Sicherheitsanforderungen und mehr
Forderungskatalog Smartphones: BSI will Diskurs mit Herstellern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute einen Anforderungskatalog (PDF-Download) veröffentlicht, der auf knappen 10 Seiten Sicherheitskriterien und technische Anforderungen listet, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten.
Der Katalog soll nach Angaben des BSI Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern, Netzbetreibern und Zivilgesellschaft dienen.
Welche Sicherheitskriterien sollten #Smartphones im Auslieferungszustand und darüber hinaus erfüllen? Als Diskussionsgrundlage dient unser neuer Anforderungskatalog zur Entwicklung von Sicherheitsanforderungen für Smartphones. #DeutschlandDigitalSicherBSI https://t.co/eKfhQ2e8U9 pic.twitter.com/1tYmKNcuqJ
— BSI (@BSI_Bund) February 25, 2020
Angestrebt ist die Beteiligung aller gesellschaftlichen Gruppen bei der Fortentwicklung der Anforderungen, die zukünftig in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen sollen.
BSI-Präsident Arne Schönbohm erklärt:
„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default“
Der Anforderungskatalog liegt in einer deutschen und einer englischen Version vor und fordert unter anderem:
- Update-Fahrpläne: Zu jedem Gerätetyp muss eine Aussage über die Versorgung mit Betriebssystem-Updates (Hauptversionen) gemacht werden. Diese Erklärung muss die Zeitdauer der Unterstützung in Jahren nach der Veröffentlichung sowie die Mindestanzahl der geplanten Hauptversionen enthalten.
- Sicherheitsupdates für 5 Jahre: Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit Sicherheits-Updates herausfällt.
- Geräte-Vollverschlüsselung: Geräte müssen mit einer Vollverschlüsselung (full disk encryption) für den internen, fest verbauten Speicher ausgerüstet sein. Das für die Verschlüsselung verwendete Schlüsselmaterial muss neben dem Nutzerkennwort auf einem gerätespezifischen, individuellen Merkmal aufbauen
- Keine vorinstallierten Drittanbieter-Apps: In der Systempartition dürfen nur Apps installiert sein, die spezielle (System-) Berechtigungen benötigen (Beispiel: Signature-Permission bei Android). Demgegenüber dürfen Standard-User-Apps, wie beispielsweise der Hersteller-eigene Browser oder Drittanbieter-Apps, dort nicht installiert sein.
Im Prinzip genau das Gegenteil von dem, was das FBI von Apple fordert xD
lustig, das gerade der staat, der unsere passwörter will, mit sowas daherkommt.
https://www.heise.de/newsticker/meldung/Kampf-gegen-Hass-Bundesregierung-stimmt-fuer-Pflicht-zur-Passwortherausgabe-4663947.html
Das eine hat doch mit dem anderen nichts zu tun. Der Forderungskatalog, um den es hier geht, soll vor dem unberechtigten (!) Zugriff durch Dritte schützen.
Der von dir verlinkte Artikel bezieht sich dagegen auf die Datenherausgabe bei berechtigtem Interesse, bspw. zur Strafverfolgung (über ein paar der anderen enthaltenen Szenarien, wie bspw. Urheberrechtsverletzungen, kann man sicher streiten). Dass sich der Staat dabei quasi selbst Steine in den Weg legt (siehe Hinweis im Artikel, dass im Einklang mit der DSGVO gehandelt werden muss, welche eine verschlüsselte Speicherung von Passwörtern vorschreibt), spricht stark für den Stellenwert, den er dem Datenschutz der Bürger gegenüber den eigenen Interessen beimisst.
+1
Geräte-Vollverschlüsselung?
Was meint das FBI dazu?
Oder verstehe ich das nicht richtig?
Der Schlüssel zum Entschlüsselung liegt natürlich nach wie vor bei den Herstellern und wird auch weiterhin auf Anfrage der Geheimdienste gerne ausgehändigt.
