenden Verbreitung von Bluetooth in der Öffentlichkeit steigt natürlich auch die Attraktivität für Kriminelle und sonstige Datendiebe, sich mit dieser Technik zu beschäftigen und Möglichkeiten zu suchen, einen Nutzen für sich herauszuschlagen.
Ein Angriff auf eine ungesicherte Bluetooth-Verbindung ist relativ leicht bewerkstelligt. Der Eindringling brauch im besten Fall nur den Moment des ersten Datenaustauschs zwischen zwei sich verbindenden Geräten abpassen und die nötigen Daten auslesen. Dazu muss sich der unberechtigte Dritte in ausreichender Nähe zu Ihrem Gerät befinden (etwa zehn Meter Abstand) und über die nötige Software zum Auslesen der Verbindungsdaten verfügen.
Risiken
Nach einem erfolgreichen Eindringen ist es theoretisch möglich, dass der Angreifer Ihr Gerät benutzt, um eigene Telefongespräche zu führen, SMS zu verschicken, Ihre Nachrichten und Telefonbucheinträge einzusehen und auf die Internetverbindung zurückzugreifen. Es kann also durchaus ein erheblicher informationeller und finanzieller Schaden entstehen, wenn Sie Opfer einer solchen Attacke werden.
Besonders verwundbar ist die Bluetooth-Verbindung beim sogenannten Pairing, das heißt in dem Moment, in welchem zwei Geräte zum ersten Mal eine Verbindung aufnehmen und sich gegenseitig authentifizieren.
Hierbei wird ein standardisierter Prozess durchlaufen, an dessen Ende ein Verbindungsschlüssel gebildet ist, welcher nach Abbruch der Kommunikation entweder verworfen oder für das nächste Mal in einer Tabelle gespeichert werden kann. In diesem Verfahren werden PIN-Daten gesendet, die der Angreifer mit den richtigen Werkzeugen mitschneiden kann.
Es lohnt sich also für den Nutzer, hier gegenzusteuern und ein paar Hinweise zu berücksichtigen. Dies ist vor allem deshalb von Belang, weil das Opfer eines erfolgreichen Angriffs meist erst viel zu spät den Vorfall bemerken wird – etwa wenn Daten auf dem eigenen Gerät verändert wurden oder erst auf der nächsten Telefonrechnung.
Gegenstrategien
Bluetooth-Geräte verfügen über verschiedene Sicherheitsstufen. Im ungesicherten Modus besteht die einzige Vorkehrung darin, dass die verbundenen Geräte ihre Kommunikationsfrequenz in regelmäßigen Zeitabständen automatisch wechseln.
Erhöht werden kann die Sicherheit auf der Ebene der einzelnen Anwendungen, welche die Bluetooth-Verbindung nutzen – eine zusätzliche Autorisierung zur Datenfreigabe wäre hier beispielsweise möglich. Ein nächster Schritt besteht darin, bereits während des ersten Verbindungsaufbaus einen stärkeren Sicherheitsstandard zu implementieren zuzüglich einer möglichen Verschlüsselung der übertragenen Daten.
Ungeachtet des eingesetzten Sicherheitsstandards ist es prinzipiell zu empfehlen, Bluetooth nur dann zu aktivieren, wenn Sie es auch nutzen möchten – und dann möglichst in einer sicheren Umgebung, das heißt nicht unbedingt auf offener Straße oder in anderen Szenarien, in denen viele unbekannte Teilnehmer in Reichweite zu Ihrem Gerät stehen.
Die Mehrzahl der gegenwärtig im Umlauf befindlichen Geräte verfügt über eine durchschnittliche Reichweite von zehn bis zwanzig Metern. Besonders wichtig ist es, auf eine ungestörte Verbindung zu achten, wenn Sie Ihr Smartphone zum ersten Mal mit einem anderen Gerät verbinden und umfassende Authentifizierungsschritte vorgenommen werden.
