Bundesamt für Sicherheit in der Informationstechnik fordert schnelle Updates und lange Unterstützung bei Smartphones


Das Bundesamt für Sicherheit in der Informationstechnik hat ein neues Dokument veröffentlicht. Es trägt den Titel: „Herstelleranforderungen zur Sicherheit von Smartphones“. Hierbei handelt es sich um einen Forderungskatalog, der sich an Hersteller von Smartphones wendet. Er beschreibt die geforderte Grundausstattung der Geräte aus IT-Sicherheitsperspektive bei der Auslieferung sowie Maßnahmen für den sicheren Betrieb. Der Inhalt stellt sicherlich auch Herausforderungen für den einen oder anderen Hersteller dar.

Zu jedem Gerätetyp muss demnach eine Aussage über die Versorgung mit Betriebssystem-Updates (Hauptversionen) gemacht werden. Diese Erklärung muss die Zeitdauer der Unterstützung in Jahren nach der Veröffentlichung sowie die Mindestanzahl der geplanten Hauptversionen enthalten. Das wird ja mittlerweile von zahlreichen Herstellern auch so gehandhabt, zumal es bei Google-zertifizierten Geräten auch gewisse Pflichten durch Google als Android-Zulieferer gibt.

Nun kommt es aber schon: Neugeräte müssen mit dem letzten (neusten) Betriebssystem, das zum Zeitpunkt der Geräteveröffentlichung verfügbar ist, ausgestattet sein. Steht zum Zeitpunkt der Geräteinbetriebnahme ein neueres Betriebssystem zur Verfügung, muss dieses zur Installation angeboten werden, so die Forderung des BSI. Erinnerung: Auch Google erfordert Termine, setzt bei Partnern voraus, dass das neuste Android ab einem gewissen Termin ab Werk auf den Geräten ist. Mit Hinblick auf den Markt stelle ich fest: Das klappt bisher noch nicht ganz so gut.

Und weiter geht es: Geräte müssen über die Dauer von 5 Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit Sicherheits-Updates herausfällt. Ebenfalls: Sicherheits-Updates müssen innerhalb eines Monats nach Veröffentlichung zur Installation bereitgestellt werden.

Wie erwähnt: Es sind Forderungen, die als Diskussionsgrundlage dienen. Damit Anwender sich möglichst sicher in der digitalen Welt bewegen können, listet der Anforderungskatalog Sicherheitskriterien auf, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten. Der Katalog ist Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern, so das BSI.

„Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default“, betont BSI-Präsident Arne Schönbohm.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Forderungskatalog? Eher eine blumige Wunschliste. Was kümmert den einen oder anderen Hersteller, was das BSI auf dem Minimarkt Deutschland so wünscht? Sollte das so umgesetzt werden (in welchem Universum?), wäre die Pixel-Reihe kein Alleinstellungsmerkmal mehr und man hätte wirklich die Qual der Wahl bei den Geräten. Utopie! 🙂 Das übertrifft ja sogar noch Googles Programm „Android Business Recommended“, wo Smartphones gelistet sind, die für Firmen als Diensthandy geeignet sind weil sie eben etwas mehr an Updates bekommen (sollen) als der Rest und das klappt auch nicht so toll.

    • Tja wenn die Bundesregierung dies als Vorlage nimmt interessiert es doch so manchen Hersteller. Das sind Milliarden auf die man dann verzichtet… sich ehe kein Interesse bei den kleinen bzw kaum machbar wenn man x-tausend Gerätschaften wie Samsung, Huawei usw… wer nur wie Apple wenig Geräte im Jahr raushaut würde hierbei voll als Gewinner herausgehen…

      Persönlich fordere ich dies schon seit Jahren. Ideal 10 Jahre inkl. austauschbare Akkus durch den Kunden (ohne würd ich in der EU nix mehr zulassen), USB-C das min. Speed USB 3.0 auch als minimum liefert und keine lahme Schnecke wie 2.0 die eh nicht mal 1.1 teils liefert durch die miserablen Speicher und Controller…

  2. Es wäre sehr schön, wenn es was bringt.

    Aber ein ganz konkretes Beispiel: Das Motorola Moto Z2 Force wurde im Juli 2017 vorgestellt und ging im Oktober 2017 in Deutschland in den Verkauf. Sowohl Motorola als auch Google haben dieses Handy mit der Android One Unterstützung beworben. Motorola hat nach Ablauf von nur zwei Jahren im September 2019 jeglichen Firmwaresupport für dieses Handy eingestellt (letzter Sicherheits-Patch-Stand Juli 2019). Google hat an Anfang diesen Jahres das Modell still und heimlich von der Android One-Webseite entfernt. Entgegen den Versprechen von drei Jahren Firmwareupdates wurde bereits nach zwei Jahren der Support eingestellt.

