Das Bundesamt für Sicherheit in der Informationstechnik hat heute eine Diskussionsgrundlage für Smartphones veröffentlicht, indem es um die Sicherheitskriterien und Anforderungen für Smartphones im Auslieferungszustand und darüber hinaus geht.
Hört sich erst einmal sehr bürokratisch an. Im Endeffekt geht es um Forderungen, die ein Hersteller (OEM) erfüllen muss, wenn er ein Handy in den Verkauf bringt. Die wichtigsten Punkte sind:
- Jedes neue Gerät bzw. die darauf vom Hersteller vorinstallierten Apps sowie die verbundenen Dienste müssen den Anforderungen der Datenschutz-Grundverordnung der Europäischen Union (EU-DSVGO) sowie den nationalen Datenschutzregelungen in Deutschland entsprechen.
- Zu jedem Gerätetyp muss eine Aussage über die Versorgung mit Betriebssystem-Updates (Hauptversionen) gemacht werden. Diese Erklärung muss die Zeitdauer der Unterstützung in Jahren nach der Veröffentlichung sowie die Mindestanzahl der geplanten Hauptversionen enthalten.
- Neugeräte müssen mit dem letzten (neusten) Betriebssystem, das zum Zeitpunkt der Geräteveröffentlichung verfügbar ist, ausgestattet sein.
- Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt
werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit
Sicherheits-Updates herausfällt. - Sicherheits-Updates müssen innerhalb eines Monats nach Veröffentlichung zur Installation bereitgestellt werden.
Aber auch direkte Anforderungen an die Hardware wird gestellt.
- Geräte müssen mit einer Vollverschlüsselung (full disk encryption) für den internen, fest verbauten Speicher ausgerüstet sein.
- Bei Geräten mit externer Speicherkarte muss die Möglichkeit einer sicheren Verschlüsselung gegeben sein.
- Es muss ein Prozess zum Entsperren des Bootloader angeboten werden. Dieser Prozess muss transparent sein, d.h. der Hersteller muss ein Tool dazu anbieten und/oder eine leicht verständliche Handlungsanweisung bereitstellen.
Datenschutz:
- In der Systempartition dürfen nur Apps installiert sein, die spezielle (System-) Berechtigungen benötigen.
- Im Rahmen eines sicheren Softwareentwicklungsprozesses müssen die Vorgaben des Plattformherstellers umgesetzt werden. Für Android wären dies zum Beispiel „Google Best Practices“.
- Unter dem Begriff Telemetriedaten werden alle Daten (Nutzer- und Nutzungsdaten, Systemdaten) zusammengefasst, die ein Hersteller auf einem Gerät erhebt, um seine Produkte weiterzuentwickeln. Der Hersteller darf diese Daten nur nach vorheriger expliziter Zustimmung durch den Nutzer zu diesem Zweck weiterverarbeiten oder weitergeben.
- Die Verwendung von Cloud-Diensten muss dem Nutzer vor der ersten Nutzung angezeigt werden und muss konform zur DSGVO erfolgen
- Im Auslieferungszustand müssen relevante Einstellungen so gewählt werden, dass der Sicherheitsaspekt vor dem Komfort des Nutzers steht.
- WLAN: Die automatische Verbindung zu bekannten WLANs muss abschaltbar sein.
- Das Gerät muss einen Authentifizierungsmechanismus nach FIDO2 Standard anbieten, mit dem sich der Nutzer einfach gegenüber Web-Diensten authentisieren kann.
Wie oben schon geschrieben ist es eine Diskussionsgrundlage, die jetzt nach und nach abgearbeitet werden soll. Aber diese Forderungen sind durchaus berechtigt. Denn wenn man heute so sieht, wie manche Hersteller ihre Hardware mit Updates vernachlässigen dann geht es hierbei um den Schutz aller.
Wer sich das alles einmal durchlesen möchte, findet die PDF hier: bsi.bund.de/Herstelleranforderungen-Smartphones.pdf
Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt
werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit
Sicherheits-Updates herausfällt.
Sicherheits-Updates müssen innerhalb eines Monats nach Veröffentlichung zur Installation bereitgestellt werden.
Das sehe ich absolut genauso, es kann nicht sein das so hoch entwickelte Geräte nach 2-3 Jahren schon als alt Eisen bezeichnet werden, ich halte persönlich 5 Jahre noch zu wenig mindestens 10Jahre müssen es sein, bei den abzokerpreisen heute.
@hanss:
Nicht mal deine genannten 2-3 Jahre sind heutzutage in der Android-Welt der Standard, wenn es um die Versorgung mit Sicherheitsupdates nach dem Verkaufsstart der jeweiligen Modelle geht. Soweit man dann noch den realen Kaufzeitpunkt von neuen Smartphones heranzieht, ist eine Sicherheits-Updateversorgung über ein lausiges Jahr im Schnitt eher die Regel denn die Ausnahme, mitunter nicht einmal das. Mir ist unbegreiflich, wie sich User solche tickenden Sicherheitszeitbomben für mehrere hundert Euros kaufen, zumal ja alles mögliche über die Smartphones abgewickelt wird, wie z. B. Banking, Bezahlsysteme, Onlineshopping, Weitergabe persönlicher Daten via Gesundheitsapps etc.
Dagegen ist die Versorung mit Updates bei Windows 10 geradezu vorbildlich geregelt.
Sehr witzig. Keine einzige originäre europäische Technologiefirma mehr, aber dann solche Fantasie-Anforderungen formulieren. Ich mache mir die Welt, wie sie mir gefällt…
“Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt
werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit
Sicherheits-Updates herausfällt.”
Damit sind alle Androiden raus.
“Jedes neue Gerät bzw. die darauf vom Hersteller vorinstallierten Apps sowie die verbundenen Dienste müssen den Anforderungen der Datenschutz-Grundverordnung der Europäischen Union (EU-DSVGO) sowie den nationalen Datenschutzregelungen in Deutschland entsprechen.”
Damit ist Apple vermutlich auch raus.
Wo siehst du da Fantasie-Anforderung? Das sind genau die richtigen Anforderungen. Die müssen in ein Gesetz und dann müssen sich die Hersteller, die hier verkaufen wollen, danach halt richtigen. Und wenn sie das nicht wollen, DANN sind sie raus.
Dass das für manch einen Billigchinesen nicht lohnt, mag sein. Ist dann aber auch kein Verlust.