BSI

5 Jahre Sicherheits-Updates für alle Smartphones

Seine erste Berührung mit Informatik erfolgte an einem C64 samt Floppy VC 1541. Von Anfang an nutzte er diesen faszinierenden Heimcomputer nicht nur zum Daddeln, sondern auch für die Basic-Programmierung. Unter anderem half er seinen damals etwas müden Kopfrechnen-Fähigkeiten auf die Sprünge, indem er ein Programm schrieb, das immer zwei zufällig ausgewählte Zahlen zur Multiplikation stellte. Im Hintergrund lief ein Timer. Nur wenn er das Ergebnis innerhalb des vorgegebenen Zeitraums, der leider manchmal zu knapp bemessen war, richtig eintippte, bekam er einen Punkt gutgeschrieben. Seine Highscore-Ergebnisse waren durchwachsen, seine Programmierkenntnisse dafür umso besser. Der Lehrstuhl, an dem er als studentische Hilfskraft angestellt war, gehörte seinerzeit zu den Vorreitern in Sachen IT. Man übersetzte damals die griechischen Inschriften der antiken Stadt Hierapolis – heute ist dieses türkische Pamukkale bekannt durch seine Kalksinter-Terrassen. Die wissenschaftlich korrekt erfassten und kommentierten Inschriften bearbeiteten Dirscherl und Kollegen zunächst in Wordperfect. Anschließend landeten die Texte in einer Datenbank, die auf CD gepresst und für sündhaft viel Geld weltweit verkauft wurde. Über dieses epigraphische Datenbankprojekt, diverse C-Programmierereien auf Unix-Systemen und seine ersten Experimente mit Linux landete er schließlich professionell bei der IT. Seit den späten 1990-ern nutzt er Linux als Produktivsystem, seit Anfang der 2000-er Jahre ist Linux sein hauptsächliches OS. Nach vielen Jahren mit Suse Linux und Open Suse und zwischendurch Ausflügen zu Red Hat und Debian landete er bei Ubuntu und erledigt damit alle Arbeiten. Linux und C ist er bis heute treu geblieben – nach einem Ausflug zu PHP und MySQL. Mittlerweile bastelt er auch mit Arduino. Bei pcwelt.de betreut er vor allem Business-IT-Themen und hat den Auto & Technik-Bereich von Null beginnend aufgebaut. Seine Tests der Infotainmentsysteme in modernen Fahrzeugen gehören zu den ausführlichsten Tests, die man dazu überhaupt finden kann. Daneben schreibt er zudem fast täglich aktuelle Meldungen aus der IT-Welt.
Das Bundesamt für Sicherheit in der Informationstechnik hat Sicherheitsanforderungen für Smartphones veröffentlicht. Darunter eine Forderung, die bei vielen Android-Smartphone-Herstellern für Stirnrunzeln sorgen dürfte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Katalog für Sicherheitsanforderungen für Smartphones veröffentlicht. Der Anforderungskatalog soll als Diskussionsgrundlage für Hersteller, Erstausrüster (Original Equipment Manufacturer, OEM), Netzbetreiber und Zivilgesellschaft bei der Smartphone-Entwicklung dienen.

Das BSI listet in dem Anforderungskatalog Sicherheitskriterien auf, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten. Diese Anforderungen sollen nach einer öffentlichen Diskussion in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen. Das sogenannte IT-Sicherheitskennzeichen für Verbraucherprodukte will das Bundesinnenministerium im Rahmen des IT-Sicherheitsgesetzes 2.0 einführen. Es solle erstmals die Sicherheit von Produkten im Verbrauchersegment für Bürger "sichtbar und nachvollziehbar" machen. Allerdings gibt es eine wichtige Einschränkung: Die Nutzung werde seitens der Wirtschaft auf freiwilliger Basis erfolgen, wie in den Parlamentsnachrichten des Deutschen Bundestags zu lesen ist.

"Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg.", betont BSI-Präsident Arne Schönbohm.

Fünf Jahre lang Sicherheits-Updates für alle Smartphones

Der Anforderungskatalog des BSI enthält Kriterien zur Absicherung der Geräte durch bestimmte Hardwareeigenschaften sowie zur Härtung und zum Schutz der im Auslieferungszustand enthaltenen Software. Zudem konkretisiert und vereinheitlicht der Katalog Anforderungen zur Bereitstellung von Updates während der Laufzeit der Geräte. So fordert das BSI, dass Smartphones ab Erscheinen fünf Jahre lang Sicherheitsupdates bekommen.

Aus der Gerätebeschreibung müsse zudem ersichtlich sein, ab wann ein Gerät aus der Versorgung mit Sicherheits-Updates herausfalle. Darüber hinaus beinhaltet der Katalog Kriterien zum Schutz von Nutzerdaten, etwa im Bereich der Telemetriefunktionen, sowie für mehr Transparenz für die Verbraucherinnen und Verbraucher.

Sie können sich das Diskussionspapier hier in deutscher und hier in englischer Sprache herunterladen. Bei Redaktionsschluss waren die Server des BSI offensichtlich überlastet, der Download ist deshalb nur verzögert möglich.