    An wen kann ich mich wenden, um meinen Kaufpreis erstattet zu bekommen und den Elektroschrott entsorgen zu lassen? Ist Google oder Motorola mein Ansprechpartner? Muss Motorola an Google Vertragsstrafen zahlen, weil die Lizenzbedingungen des Android One-Programmes verletzt wurden? Natürlich fühlt sich keiner verantwortlich…

    Also was helfen diese ganzen Forderungen und Versprechungen Seitens Google und der Geräte-Hersteller, wenn man sich ohne Konsequenzen jederzeit aus diesen Android One-Programm (und wie auch immer sie heißen werden) verabschieden kann?

    Worauf man sich allerdings zu 100% verlassen kann: Man kann sich auf kein einziges Versprechen seitens Google oder der Android-Hersteller verlassen!

    • Das Z² Force war nie ein Gerät mit Android One, es war ein Gerät mit dem Status „Android Business Recommended“, das ist ein völlig anderer Schuh. Macht es aber leider auch nicht wirklich besser. Erst trotz des Status nur aller 2 Monate wenn es hoch kommt Patche bekommen, dann lange Zeit nix und das ewige Hin- und Her mit Android 9/PIE, dann das stille endgültige Fallenlassen mit der Einstellung des Supports.

    • Das währe ehe was für den Verbraucherschutz, diese können entsprechend vorgehen und auch Strafen einkassieren…

  3. Wenn Geräte 5Jahre Updates bekommen gehe ich wieder zurück zu Android. Ich habe etliche Android Phones in der Schublade die technisch völlig OK sind, für mich genug Leistung bieten, aber sicherheitstechnisch ein Risiko darstellen. Teilweise sind die Geräte nur 2 Jahre nach Einführung unterstützt worden. Das IPhone hab ich nur weil es Ressourcen schonender ist mit der langzeitunterstützung bei Apple.
    Es wird endlich Zeit die Hersteller zu einem vernünftigem Support zu verpflichten! Selbst wenn viele Leute alle 2 Jahre ein neues Gerät brauchen, hat das „alte“ einen besseren Wiederverkaufswert und es wirkt sich besser auf die Ökobilanz aus. Eine Verpflichtung zu Wechselakkus wäre auch noch nötig- mein BQ lässt nach 2 Jahren schwer nach in der Akkuleistung.

  4. Pr0grammansage says:

    Xiaomi ist ähnlich günstig wie Motorola und liefert seine Updates vorbildlich.

  5. Ich meine es würde mehr bringen wenn man den Benutzer eines Smartphones mehr in die Pflicht nehmen würde, beispielsweise durch eine Zugangskontrolle des Netzbetreibers. Ist der Patchlevel oder das OS zu alt, geht nur noch Telefonieren, Daten werden dann gesperrt. Das hätte den Hebeleffekt, dass die Hersteller durch die Kunden gezwungen werden Updates zu liefern – sonst kauft das Zeug keiner. Eventuell auch durch einen Anreiz über den Mobiltarif, veralteter Patchlevel kostet 5 Euro mehr im Monat.

    • Was ist denn das für ein Schwachsinn?
      Ich soll als Kunde dafür geradestehen, dass der Hersteller nicht in der Lage ist Sicherheitsupdates zu liefern?

      • Würdest Du ein Auto kaufen von dem Du weißt, dass es nicht durch den TÜV kommt?
        Natürlich gilt mein Vorschlag nur für neue Geräte, nicht für Bestand.

