iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Sicherheitsanforderungen und mehr

Forderungskatalog Smartphones: BSI will Diskurs mit Herstellern

Artikel auf Mastodon teilen.
21 Kommentare 21

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute einen Anforderungskatalog (PDF-Download) veröffentlicht, der auf knappen 10 Seiten Sicherheitskriterien und technische Anforderungen listet, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten.

Der Katalog soll nach Angaben des BSI Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern, Netzbetreibern und Zivilgesellschaft dienen.

Angestrebt ist die Beteiligung aller gesellschaftlichen Gruppen bei der Fortentwicklung der Anforderungen, die zukünftig in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen sollen.

BSI-Präsident Arne Schönbohm erklärt:

„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default“

Der Anforderungskatalog liegt in einer deutschen und einer englischen Version vor und fordert unter anderem:

  • Update-Fahrpläne: Zu jedem Gerätetyp muss eine Aussage über die Versorgung mit Betriebssystem-Updates (Hauptversionen) gemacht werden. Diese Erklärung muss die Zeitdauer der Unterstützung in Jahren nach der Veröffentlichung sowie die Mindestanzahl der geplanten Hauptversionen enthalten.
  • Sicherheitsupdates für 5 Jahre: Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit Sicherheits-Updates herausfällt.
  • Geräte-Vollverschlüsselung: Geräte müssen mit einer Vollverschlüsselung (full disk encryption) für den internen, fest verbauten Speicher ausgerüstet sein. Das für die Verschlüsselung verwendete Schlüsselmaterial muss neben dem Nutzerkennwort auf einem gerätespezifischen, individuellen Merkmal aufbauen
  • Keine vorinstallierten Drittanbieter-Apps: In der Systempartition dürfen nur Apps installiert sein, die spezielle (System-) Berechtigungen benötigen (Beispiel: Signature-Permission bei Android). Demgegenüber dürfen Standard-User-Apps, wie beispielsweise der Hersteller-eigene Browser oder Drittanbieter-Apps, dort nicht installiert sein.
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
25. Feb 2020 um 11:57 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    21 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Im Prinzip genau das Gegenteil von dem, was das FBI von Apple fordert xD

    • Das eine hat doch mit dem anderen nichts zu tun. Der Forderungskatalog, um den es hier geht, soll vor dem unberechtigten (!) Zugriff durch Dritte schützen.
      Der von dir verlinkte Artikel bezieht sich dagegen auf die Datenherausgabe bei berechtigtem Interesse, bspw. zur Strafverfolgung (über ein paar der anderen enthaltenen Szenarien, wie bspw. Urheberrechtsverletzungen, kann man sicher streiten). Dass sich der Staat dabei quasi selbst Steine in den Weg legt (siehe Hinweis im Artikel, dass im Einklang mit der DSGVO gehandelt werden muss, welche eine verschlüsselte Speicherung von Passwörtern vorschreibt), spricht stark für den Stellenwert, den er dem Datenschutz der Bürger gegenüber den eigenen Interessen beimisst.

  • Geräte-Vollverschlüsselung?
    Was meint das FBI dazu?
    Oder verstehe ich das nicht richtig?

    • Der Schlüssel zum Entschlüsselung liegt natürlich nach wie vor bei den Herstellern und wird auch weiterhin auf Anfrage der Geheimdienste gerne ausgehändigt.

      • Wenn ich mein Handy noch mit Passwort versehe dann wird beides benutzt um den Speicher zu verschlüsseln daher bringt der eine key keinen was

  • Meist wird hier auf Android eingegangen, aber viele Forderungen sind ja völliger Quatsch. Z. B. das bei der Ersteinrichtung keine Cloud aktiviert sein soll. Da wird sich Apple bedanken, werben die doch mit iCloud das eine neue Übernahme der Daten in Neugeräten sehr einfach ist, ebenso Google. Im Grunde kann man dann laut Richtlinie aus diesem Grund fast kein Smartphone mehr benutzen.

    • „Ersteinrichtung“ ist das Schlüsselwort.
      Erstmals einschalten, Einstellungen setzen, Daten eingeben und das Gerät ist gebrauchsfertig ohne Cloud.
      Und jetzt kann man sich mit der Cloud verbinden und die Daten zurückspielen.
      So einfach und begreiflich

  • Prinzipiell liest sich das spitze.
    Jetzt noch normaler Radio Empfang (wie früher Antenne sind die Kopfhörer) für Krisensituationen.

  • Der letzte Punkt zielt wohl darauf ab, unlöschbare Apps zu verhindern (Systempartition).
    Der gesamte Katalog hat durchgehend gute Forderungen und ist im Sinne kritischer Verbraucher. Bleibt die Frage, ob die Hersteller darauf einsteigen oder anders formuliert, wer mehr Macht hat.

  • Mit der zunehmeden Sicherheit fehlt aber auch der Konfort weg den 80% der Anwender gerne nutzen.
    Allein was alles einfach akzeptiert wird ohne die Agb’s auch nur einmal zu lesen, ganz zu schweigen von verstanden haben was da steht, kann einen schon schockieren…
    Aber ja Sicherheit ist das Wichtigste. Die am lautesten danach schreiben sowie nachm Datenschutz sind bei Facebook registriert und nutzen Google und Payback…

  • Und wer zertifiziert die größte „sicherheitslücke“ den Nutzer vor dem Smartphone? Ist man nicht ein wenig selbst mitverantwortlich? Ein wenig gesunder Menschenverstand hilft manchmal Wunder. Mehr als jede überregulierung!!!

  • Das ist doch einfaches Lobbygequatsche. Der Staat verfolgt doch nicht ernsthaft das „sichere“ Smartphone, wobei unbefugte keine Möglichkeit haben darauf zurückzugreifen. Der Staat ist nämlich der „Unbefugte“ und befindet sich in einem Dilemma.

  • Mir wäre noch folgendes extrem wichtig:
    -Hersteller dürfen keine Komponenten so tief ins System integrieren, dass man sie nicht entfernen kann (bezogen auf die Google Play Dienste)
    -es muss klar, verständlich und mit direktem opt out angegeben werden, welche Daten die Smartphones sammeln und es muss überprüfelt werden, das die Geräte nach opt-out auch nicht mehr nach Hause telefonieren.

    Android könnte ja wirklich nen nettes system sein, wenn Google da nicht so tief drin stecken würde und alle möglichen Daten abgreifen würde.
    Das sollte man jedem Betriebssystem verbieten und auch iOS sollte in der Hinsicht überprüfbar sein…auch wenn ich Apple da deutlich mehr vertraue.

    Außerdem sollten auch Apps Datensammelei offenlegen müssen, mit Opt Out und es müsste eine Übersicht über das gesammelte geben. Wenn eine App es heimlich macht, sollte es extrem hohe Strafen geben. Das stört mich aktuell einfach am meisten.

    • Deinen Anforderungen wird Android doch grundlegend gerecht: Offener Quellcode und die Verfügbarkeit von Custom ROMs ohne jegliche Google Apps. Wer extremen Wert auf Sicherheit und Privatsphäre legt, kann sich sogar eine gehärtete Variante wie Copperhead OS installieren (Edward Snowden erwähnte mal, dass er es verwendet).

      Ich besitze und benutze selbst kein Android, aber in dem Punkt würde ich tatsächlich der Konkurrenz mehr Vertrauen als Apple schenken.

  • Und warum sollte sich der Hersteller darum scheren? Einen Handel per verbot unterbinden traut man sich dann doch nicht.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven