Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

BSI-Anforderungskatalog für Smartphones: der Wegweiser zu mehr Sicherheit

Es ist ein Thema, das seit Jahren Nutzer und Unternehmen beschäftigt und doch nie für eine 100%ige Gewissheit sorgte: die Sicherheit von Smartphones. Dem will das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun entgegenwirken. Im Februar 2020 veröffentlichte es hierfür einen Anforderungskatalog zur Sicherheit der mobilen Geräte und richtet sich damit direkt an die Hersteller. Gleichzeitig dient der Katalog als Grundlage für das geplante IT-Sicherheitskennzeichen. Im Vordergrund steht dabei der Sicherheitsaspekt, nicht der Komfort der Nutzer.In diesem Artikel erhalten Sie einen Einblick in die vom BSI entwickelten Herstelleranforderungen zur Sicherheit von Smartphones. Was wären neue Herausforderungen für die Hersteller und was wird bereits umgesetzt?

Der Anforderungskatalog des BSI

Der BSI-Präsident Arne Schönbohm begründet die Entwicklung des Anforderungskatalogsmit der zentralen Rolle, die Smartphones mittlerweile im Alltag eingenommen haben, und den daraus resultierenden fatalen Folgen, wenn die Geräte  nicht ausreichend abgesichert sind. Er bezeichnet den Anforderungskatalog als „Wegweiser zu mehr Security-by-Design und Security-by-Default“1. Die Geräte sollen somit von vornherein und über einen bestimmten Nutzungszeitraum hinweg so sicher wie möglich gemacht werden. Beim Konzept Security-by-Design wird der Sicherheitsaspekt im gesamten Herstellungsprozess konsequent berücksichtigt, von der Planung bis zur Auslieferung. Die Sicherheit ist somit eine explizite Anforderung, die durchgehend erfüllt werden muss. Security-by-Default hingegen bietet eine derartige Integration der IT-Sicherheit in die Hard- und/oder Software, dass der Nutzer nicht selbst für die Sicherheit verantwortlich ist: Sie findet im Hintergrund statt und wird aufgrund dessen durch den Nutzer kaum wahrgenommen. Er ist geschützt, ohne etwas dafür tun zu müssen.

Der Anforderungskatalog des BSI2 ist (noch) keine gesetzliche Grundlage und somit noch nicht verpflichtend. Er richtet sich lediglich an die Hersteller, Erstausrüster (OEM = Original Equipment Manufacturer), Netzbetreiber und die Zivilgesellschaft und dient als Diskussionsgrundlage für die weitere Entwicklung von Sicherheitsanforderungen für Smartphones. Ebendiese Entwicklung möchte das BSI gemeinsam mit allen gesellschaftlichen Gruppen weiter vorantreiben. Ziel ist es, aus diesen Anforderungen explizite Richtlinien zu entwickeln, die schlussendlich in das geplante IT-Sicherheitskennzeichen einfließen sollen.

Das IT-Sicherheitskennzeichen

Doch was ist das IT-Sicherheitskennzeichen eigentlich? Das IT-Sicherheitskennzeichen ist Teil des Referentenentwurfs zum zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, dem IT-Sicherheitsgesetz 2.0. Mit diesem Gesetz soll der Bedeutung der IT-Sicherheit in Deutschland eine noch größere Bedeutung beigemessen werden, da die Maßnahmen, die im aktuellen IT-Sicherheitsgesetz enthalten sind, wegen der voranschreitenden Digitalisierung und Vernetzung nicht mehr ausreichen. Wird der im März 2019 veröffentlichte Referentenentwurf des Gesetzes verabschiedet, wird das BSI u. a. in den Verbraucherschutz integriert, indem ein freiwilliges IT-Sicherheitskennzeichen eingeführt wird. Dieses soll die IT-Sicherheit von Produkten sichtbar machen und kann von Herstellern beim BSI beantragt werden. Der Hersteller versichert mit dem  ennzeichen das Vorhandensein von festgelegten IT-Sicherheitsvorgaben. Somit können auch Richtlinien für Smartphones in das Kennzeichen einfließen, die aus dem Anforderungskatalog des BSI hervorgehen könnten.