    • chilibrenntzweimal says:

      Es ist ja wohl nicht normal den Kunden zu bestrafen, nur weil der Hersteller nicht zu potte kommt. Es ist besser den Hersteller bluten zu lassen und ihn offen als Kundensicherheit gefährdend zu brandmarken.
      Wenn major Updates bei Android ein Kriterium sind, dann bleiben ja nur die Pixelgeräte übrig.
      Ich nutze ein IPhone XR und bin sicher, dass der noch mindestens drei Jahre major Updates bekommen wird und so lange kaufe ich auch kein neues mehr. Die Einzige Neuerung egal ob Android oder Iphones ist doch, das jedes Jahr die Kamera verbessert wird und das ist mir das Geld einfach nicht wert.

      • „Es ist ja wohl nicht normal den Kunden zu bestrafen, nur weil der Hersteller nicht zu potte kommt.“
        Du hast keinen Diesel von VW, oder? Da geht das im ganz großen Maßstab.

  6. Kann man gerne alles 1:1 so verpflichtend in den finalen Entwurf übernehmen. Durch die Bank eine sinnvolle Sache.

  7. Fordere ich seit Jahren. Ich habe aber genau so viel Möglichkeiten die Forderung durchzusetzen wie das BSI 😀

    • Ich hoffe das ist nicht ernst gemeint. Ich würde ja auch einen Smiley verwenden, aber
      ich kann gar nicht sagen ob das nicht tatsächlich die Wahrheit ist oO

  8. Muhahahah…. wenn ein zahnloser Tiger brüllt

  9. Sicherlich sind die Smartphone-Hersteller jetzt soooo furchtbar tief beeindruckt, das alles besser wird……..

  10. Uhi es ist doch erst Ostern und die schreiben beim BSI eine Wunschliste für Weihnachten. Deutschland allein ist nicht wichtig genug für die Hersteller. Selbst ein geeintes Europa wenn die Klappsköppe in Brüssel sowas als Gesetz vorschreiben würden, würden die Hersteller mehr oder weniger auf Europa schei.. . Ende vom Lied es würde hier nix mehr in dem Bereich zu kaufen geben.

    Problem ist doch die Hersteller verdienen eben nicht an Software sondern an Hardware. Mein Vorschlag wäre ein Abomodell für den Support. 2 Jahre kostenlos verbindlich mit mtl. sicherheitspatches. Zum einen ist man aus der Garantie/Gewährleistung auf die Hardware raus zum anderen holen sich viele ein smartphone bedingt durch die 24 monate dann ein neues Smartphone.

    Man darf halt eins nicht vergessen. Updates müssen auch gemacht werden, das sind Menschen die ihren Lohn wollen, aber auf Kundenseite will man aber nix zahlen.

    Deswegen würde ich das wie es das ja bei MM oder Saturn z.B mit der Garantie plus bei Herstellern gut finden zusagen okay du willst erweiterten Software Support dann zahl ein Betrag ix mtl.

    Wir alle zahlen Ja auch Rundfunkbeitrag ohne zu murren. Was spricht denn dagegern zusagen ich hal halt 5€ mtl und bekomme halt meine Sicherheitspatches dafür? Oder zahle etwas mehr und bekomme dann eben auch nach 4 Jahren noch die neuste Androidversion, wenn die Hardware das noch zuläst?

    • Ich glaube, du unterschätzt die Größe und Kaufkraft des europäischen Markts aber ganz gewaltig. Neben China und den USA gehört die EU zu den Top 3, abhängig von der Kennzahl, die man betrachtet.

  11. lassen wir und mal überraschen! als Firmen-Smartfons werden dann wohl nur noch Apples Geräte verkauft werden können, schätze ich mal.
    Und: der europäische Markt ist zwar klein, aber die Kunden kaufen hierzulande auch sicher viele hochpreisige Geräte. Und wenn die Ideen des BSI dann umgesetzt werden müssten, profitieren auch viele andere Kunden in Europa. Die Hersteller werden wohl kaum 2 Versionen ihrer Betriebssysteme parallel pflegen.

    jedenfalls haben die beim BSI nicht unrecht, diese Forderungen mal endlich zu formulieren!

  12. Dirk Montgomery says:

    Netter Ansatz, allerdings sollten diese Fristen ab Verkaufsende eines Smartphones gelten, und nicht ab Verkaufbeginn.

    • Dirk siehe FB 6590 kann man noch kaufen aber support wird eingestellt. Andere router Hersteller sind da noch schlimmer. Aber da wird nicht so rum gejammert wie beim Smartphone auch wenn ein Router eben soviel kostet.