Nach dieser erstmaligen Anmeldung können Sie die PIN auf Ihrem Gerät speichern, sodass Sie es vor dem nächsten Aufbau der Bluetooth-Verbindung nicht erneut eingeben und übermitteln müssen. Dies gilt ebenfalls für die Kennung des verbundenen Gerätes. Sie ersparen sich erstens eine Neuregistrierung der Gegenstelle, zweitens reduziert sich somit die Prozedur der folgenden Anmeldung auf ein sicheres Minimum.
Die miteinander kommunizierenden Geräte können verknüpft und jeweils in einem "unsichtbaren" Modus versetzt werden, welcher die wechselseitige Erkennbarkeit auch später nicht beeinträchtigt, sehr wohl aber ihr Auffinden durch neue, unbekannte Teilnehmer erschwert. Auch auf eine hinreichend komplizierte PIN sollten Sie achten. Eine lediglich vierstellige Nummer ist keinesfalls ausreichend. Angeraten ist hier eine mindestens achtstellige Kennung, welche weniger leicht erraten oder "geknackt" werden kann.
Denn ist diese Nummer einmal in falsche Hände geraten, ist jede Art von Zugriff und Manipulation Ihrer Daten möglich. Insbesondere bei älteren Geräten kommt es manchmal vor, dass diese über eine nur sehr kurze PIN verfügen, welche sich auch nicht ändern lässt. Solche Geräte sollten nach Möglichkeit nicht mehr eingesetzt werden.
Eine Angriffstechnik besteht darin, Sie durch eine erzwungene Unterbrechung der Verbindung zu einer neuen Authentifizierung zu bewegen und dann die jeweiligen Anmeldedaten mitzuschneiden. Sollten Sie also einmal mitten in einem Datenaustausch zu einer neuen Anmeldung aufgefordert werden, ist Vorsicht geboten.
Melden Sie sich in diesem Fall erst dann wieder an, wenn Sie sicherstellen konnten, dass sich keine unberechtigten Teilnehmer in Ihrer näheren Umgebung befinden. Zumindest können Sie einige Zeit verstreichen lassen und somit den hypothetischen Angreifer entmutigen, Ihnen weiterhin "zuzuhören". Weiterhin ist es ratsam, die automatische Verbindungsaufnahme zu deaktivieren, insbesondere wenn Sie mit Ihrem Gerät bei eingeschaltetem Bluetooth unterwegs sind.
Auf der Ebene der einzelnen Anwendungen können Sie darüber hinaus sicherstellen, dass nur über verschlüsselte Kanäle Daten ausgetauscht werden. Nicht jedes Programm verfügt über diese Fähigkeit, deshalb ist der Nutzer hier gefragt, nur ausreichend ausgestattete Programme zu verwenden, falls Bluetooth in einer unsicheren Umgebung betrieben wird.
Zusammengefasst: Risiken versus Vorkehrungen
Trotz des eingangs genannten Szenarios und aller Sicherheitsrisiken gilt die gegenwärtige Bluetooth-Infrastruktur als überwiegend sicher – vorausgesetzt einerseits, der Nutzer hält sich an die wichtigsten Hinweise – und andererseits, es ist kein Profi am Werk, welcher über Hardware und Wissen verfügt, welchen Bluetooth bisher im Masseneinsatz noch nicht gewachsen ist. Alte und wenig gesicherte Geräte sind mittlerweile weitgehend vom Markt verschwunden und neue Betriebssysteme bieten einen ausreichenden Basisschutz.
Die wichtigsten Punkte zuletzt noch einmal zusammengefasst: Das Passwort bedarf einer ausreichenden Länge von mindestens acht Zeichen, die Sichtbarkeit des Bluetooth-Geräts ist auf "verborgen" beziehungsweise "unsichtbar" gesetzt und das Pairing wird möglichst selten durchgeführt, stattdessen werden die Verbindungsdaten mit dem jeweiligen Zielgerät auf Ihrem eigenen Smartphone gespeichert. Optional dazu deaktivieren Sie Bluetooth, wenn Sie es nicht benötigen – was den zusätzlichen Vorteil einer längeren Akkulaufzeit in sich birgt.