Sicherheitsanforderungen für Smartphones

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Februar einen Anforderungskatalog veröffentlicht, der als Diskussionsgrundlage zur Entwicklung von Sicherheitsanforderungen für Smartphones dienen soll. Hierbei geht es zentral um die Anforderungen an Smartphones im Auslieferungszustand. BSI Präsident Arne Schönbohm sagt dazu:

„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default“

 Im Folgenden gehen wir kurz auf die einzelnen Anforderungen innerhalb des Kataloges ein und geben auszugsweise den Inhalt zusammengefasst wieder. Am Ende des Beitrags erhalten Sie die Links zum download des Kataloges in deutsch und englisch. An dieser Stelle möchten wir den ausdrücklichen Hinweis geben, dass es sich lediglich um eine Diskussionsgrundlage handelt! Eine Kommentierung oder Bewertung nehmen wir aktuell nicht vor.

Konformität zu EU-Recht und nationalem Recht

Die klare Aussage dieses Abschnittes ist es, dass alle neuen Geräte sowie alle vom Hersteller auf diesen bereits vorinstallierten Apps und verbundenen Dienste den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) sowie der nationalen Gesetzgebung in Deutschland entsprechen müssen. Hierzu müssen die Hersteller eine Erklärung abgeben.

Aktualität

Jedes Gerät muss eine sichergestellte Versorgung mit Betriebssystem-Updates erhalten. Diese muss in einer konkreten Erklärung des Herstellers unter Angabe der Zeitdauer festgehalten werden. Neugeräte müssen mit dem neuesten Betriebssystem, das zum Zeitpunkt der Geräteveröffentlichung verfügbar ist, ausgestattet sein.

Neben dem Betriebssystem müssen Sicherheitsupdates für die Dauer von mindestens 5 Jahren verfügbar sein. Diese Sicherheitsupdates haben auch alle bekannten Sicherheitslücken in sämtlichen Komponenten (Treiber, Betriebssystem, vorinstallierte Apps) zu schließen. Eine transparente Erklärung des Updates muss mitgeliefert werden. Diese Updates müssen innerhalb eines Monats nach Veröffentlichung allen Geräten zur Verfügung stehen!

Schutz vor unbefugtem Zugriff auf Endgeräte

Zur Entsperrung eines Gerätes muss zukünftig mindestens einer der folgenden Mechanismen implementiert sein:

  • Alphanumeric password
  • Fingerprint
  • Face recognition
  • High secure binomic scan

Geräte müssen ihren internen Speicher vollverschlüsseln (full disk encryption). Das Verwendete Schlüsselmaterial muss neben dem Nutzerkennwort auf einem gerätespezifischen und individuellen Merkmal aufbauen. Für externe Speicher muss die Möglichkeit einer sicheren Verschlüsselung gegeben sein.

Datenschutz

In der Systempartition dürfen zukünftig nur die Apps installiert sein, die spezielle Berechtigungen benötigen. Standart-User-Apps müssen getrennt vom System installiert werden. Weitergehend dürfen Apps nur die Berechtigungen beantragen, die Sie für die Erfüllung ihrer jeweiligen Aufgabe wirklich benötigen. Hierzu muss der Nutzer jeweils bei Erstnutzung zustimmen. Eine Widerrufsmöglichkeit gilt als verpflichtend. All dies muss für den Nutzer transparent dargestellt werden, beispielsweise durch eine interne Funktion in der App.

Bei Telemetriedaten, die Daten, die der Hersteller zur Verbesserung bzw. Weiterentwicklung seiner Produkte auf einem Gerät erhebt, muss ebenfalls grundsätzlich eine Zustimmung durch den Nutzer vorliegen. Ebenfalls muss hier eine ausführliche und transparente Beschreibung vorliegen und dem Nutzer zugänglich sein. Der Hersteller muss für das Smartphone, bestehend aus Betriebssystem, Hersteller-Branding sowie vorinstallierte Drittanbieter-Apps eine DSGVO-konforme Erklärung über die Erhebung sowie der Verarbeitung der Telemetriedaten abgeben. Bei Ablehnung durch den Nutzer dürfen keinerlei Telemetriedaten erhoben, verarbeitet oder transferiert werden.

Weiterführende Informationen zum Thema:

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog