Sicherheitsanforderungen für Smartphones
BSI empfiehlt: DSGVO-konforme Apps und Dienste, 5 Jahre Updates
Das BSI hat einen Katalog mit Sicherheitsanforderungen für Smartphones entwickelt – als Diskussionsgrundlage. Für viele Hersteller dürften diese aber nicht leicht umzusetzen sein.
Um die Sicherheit von Smartphones zu verbessern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog aufgestellt. Allerdings ist dieser erstmal nur als Diskussionsgrundlage gedacht, über die sich die Behörde mit Hersteller, OEMs, Netzbetreibern und der Zivilgesellschaft austauschen will. Angestrebt wird, die weiterentwickelten Anforderungen irgendwann in die zukünftigen Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen zu lassen.
»Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben«, so BSI-Präsident Arne Schönbohm. Verbraucher müssten sich darauf verlassen können, dass die Geräte schon beim Kauf eine Grundsicherheit bieten. »Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg.«
Der Anforderungskatalog soll Schönbohm zufolge ein Wegweiser zu mehr Security-by-Design und Security-by-Default sein. Er enthält viele Dinge, die die meisten Smartphones auch heute schon bieten, etwa sichere Bootprozesse und Ablaufumgebungen für Apps sowie Möglichkeiten, die Geräte zu sperren. Auch Verschlüsselung für Gerät und Speicherkarten steht auf der BSI-Liste. Andere Anforderungen dürften indes für viele Hersteller nicht so leicht umzusetzen sein. Dazu zählt etwa, dass Neugeräte mit der aktuellsten Betriebssystemversion bestückt und fünf Jahre lang mit Sicherheitsupdates versorgt werden – und die Updates jeweils binnen eines Monats nach Veröffentlichung bereitstehen.
Zudem fordert das BSI, dass alle Apps und Dienste den Anforderungen der DSGVO entsprechen. Dazu zählen umfangreichere und verständlichere Beschreibungen von App-Berechtigungen, aber auch dass neue Geräte keine vorkonfigurierten Cloud-Dienste mitbringen oder lokale Dienste mit diesen kommunizieren. Auch Telemetriedaten sollen nur transparent für den Nutzer erfasst und an den Hersteller übertragen werden. »Der Hersteller muss für das Smartphone, bestehend aus Betriebssystem, Hersteller-Branding sowie vorinstallierte Drittanbieter-Apps eine DSGVO-konforme Erklärung über die Erhebung sowie der Verarbeitung der Telemetriedaten abgeben. Bei Ablehnung durch den Nutzer dürfen keinerlei Telemetriedaten erhoben, verarbeitet oder transferiert werden«, heißt es in dem Anforderungskatalog.
Lesen Sie mehr zum Thema