Wenn ich mein Handy noch mit Passwort versehe dann wird beides benutzt um den Speicher zu verschlüsseln daher bringt der eine key keinen was
Meist wird hier auf Android eingegangen, aber viele Forderungen sind ja völliger Quatsch. Z. B. das bei der Ersteinrichtung keine Cloud aktiviert sein soll. Da wird sich Apple bedanken, werben die doch mit iCloud das eine neue Übernahme der Daten in Neugeräten sehr einfach ist, ebenso Google. Im Grunde kann man dann laut Richtlinie aus diesem Grund fast kein Smartphone mehr benutzen.
„Ersteinrichtung“ ist das Schlüsselwort.
Erstmals einschalten, Einstellungen setzen, Daten eingeben und das Gerät ist gebrauchsfertig ohne Cloud.
Und jetzt kann man sich mit der Cloud verbinden und die Daten zurückspielen.
So einfach und begreiflich
Prinzipiell liest sich das spitze.
Jetzt noch normaler Radio Empfang (wie früher Antenne sind die Kopfhörer) für Krisensituationen.
Nein, mit ausziehbarer Antenne (so wie früher), weil das Kabel der Kopfhörer mit Bluetooth ja weggefallen ist.
Dafür gibt es APPS!
Der letzte Punkt zielt wohl darauf ab, unlöschbare Apps zu verhindern (Systempartition).
Der gesamte Katalog hat durchgehend gute Forderungen und ist im Sinne kritischer Verbraucher. Bleibt die Frage, ob die Hersteller darauf einsteigen oder anders formuliert, wer mehr Macht hat.
Mit der zunehmeden Sicherheit fehlt aber auch der Konfort weg den 80% der Anwender gerne nutzen.
Allein was alles einfach akzeptiert wird ohne die Agb’s auch nur einmal zu lesen, ganz zu schweigen von verstanden haben was da steht, kann einen schon schockieren…
Aber ja Sicherheit ist das Wichtigste. Die am lautesten danach schreiben sowie nachm Datenschutz sind bei Facebook registriert und nutzen Google und Payback…
Und wer zertifiziert die größte „sicherheitslücke“ den Nutzer vor dem Smartphone? Ist man nicht ein wenig selbst mitverantwortlich? Ein wenig gesunder Menschenverstand hilft manchmal Wunder. Mehr als jede überregulierung!!!
Der Verstand, hoher IQ oder grosses Wissen nützen nichts, wenn Hersteller dir keine Optionen geben.
Das ist doch einfaches Lobbygequatsche. Der Staat verfolgt doch nicht ernsthaft das „sichere“ Smartphone, wobei unbefugte keine Möglichkeit haben darauf zurückzugreifen. Der Staat ist nämlich der „Unbefugte“ und befindet sich in einem Dilemma.
1+
Mir wäre noch folgendes extrem wichtig:
-Hersteller dürfen keine Komponenten so tief ins System integrieren, dass man sie nicht entfernen kann (bezogen auf die Google Play Dienste)
-es muss klar, verständlich und mit direktem opt out angegeben werden, welche Daten die Smartphones sammeln und es muss überprüfelt werden, das die Geräte nach opt-out auch nicht mehr nach Hause telefonieren.
Android könnte ja wirklich nen nettes system sein, wenn Google da nicht so tief drin stecken würde und alle möglichen Daten abgreifen würde.
Das sollte man jedem Betriebssystem verbieten und auch iOS sollte in der Hinsicht überprüfbar sein…auch wenn ich Apple da deutlich mehr vertraue.
Außerdem sollten auch Apps Datensammelei offenlegen müssen, mit Opt Out und es müsste eine Übersicht über das gesammelte geben. Wenn eine App es heimlich macht, sollte es extrem hohe Strafen geben. Das stört mich aktuell einfach am meisten.
Deinen Anforderungen wird Android doch grundlegend gerecht: Offener Quellcode und die Verfügbarkeit von Custom ROMs ohne jegliche Google Apps. Wer extremen Wert auf Sicherheit und Privatsphäre legt, kann sich sogar eine gehärtete Variante wie Copperhead OS installieren (Edward Snowden erwähnte mal, dass er es verwendet).
Ich besitze und benutze selbst kein Android, aber in dem Punkt würde ich tatsächlich der Konkurrenz mehr Vertrauen als Apple schenken.
Und warum sollte sich der Hersteller darum scheren? Einen Handel per verbot unterbinden traut man sich dann doch nicht.