Gratis
3. März 2020 - Mehr Security by Design

Smartphones: BSI fordert Sicherheitsupdates für 5 Jahre

Drucken

Jeder Fachartikel zum Thema Datensicherheit weist den Leser darauf hin, dass er ein IT-System, gleich ob Computer oder Smartphone, pflegen muss. Nur wer die regelmäßigen Updates und Patches einspielt, kann davon ausgehen, dass er kritische Sicherheitslücken geschlossen hat. Problematisch bleiben dabei Smartphones der Android-Plattform.

mehr Security-by-Design und Security-by-Default Das BSI fordert bei Smartphones mehr Security by Design und Security by Default (Bild: Bundesamt für Sicherheit in der Informationstechnik)

Die Vielfalt des Betriebssystems Android ist unter dem Aspekt der Datensicherheit auch seine Schwäche. Zwar schließt Google regelmäßig Lücken und stellt Verbesserungen in Form von Sicherheits-Updates zur Verfügung. Diese erscheinen üblicherweise im Monats-Rhythmus.

Viele Lücken bei Patch-Auslieferung

Wie die meisten Besitzer eines Android-Smartphones wissen, bedeutet das nicht, dass die Patches dann auch zeitnah auf ihrem Gerät landen:

  • Bei Modellen, die Google unter eigenem Namen vertreibt, ist dies der Fall.
  • Bei anderen Herstellern können durchaus sechs bis zehn Wochen vergehen, bis die Sicherheitslücken geschlossen sind.

Im letzten Fall befindet sich das Smartphone in Hinblick auf die Sicherheit auf einem veralteten Stand.

Problemfall Huawei

Als Folge des Handelskriegs zwischen den USA und China ist aktuell auch die Frage ungeklärt, wie es mit Sicherheits-Updates für Geräte des chinesischen Herstellers Huawei weitergeht.

Der Konzern betont zwar, dass die Anwender keine Beeinträchtigungen zu befürchten haben, stellt Sicherheits-Patches jedoch mit zeitlicher Verzögerung bereit.

Noch schlechter sieht es aus, wenn das Smartphone-Modell auf die Liste abgekündigter Produkte wandert. Denn dann werden üblicherweise auch die Updates eingestellt.

In den kurzen Lebenszyklen moderner Smartphones ist das oft schon nach zwei Jahren der Fall.

iPhone im Vorteil

Besser sieht es hier bei Apple aus. Apple versorgt iPhones über einen längeren Zeitraum mit Updates für das Betriebssystem.

BSI formuliert Sicherheitskriterien

Anwender sollen sich möglichst sicher in der digitalen Welt bewegen, lautet die Überzeugung des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Als Grundlage für einen öffentlichen Diskurs mit Herstellern, Mobilfunkanbietern und Erstausrüstern hat das BSI deshalb einen Anforderungskatalog für Sicherheitskriterien formuliert, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten.

Darin enthalten sind Kriterien, um Geräte durch bestimmte Hardware-Eigenschaften abzusichern sowie um die im Auslieferungs-Zustand enthaltene Software zu härten und zu schützen.

Außerdem vereinheitlicht der Katalog Anforderungen zur Bereitstellung von Updates während der Laufzeit der Geräte. Und dies können durchaus fünf Jahre sein.

BSI-Präsident Arne Schönbohm sagt dazu:

„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”

Der Sicherheitskatalog findet sich als kostenloser Download auf der Seite des BSI.

Stephan Lamprecht