Einblick in den BSI-Anforderungskatalog

Um die Sicherheit von Smartphones zu erhöhen bzw. zu gewährleisten, befasst sich der Anforderungskatalog des BSI mit folgenden Aspekten:

  • Konformität zum EU-Recht und zu nationalem Recht
  • Aktualität
  • Schutz vor unbefugtem Zugriff auf das Endgerät
  • Datenschutz
  • Minimierung der Angriffsfläche

Er beinhaltet daher sowohl Sicherheitsanforderungen für die Auslieferung der Geräte als auch für den Betrieb, immer unter der Berücksichtigung des aktuellen Stands der Technik. Hierfür wird u. a. auf technische Richtlinien
des BSI verwiesen. So fordert das Bundesamt beispielsweise, dass die vorinstallierten Apps der Datenschutz-Grundverordnung (DSGVO) und den nationalen Datenschutzregelungen entsprechen müssen. Um das zu  ewährleisten, muss der Hersteller eine diesbezügliche Erklärung abgeben. Außerdem sollen die (vorinstallierten) Apps lediglich jene Berechtigungen besitzen, die sie zwingend benötigen. Taschenlampen mit der Berechtigung, auf Kontakte zuzugreifen, würden somit dagegen verstoßen. Sollte die App kritische Berechtigungen einfordern, bspw. den Zugriff auf persönliche/personenbezogene Daten oder die Verursachung von Kosten, muss der Nutzer dem vor der ersten Verwendung der App explizit zustimmen und dieser Zustimmung auch jederzeit widersprechen können. Hinzu kommt, dass nicht erteilte oder widerrufene Zustimmungen die betroffene App nicht abstürzen lassen dürfen. Es ist laut den Herstelleranforderungen lediglich erlaubt, dass die Funktionen nachvollziehbar eingeschränkt werden.

Das BSI betont, dass diese Forderungen für alle mobilen Apps gelten, der Katalog jedoch auf die vorinstallierten Apps fokussiere. Eine andere Forderung liegt darin, die mobilen Geräte mindestens fünf Jahre nach Geräteauslieferung mit Sicherheitsupdates zu versorgen. Um dies auch für den Nutzer nachvollziehbar zu machen, muss der Hersteller in der Gerätebeschreibung aufzeigen, ab wann die Versorgung mit den entsprechenden Updates eingestellt wird. Damit nicht zu viel Zeit vergeht, bis der Nutzer das Sicherheitsupdate nach der Veröffentlichung erhält, fordert das BSI die Bereitstellung binnen eines Monats.
Die aktuelle Situation sieht noch etwas anders aus. Vor allem Android-Smartphones erreichen die geforderten fünf Jahre bei Weitem nicht, was am Beispiel des Herstellers Samsung verdeutlicht werden kann. Während Google die Sicherheitsupdates monatlich verteilt, werden diese von Samsung gruppenweise ausgerollt: monatlich, quartalsweise und unregelmäßig. Zur letzten Gruppe zählen Smartphones, die kurz vor dem Supportende stehen. Dazu gehören aktuell auch Modelle, die 2017 auf den Markt kamen, also vor gerade einmal rund drei Jahren. Samsung macht in der Dauer der Versorgung mit Sicherheitsupdates vor allem auch einen Unterschied in der Klasse der Smartphones: Mittelklasse- Geräte werden nicht so lange mit Updates versorgt wie High-End-Geräte. Allgemein existieren unter den Android-Geräten auf dem Markt sogar jene, die gerade einmal für ein bis zwei Jahre Sicherheitsupdates erhalten haben. Dass die Anforderung des BSI nicht nur theoretisch, sondern auch praktisch umsetzbar ist, zeigt hingegen der Hersteller Apple mit seinem Smartphone-Betriebssystem iOS: Für dieses stehen in der Regel vier bis fünf Jahre Sicherheitsupdates zur Verfügung, vereinzelt sogar noch länger, was die Forderung des BSI vollumfänglich abdeckt. Sollte diese somit als Richtlinie in das IT-Sicherheitskennzeichen einfließen, müssen vor allem jene Hersteller nachlegen, die das Android-Betriebssystem verwenden.

