[English]Das BSI hat sich mit dem Thema sichere Smartphones befasst und einige Sicherheitsanforderungen aufgeschrieben. Konsequenz: Du kannst keine Android-Geräte mehr kaufen.
Anzeige
Ich bin bereits gestern auf diesen Tweet des BSI gestoßen, der sich mit Sicherheitskriterien für Smartphones befasst.
Welche Sicherheitskriterien sollten #Smartphones im Auslieferungszustand und darüber hinaus erfüllen? Als Diskussionsgrundlage dient unser neuer Anforderungskatalog zur Entwicklung von Sicherheitsanforderungen für Smartphones. #DeutschlandDigitalSicherBSI https://t.co/eKfhQ2e8U9 pic.twitter.com/1tYmKNcuqJ
— BSI (@BSI_Bund) February 25, 2020
"Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default", betont BSI-Präsident Arne Schönbohm.
Anforderungskatalog für Smartphones
Als Diskussionsgrundlage zur Entwicklung von Sicherheitsanforderungen für Smartphones hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog veröffentlicht. Damit Anwender sich möglichst sicher in der digitalen Welt bewegen können, listet der Anforderungskatalog Sicherheitskriterien auf, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten. Darunter sind:
Anzeige
- Konformität zu EU-Recht und nationalem Recht
- Aktualität der OS-Version – Unterstützung mit Sicherheits-Updates für 5 Jahre
- Sicherheitsupdates innerhalb eines Monats nach Veröffentlichung
- Schutz vor unbefugtem Zugriff auf Endgerät
- Geräteverschlüsselung, Verschlüsselung der SD-Karte
- Sichere Ablaufumgebung / HSE
- Sicherer Bootprozess
- Entsperren des Bootloader
- Cyphering
- Datenschutz
- Vorinstallierte Apps in der Systempartition
- Berechtigungen für (vorinstallierte) Apps
- Sicherer Softwareentwicklungsprozess
- Telemetrie nur mit Nutzereinwilligung
- Secure Software Platform
- Netzwerk-Gateways
- Cloud-Dienste müssen vor erster Nutzung angezeigt werden
- Grundkonfiguration beim Kauf: Sicherheit vor Komfort
- Schnittstellen: WLAN etc.
- FIDO2-Authentifizierung
Der Anforderungskatalog des BSI enthält Kriterien zur Absicherung der Geräte durch bestimmte Hardwareeigenschaften sowie zur Härtung und zum Schutz der im Auslieferungszustand enthaltenen Software. Zudem konkretisiert und vereinheitlicht der Katalog Anforderungen zur Bereitstellung von Updates während der Laufzeit der Geräte. Darüber hinaus beinhaltet der Katalog Kriterien zum Schutz von Nutzerdaten, etwa im Bereich der Telemetriefunktionen, sowie für mehr Transparenz für die Verbraucherinnen und Verbraucher.
Heutige Geräte fallen durch
Geht man die obigen Stichworte durch, fallen Android-Geräte wegen der saumäßigen Update-Politik schon mal raus. Aber auch ein Windows 10-Phone würde wegen der Telemetriegeschichte sofort gekickt. Und Apples iOS-Geräte würden wegen der Cloud-Integration problematisch.
Allerdings hat der BSI-Anforderungskatalog keine rechtliche Verbindlichkeit, sondern zeigt eigentlich, wie weit wir mit dem gegenwärtigen Elektronik-Schrott fernöstlicher Hersteller, die mit US-Software ausgestattet wird, in Sachen vernünftiger Geräte für Verbraucher entfernt sind. Zeit, diesen Sachverhalt zu ändern und Geräte zu kicken.
Gute Idee, 5 Jahre zu spät, lasst uns das umsetzen
Der Katalog des BSI ist Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern (Original Equipment Manufacturer, OEM), Netzbetreibern und Zivilgesellschaft. Das BSI strebt eine Beteiligung aller gesellschaftlichen Gruppen bei der Fortentwicklung dieser Anforderungen an, die zukünftig in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen sollen. Von daher: Der Katalog kommt 5 Jahre zu spät, ist trotzdem aber ein wichtiger Schritt. Der Anforderungskatalog lässt sich hier herunterladen.
Anzeige
Das Ansinnen des BSI kann man nur befürworten, aber wie schon erwähnt, kommt das reichlich zu spät. Die Selbstverpflichtung der Marktteilnehmer (Hersteller) klappt nicht, ebenso nicht die Verpflichtungen, die Google in puncto Android gesetzt hat. Da muss die Politik endlich reagieren und die Leitplanken neu setzen, wenn ersichtlich ist, dass die Hersteller den Weg nicht erkennen können.
Klar, es widerspricht ihren Vorstellungen von Umsatz, weil sie dann vermutlich weniger Geräte absetzen können, aber am Ende sollten wir uns alle die Frage stellen, was wichtiger ist: Die Rendite der Anleger oder unser Planet, dessen Ressourcen endlich und eben nicht unendlich sind?!
Dazu noch austauschbare Akkus und wir wären auf dem richtigen Weg. Dasselbe sollte dann aber auch auf andere Computersysteme wie Tablets, Notebook, Convertibles und weiß der Geier zutreffen. Dazu verweise ich auf: https://www.gesetze-im-internet.de/elektrog_2015/__4.html
Klasse Idee vom BSI!