      • ich weiß ja nicht, was für ein Billig-smartfon du hast. Ein Router, der ebenso viel kostet wie ein Smartfon??

  13. Samsung liefert zwei Major-Updates und mind. drei Jahre lang Sicherheits-Patches.
    Damit kann ich leben… wer nutzt schon länger, als drei Jahre, sein Smartphone.

    • sehr viele iPhone-User tun das! eben auch weil es meist 4-5 Jahre Updates gibt und das Teil solange realtiv sicher nutzbar ist.

    • Dirk Montgomery says:

      Mein Apple Tablet aus dem April 2017 hat bei Erscheinen von IpadOS 13 im September ein Update erhalten. Mein genauso teures Samsung Tablet aus dem April 2019 hat jetzt noch kein Android 10. Sicherheits Patches gibt’s alle 3 Monate. Von Samsung halte ich daher, trotz guter Hardware, nichts.

    • Du kriegst das S10 noch zu kaufen, obwohl das S20 veröffentlicht ist. Bleiben noch 2 Jahre Updates garantiert – das ist zu knapp.

  14. Bob (der andere) says:

    Ist ja alles schön und gut was das BSI hier fordert, oder besser gesagt, sich wünscht. Aber jeder, der hier im Blog liest, ist sich im klaren darüber, das es bei Wünschen bleiben wird.

    Allein Google kann hier etwas ausrichten, sowohl was Fragmentierung der Android-Versionen angeht, als auch die Bereitstellung von UpDates.
    Schritte dazu wurden ja schon unternommen (ab März 2020 muß! jedes neue Android-Phone die aktuelle OS-Version vorinstalliert haben).
    Aber Google sollte das Schritt für Schritt verschärfen. Ich denke da an (zumindest) verpflichtende Sicherheits-UpDates für min. 4-5 Jahre, unabhängig von Hersteller und Preisklasse. Bei Verstoss keine Lizenz/Zertifizierung für neue Smartphones des Herstellers, bis die UpDates für die vernachlässigten Modelle bereitstehen.
    UpDates auf die jeweils neueste Android könnte man dann etwas weniger streng handhaben, sofern die neuestenSicherheits-UpDates zwangsweise bereitgestellt werden müssen (evtl. könnte es da auch technische Hürden geben).

  15. Sie fordern also das, was iPhone schon lange macht und was Microsoft und Android verweigern:-)

  16. Warum nicht mal umdrehen: Ich fordere, dass jeder Hersteller seinen „Schrott“ zurücknehmen muss und 90% – im ersten Schritt – davon wiederverwendet werden müssen. Alle zwei Jahre würde ich dabei den %-Satz um 1%-Punkt nachziehen. Über die dann anfallenden Wiederverwendungskosten regelt sich das dann ganz alleine. Warum sollte der Hersteller den Gewinn beim Verkauf einstreichen und die Entsorgungskosten der Allgemeinheit aufgelasstet werden…

    Ich denke auch, dass man das auf euopäischer Ebene machen sollte, denn bei aller Größe ist Deutschland doch zu klein, wie alle anderen auch 😉

    Übrigends: Bei Autos, Waschmaschinen,… wäre das auch eine Super-Idee….

  17. Danke, das war laengst mal ueberfaellig.

    Bin grad dran zu schaun was als Nachfolger fuer mein One Plus 3T in Frage kommt. Ca. 3 Jahre Updates waren schon mal nicht schlecht, aber das Geraet ist noch immer top und es ist eine Schande so etwas mangels Herstellersupport „entsorgen“ zu muessen. Bleibt wohl in Zukunft nur noch ein Apfel, als Option uebrig. Wuerde eigentlich viel lieber bei Android bleiben, aber das wird wohl auf absehbare Zeit nichts.

    Waere es nicht auch ne Option den Software Support kostenpflichtig anzubieten? Wenn nicht zu teuer wuerden da sicher einige zahlen, oder was meint Ihr? Ohne gesetzliche Vorgaben wird das aber sicher eh nichts. Das Recht auf Updates muss man gesetzlich verpflichtend durchsetzen und das am besten dann nicht nur bei SmartPhones.

    Thilo

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.