Ebenso verlangt das Bundesamt, dass Neugeräte immer mit dem aktuellen Betriebssystem verkauft werden oder die Version zumindest nach dem Kauf direkt installiert werden kann. Auch hier müssten Hersteller mit dem Android-Betriebssystem nachlegen, denn aktuell werden zahlreiche Geräte mit älteren Betriebssystemversionen verkauft. Andere Forderungen, die das BSI in dem Katalog stellt, werden Smartphone-Nutzern vermutlich aktuell schon bekannt vorkommen, etwa, dass die Bluetooth-Schnittstelle jederzeit abschaltbar sein muss oder dass dem Nutzer die Möglichkeit geboten werden muss, die SD-Karte zu verschlüsseln. Ebenso zählt das BSI Mechanismen auf, die der Entsperrung des Geräts dienen und von denen mindestens einer sicher implementiert sein muss. Diese Mechanismen umfassen den Fingerabdruckscan, ein alphanumerisches Passwort, Gesichtserkennung und einen hochsicheren biometrischen Scan. Wahrscheinlich werden jedem Nutzer mindestens zwei dieser Möglichkeiten bekannt sein, wenn nicht sogar alle vier.

Darüber hinaus wird seitens des BSI gefordert, dass im Auslieferungszustand im Rahmen relevanter Einstellungen die Sicherheit vor dem Nutzerkomfort steht. Das beinhaltet auch, dass vor unsicheren Einstellungen gewarnt werden muss. Auch Telemetriedaten werden aufgegriffen, also System-, Nutzer- und Nutzungsdaten. So sei es dem Hersteller ausschließlich dann erlaubt, jene Daten weiterzugeben und weiterzuverarbeiten, wenn es zuvor eine explizite Zustimmung des Nutzers gegeben hat. Hinzu kommt, dass dem Nutzer ausführlich und verständlich dargestellt werden muss, welche Daten erhoben und versendet werden. Diese müssen außerdem auf ein absolutes Minimum beschränkt sein. Sollte der Nutzer seine Zustimmung verweigern, ist es dem Hersteller laut der Anforderung untersagt, jegliche Art von Telemetriedaten zu erheben und zu verwenden.
Neben den bereits aufgelisteten Aspekten zu Beginn dieses Abschnitts zeigt das BSI im Anforderungskatalog sogenannte fortgeschrittene Anforderungen auf. So strebt das Bundesamt beispielsweise für die Ermöglichung
der Migration von PIM-Daten (PIM = Personal Information Manager) ein standardisiertes Datenformat an. Auf diese Weise sollen Nutzer ihre Kontakte, Termine etc. auf einfachem Wege von einem Gerät exportieren und auf ein anderes Gerät importieren können. Ebenso soll der Nutzer die Option besitzen, Authentifizierungsmechanismen nach FIDO2 zu verwenden, wodurch eine starke und zugleich passwortlose Mehrfaktor-Authentifizierung möglich ist.

Grundlage für den Diskurs und das IT-Sicherheitskennzeichen Der Anforderungskatalog kann momentan eher als Entwurf für die späteren Richtlinien im Rahmen des IT-Sicherheitskennzeichens betrachtet werden, bietet aber eine gute Grundlage für den vom BSI gewünschten Diskurs. Einige Anforderungen sind bereits bei aktuellen Smartphones anzutreffen, bei anderen besteht hingegen noch Nachholbedarf. Die Dauer der Versorgung mit Sicherheitsupdates beispielsweise würde nicht nur für eine längere Sicherheitsunterstützung der Smartphones sorgen, sondern könnte gleichzeitig den Effekt nach sich ziehen, dass Smartphones generell länger in Benutzung sind als es aktuell der Fall ist. Das wäre bei Geräten mit einem Preis im hohen dreistelligen oder vierstelligen Bereich sicherlich auch im Interesse der Nutzer und würde nicht zuletzt auch der Umwelt zu Gute kommen. Nun müssen sich nur noch die Zielgruppen auf den Diskurs einlassen und vor allem die OEM und Hersteller den Anforderungen des BSI nachkommen, sobald das IT-Sicherheitskennzeichen eingeführt wurde und die Anforderungen in explizite Richtlinien eingeflossen sind.

 

Autorin: Nicole Adloff, Junior Auditor & Consultant IT Security, begann ihre Tätigkeit bei der IBS Schreiber GmbH im März 2019 zunächst als Werkstudentin. Nachdem sie im Sommer 2017 ihren Bachelor in Wirtschaftsinformatik  absolviert hat, schloss Frau Adloff im September 2019 schließlich ihr Master-Studium der Medieninformatik an der Technischen Hochschule Lübeck ab, in dem sie sich u. a. mit Thematiken wie IT-Sicherheit, Informatik und Mediengestaltung beschäftigt hat. Ihre Abschlussarbeit schrieb sie ebenfalls in Kooperation mit der IBS Schreiber GmbH.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Prüfung & Beratung