Aber ernsthaft … was haben die dort gegessen, wenn sie auf solche Ideen kommen? Ist ja gut – aber nicht nur 5 Jahre zu spät, sondern auch weit an der Realität vorbei.
Die sollten vielleicht mal ihren Elfenturm verlassen ….
Einzig Android One käme den Anforderungen am nächsten, aber selbst das ist recht rar gesät.
Ich bin zwar kein Freund des i-Phones, aber der Zeitraum indem man Sicherheitsupdates bekommt ist schon beeindruckend. Da kommen auch die Nexus-Geräte nicht mit.
Mein Windows Desktop-PC ist schon über 10 Jahre alt! Und er kann immer noch alles, was ich brauche. Er ist nicht des allerschnellste, aber schnell genug, dafür, daß er ehr meist im Idle-Modus läuft. Und Updates? Ja, die bekomme ich auch in den nächsten Jahren noch. Zwei Jahre kann ich noch Windows 8.1 nutzen, und dann noch lange Windows 10. Die digitale Berechtigung für das kostenlose Upgrade habe ich auch schon gesichert.
In Punkto Telemetrie ist Windows 10 zwar eine echte Herausforderung, aber ich könnte ja auch auf Linux umsteigen. Was ich meine: Für 5 Jahre Updates zu fordern, ist besser als keine Updates. Aber Nachhaltigkeit geht anders. Da sind auch 5 Jahre zu kurz gedacht. Einmal abgesehen davon, daß ich Geräte mit eingeklebtem Akku sowieso schon vorher nicht mehr benutzen kann…
Aber wem schreibe ich das? Die "Verbraucher" wollen ja verbrauchen und lesen das hier vermutlich eher selten. Es sind nicht nur die bösen Großen. Nein, es sind in erster Linie die Lemminge, die alles mitmachen!
>Die digitale Berechtigung für das kostenlose
>Upgrade habe ich auch schon gesichert.
Ein Mainboardtausch kann die Lizenz Zunichte machen. Schon ein BIOS-Update kann dazu reichen, wie ich erfahren musste. Die digitale Berechtigung stimme nicht mit der Hardware überein, kriegt man dann zu lesen. Die Aktivierung über die Problembehandlung (Reaktivierung nach Hardwaretausch) hatte auch keinen Erfolg. Wenn die scheitert, stehen die meisten hilflos da.
Ich habe die digitale Lizenz mit einem MS-Konto verknüpft. So sollte sie nach Hardwaretausch reaktivierbar und auch auf einen neuen PC übertragbar sein…
GB: Gute Idee, 5 Jahre zu spät, " lasst uns das umsetzen "
Richtig, wir sind die Käufer und bestimmen durch unser Kaufverhalten !
Nichts ist wirksamer als Umsatzeinbrüche!
Da werfe ich doch mal LineageOS in die Diskusssion. Ein S5 läuft somit auf Android 9. Und der Akku ist in 10 Sekunden ausgetauscht. ;)
Den meisten dürfte aber doch sicher klar sein, das der Nutzer selber die grösste Sicherheitslücke darstellt, und nicht das Betriebssystem. Da nützen auch 10 Jahre Support gar nichts.
Ich halte mich weder in der Realität noch im Internet in dubiosen Hinterhöfen auf, die ich nicht kenne. Ich kaufe ebenso wenig in der Realität Dinge von zweifelhafter Herkunft, genauso wenig lade ich mir etwas aus zweifelhaften Quellen herunter.
Ich "predige" das immer wieder im Familien- und Freundeskreis, das im Grunde das schon den allergrössten Teil der Sicherheit ausmacht. Und wenn man da nicht Vernunft walten lässt, nützt einem das allerneueste Update nichts.
Updates sind unterstützend gut und auch vernünftig, aber wenn der Nutzer meint "nur" damit wäre es getan, ist das ein absoluter Trugschluss. Das gilt für alle Betriebssysteme.
Und es muss jedem klar sein, das man nun mal seine Daten preisgeben muss, wenn man gewisse Dienste nutzt, die eben darauf ausgelegt sind. Egal ob das Kontakte / Adressbücher sind, oder Kalenderdaten, oder die neuesten Fotos und emails, die man ja heutzutage überall parat haben muss oder möchte. Es gibt hier leider nur ein entweder / oder.
Dazu kommt noch die ganze Telemetrie…Und die macht mir nämlich mehr Sorgen. Über das andere bin ich mir im Klaren, aber diese Art der Datenübertragung "sehe" ich als Nutzer nicht, und weiss auch nicht, was im Hintergrund übertragen wird. Ausser, das was die Konzerne einem "hoch und heilig" versprechen, wie wichtig diese Daten doch sind…Vor ein paar Jahren war das OHNE noch auch kein Problem…;)
Und mir gefällt das ganze gar nicht, denn es gibt immer noch persönlichere Dinge als "Mutti's Kochrezepte", die keiner lesen sollte.
Aber wo lässt sich die Telemterie heutzutage noch deaktivieren, es sei denn man verzichtet auf das Internet…