Diskussionsgrundlage zu Sicherheitsanforderungen für Smartphones
25. Februar 2020
Als Diskussionsgrundlage zur Entwicklung von Sicherheitsanforderungen für Smartphones hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog veröffentlicht. Damit Anwender sich möglichst sicher in der digitalen Welt bewegen können, listet der Anforderungskatalog Sicherheitskriterien auf, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten.
Der Katalog ist Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern (Original Equipment Manufacturer, OEM), Netzbetreibern und Zivilgesellschaft. Das BSI strebt eine Beteiligung aller gesellschaftlichen Gruppen bei der Fortentwicklung dieser Anforderungen an, die zukünftig in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen sollen.
„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln“, stellt BSI-Präsident Arne Schönbohm fest. „Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können.“
Nach seiner Ansicht sind Hersteller und OEM daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. „Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default“, betont Schönbohm.
Der Anforderungskatalog des BSI enthält Kriterien zur Absicherung der Geräte durch bestimmte Hardwareeigenschaften sowie zur Härtung und zum Schutz der im Auslieferungszustand enthaltenen Software. Zudem konkretisiert und vereinheitlicht der Katalog Anforderungen zur Bereitstellung von Updates während der Laufzeit der Geräte. Darüber hinaus beinhaltet der Katalog Kriterien zum Schutz von Nutzerdaten, etwa im Bereich der Telemetrie-Funktionen, sowie für mehr Transparenz für die Verbraucherinnen und Verbraucher.
Fokus auf dem Datenschutz
Speziell im Bereich des Datenschutzes sind einige Aspekte gefordert. So sollen in der Systempartition nur Apps installiert sein dürfen, die spezielle (System-) Berechtigungen benötigen (Beispiel: Signature-Permission bei Android). Demgegenüber dürfen Standard-User-Apps, wie beispielsweise der Hersteller-eigene Browser oder Drittanbieter-Apps, dort nicht installiert sein.
Aber auch bei den Berechtigungen für (vorinstallierte) Apps stellt das Dokument einige Forderungen: Apps dürfen nur diejenigen Berechtigungen beantragen, die sie für die Erfüllung ihrer Aufgabe unbedingt benötigen. Vor der ersten Nutzung einer kritischen App-Berechtigung in einer Applikation muss der Nutzer dem zustimmen. Einmal gewährte Berechtigungen können widerrufen werden. Abgelehnte Anforderungen können nachträglich gegeben werden. Abgelehnte bzw. widerrufene Berechtigungen dürfen zu nachvollziehbaren Funktionseinschränkungen, jedoch nicht zum Absturz der App führen.
Es muss einen Menüpunkt zu den App-Berechtigungen geben, der alle öffentlichen sowie internen Berechtigungen widerspiegelt. Dabei muss eine vollständige und verständliche Beschreibung der Berechtigungen geben. Diese Forderung gilt grundsätzlich für alle mobilen Apps – wobei in dem Forderungskatalog die im Auslieferungszustand des Gerätes vorinstallierten Apps im Fokus stehen. Der Anforderungskatalog steht in Deutsch und Englisch auf der Webseite des BSI zur Verfügung. (rhh)
