GSMA erhält BSI-Zertifikat für eSIM-Sicherheitsprofil
eSIMs revolutionieren die mobile Kommunikation – doch mit dem Fortschritt steigen auch die Risiken. Das neue Schutzprofil der GSMA, zertifiziert durch das BSI, schafft die dringend nötige Sicherheitsbasis für eine Technologie, die längst über Smartphones hinausgewachsen ist.
Am 24. Juli 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das neue Schutzprofil der GSM Association (GSMA) für embedded Universal Integrated Circuit Cards (eUICC) offiziell nach Common Criteria (ISO 15408) zertifiziert. Damit erhält die nächste Generation der SIM-Technologie eine formale Sicherheitsgrundlage – ein Ergebnis der engen Zusammenarbeit zwischen dem BSI, der GSMA und der Prüfstelle für IT-Sicherheit der Deutschen Telekom Security GmbH.
Die eUICC, im Alltag besser bekannt als eSIM, erlaubt die drahtlose Verwaltung von Mobilfunkprofilen durch den jeweiligen Netzbetreiber. Was bisher den physischen Austausch von SIM-Karten erforderte, wird künftig über Remote-Zugriffe geregelt. Die Technologie kommt bereits in zahlreichen Smartphones und IoT-Geräten zum Einsatz – Tendenz stark steigend.
Angriffsziel eSIM – neue Bedrohungen durch Fernzugriffe
Mit der wachsenden Verbreitung der eUICC steigt auch das Interesse von Cyberkriminellen, denn die drahtlose Verwaltung eröffnet neue Angriffsvektoren. Zu den realen Bedrohungen zählen etwa das Klonen von Mobilfunkprofilen, das für Identitätsdiebstahl oder betrügerische Zahlungsabwicklungen missbraucht werden kann. Gerade deshalb ist ein belastbares Sicherheitsprofil für die eUICC nicht nur technisch geboten, sondern auch strategisch notwendig für den Schutz kritischer Kommunikationsinfrastrukturen.
Mehr Funktionen, mehr Schutz, mehr Kontrolle
Das jetzt zertifizierte Schutzprofil bringt entscheidende Neuerungen mit: Es berücksichtigt erstmals zentrale Funktionen der Consumer-eUICC, darunter Multiple Enabled Profiles (MEP) und Remote Profile Management (RPM). MEP ermöglicht es Nutzerinnen und Nutzern, mehrere SIM-Profile gleichzeitig auf einem Gerät zu speichern und flexibel zwischen ihnen zu wechseln – ohne eine Karte zu tauschen. RPM wiederum erlaubt die komplette Fernverwaltung der Profile durch den Anbieter.
Darüber hinaus berücksichtigt das Schutzprofil auch die Anforderungen von IoT-Infrastrukturen, deren Geräte oft über Jahre hinweg betrieben werden – oft fernab vom nächsten Servicestandort. Die neue eUICC-Architektur erlaubt dabei nicht nur eine effizientere Fernwartung, sondern auch den nachträglichen Wechsel des Mobilfunkanbieters, ohne dass das Gerät ausgebaut oder neu konfiguriert werden muss. Das vereinfacht Logistik und Lebenszyklusmanagement erheblich.
Common Criteria-Zertifizierung auf hohem Sicherheitsniveau
Das Schutzprofil definiert verbindliche funktionale Sicherheitsanforderungen für alle sicherheitsrelevanten Komponenten der eUICC. Zertifizierungen erfolgen nach dem Common Criteria-Niveau EAL 4 + ALC_DVS.2 und AVA_VAN.5 – eine Einstufung, die Produkte als resistent gegen ein hohes Angriffspotenzial kennzeichnet. Damit erfüllt das Profil die Erwartungen von Industrie, Netzbetreibern und Regulierungsbehörden gleichermaßen.
Hersteller von eUICC-Produkten erhalten mit diesem Schutzprofil einen klaren technischen Maßstab, den sie erfüllen müssen, um eine formelle Common Criteria-Zertifizierung zu erhalten. Das schafft Transparenz, fördert das Vertrauen der Verbraucherinnen und Verbraucher und sorgt dafür, dass eSIM-Technologie auch in sicherheitskritischen Szenarien wie IoT-Anwendungen und vernetzten Fahrzeugen eingesetzt werden kann.
Zertifikatsübergabe durch das BSI an die GSMA (v.l.n.r.): Michael Loch, Associate General Counsel (GSMA), Ian Pannel, Chef-Ingenieur (GSMA), Sandro Amendola, Leiter der Abteilung „Standardisierung, Zertifizierung und Prüfung“ (BSI), Ingo Hahlen, Referatsleiter S 22 „Common Criteria Zertifizierung von Hardwareprodukten“ (BSI).
