Im Rahmen der Aktivitäten zur Verhinderung von Angriffen auf industrielle Informationsressourcen, die kürzlich während einer internationalen Messe durchgeführt wurden, wurde das mangelnde Bewusstsein für die Risiken im Zusammenhang mit der grassierenden Verwendung elektronischer Visitenkarten, allgemein bekannt unter dem Begriff der intelligente digitale Visitenkarte.
Statt des klassischen Austauschs von raffinierten Präsentationskarten werden zunehmend elegante Kunststoff-Magnetkarten (Kreditkartentyp) verwendet, die einen Chip mit unseren Kontaktdaten im Inneren tragen.
Annäherung an dies Zeichen auf das Smartphone unseres Gesprächspartners übertragen wir automatisch die digitale Version unserer Visitenkarte und sparen Papier, Zeit und Platz.
Die Funktionalität basiert auf dem Proximity Transmission Standard namens NFC - Near Field Communication: Um es klar zu sagen, die gleiche Technologie, die heute das Bezahlen im Supermarkt per Handy oder das automatische Auslesen des Passes an den Grenzkontrollen ermöglicht.
Abgesehen von Zeremoniell und Romantik besteht kein Zweifel, dass die Mode der Smart-Visitenkarte befriedigt das Bedürfnis nach Schnelligkeit, Wirtschaftlichkeit und Umweltschutz und beseitigt die Verwendung von Papier; aber gleichzeitig verbirgt es neue Cyber-Bedrohungen, die es zu kennen und abzuwehren gilt, um zu verhindern, dass - insbesondere bei verlockenden Anlässen wie Messen, Seminaren und Konferenzen - böswillige Akteure Cyber-Angriffe durchführen, personenbezogene Daten stehlen, Netzdienste nicht verfügbar sind, Dokumente fälschen oder elektronische Geräte sabotieren.
Die Bedrohung profitiert auch von einigen prädisponierenden Bedingungen aufgrund des Mangels an Wissen über die Technologien, die Sie „in Ihrer Tasche tragen“ und der unzureichenden Aufmerksamkeit, die Sicherheits- und Datenschutzfragen im Allgemeinen geschenkt wird. Es wird zum Beispiel fälschlicherweise angenommen, dass das einfache Auslesen eines elektronischen Etiketts über das Proximity-Netzwerk unseres Telefons keinen Automatismus auslösen kann; Darüber hinaus sind viele überzeugt - und sie liegen falsch -, dass die begrenzte Bandbreitenkapazität dieser Technologien in Kombination mit der Notwendigkeit, Kommunikationsgeräte in einer Entfernung von weniger als 10 cm aufzustellen, keine nennenswerten IT-Durchdringungen zulässt.
Diese Mythen müssen zerstreut werden. Zunächst ist grundsätzlich zu bedenken, dass jedes Mal, wenn die Tür eines elektronischen Geräts geöffnet wird – egal ob kabelgebunden oder über Funk – jedem die Möglichkeit der Fernausbeutung geboten wird. Und in Bezug auf NFC-Technologien gibt es Studien, die zeigen, dass die Angriffsfläche, die durch den Einsatz von Proximity-Übertragungen ermöglicht wird, tatsächlich recht groß ist. Der Code, der für die Analyse von NFC-Übertragungen verantwortlich ist, beginnt in der Tat in den Kernel-Treibern - dem Kern des Betriebssystems eines Geräts, dem aus Sicherheitsgründen das kritischste Element -, geht über Dienste zur Verwaltung von NFC-Daten und endet mit Anwendungen, die auf diese Daten reagieren.
Grundsätzlich ist es über die NFC-Schnittstelle möglich, auf ein Mobiltelefon zuzugreifen und ohne Zustimmung des Nutzers Webseiten zu öffnen, Bilddateien, Office-Dokumente, Videos zu analysieren, Anwendungen auszuführen etc. Und auch Cyberangriffe vom Typ „Relay“ sind möglich, typische „Man-in-the-Middle“-Taktiken, mit denen der Datenverkehr anderer illegal abgefangen wird.
Daher besteht das Sicherheits- und Datenschutzrisiko und ist nicht zu vernachlässigen.
Grundsätzlich gibt es drei elektrische und elektronische Sicherheitsmaßnahmen. Die erste besteht darin, Geräte und Anwendungen mit Funktionalität zu verwenden "Vorschau & Autorisieren" die immer die vorherige Genehmigung des Benutzers erfordern, bevor sie auf eine Webseite umgeleitet oder potenziell schädliche Anweisungen auf dem Gerät ausgeführt werden. Die zweite Vorsichtsmaßnahme ist, NFC-Funktionen deaktivieren, wenn sie nicht benötigt werden. Die letzte Vorsichtsmaßnahme, die das Risiko drastisch reduziert, ist schließlich der Schutz des Smartphones mit NFC-blockierende Hülle: Abschirmgehäuse zum Schutz vor elektromagnetischer Strahlung im RFID- und NFC-Frequenzbereich.
Es gibt auch eine organisatorische Gegenmaßnahme: Es ist eine gute Praxis, bei Auslandsreisen „Gabelstapler“-Geräte zu verwenden, die keine persönlichen oder geschäftlichen Informationen enthalten, wodurch das Risiko von Datendiebstahl oder -kompromittierung verringert wird.
Um mehr zu erfahren:
https://csrc.nist.gov/publications/detail/sp/800-98/final
https://ieeexplore.ieee.org/abstract/document/6428872
https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33
