IT-Security: ETSI veröffentlicht erste Spezifikation für sichere Smartphones

Eine neue technische Vorgabe des EU-Normungsinstituts ETSI soll Herstellern weltweit helfen, die IT-Sicherheit bei Mobiltelefonen für Verbraucher zu erhöhen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge
Revolution, Handys, Smartphones

(Bild: Morocko / Shutterstock.com)

Update
Von
  • Stefan Krempl

30 Jahre, nachdem ein deutscher Chipkartenproduzent die erste kommerzielle SIM-Karte der Welt an eine finnische Telekommunikationsfirma lieferte, hat das Europäische Institut für Telekommunikationsnormen (ETSI) eine erste Spezifikation für sichere mobile Endgeräte mit globaler Ausrichtung veröffentlicht. "ETSI TS 103 732" enthält ein Schutzprofil für das Verbrauchersegment (Consumer Mobile Device Protection Profile). Ziel ist es, Sicherheits- und Zuverlässigkeitsanforderungen für Smartphones und Tablets aufzustellen, potenzielle Angriffsrisiken abzuschwächen und den Datenschutz zu verbessern.

Die knapp fünfzigseitige Spezifikation soll Herstellern und Diensteanbietern laut dem ETSI weltweit helfen, wichtige Benutzerdaten wie Fotos, Videos, Benutzerstandort, E-Mails, SMS, Anrufe, Passwörter für Webservices und persönliche Informationen wie Aufzeichnungen von Fitnesstrackern vor unberechtigten Zugriffen abzuschirmen. Sie decke "ein breites Spektrum an Sicherheitsmerkmalen" ab.

Eingeschlossen sind Funktionen wie Unterstützung von Verschlüsselung, Identifizierung und Authentifizierung, Sicherheitsmanagement, Widerstand gegen physische Angriffe, sicheres Booten und vertrauenswürdige Kommunikationskanäle. Der Einsatz eines speziellen Trusted Platform Module (TPM) wird nicht ausdrücklich vorgeschrieben.

Gegenstand der im Rahmen der Spezifizierung vorgenommenen Evaluation sind die Hardware, das Betriebssystem und vorinstallierte Apps mit Systemberechtigung, die mit dem Verbraucherendgerät ausgeliefert werden. Vom Anwendungsbereich der Norm ausgeschlossen hat das ETSI alle Anwendungen, "die von einem menschlichen Benutzer heruntergeladen werden", sowie vorinstallierte Apps ohne Systemberechtigung, die deinstalliert werden können. Außen vor bleiben ferner alle Peripheriegeräte, einschließlich aller Daten, die sich darauf befinden, und alle verbundenen Dienste wie Speicherkarten oder Cloud-Systeme.

Ebenfalls nicht erfasst ist die Sicherheitskomponente "Secure Element". Darin können etwa Benutzeranmeldeinformationen für den Mobilfunk und elektronische Identitäten (eIDs) gespeichert werden.

Zu den hauptsächlichen Sicherheitsfunktionen zählen die Verfasser auch sichere Update-Möglichkeiten aus zuverlässigen Quellen und Optionen zum Anerkennen vertrauenswürdiger Dienste, beispielsweise zum Teilen von Bildschirmen oder für das gemeinsame Bearbeiten von Dokumenten. Nutzerdaten sollen auf verschiedenen Sicherheitsstufen geschützt werden. Auch bei offiziellen Dokumenten, die vertraulich eingestuft sind, sei der Zugriff nur durch berechtigte Personen auf dem "richtigen Gerät im richtigen Zustand" zu gewährleisten.

Ferner soll sichergestellt werden, dass Apps nur auf Benutzerdaten und auf bereitgestellten Diensten zugreifen können, "die für ihren Betrieb wesentlich sind" und für die der menschliche Benutzer beziehungsweise das Betriebssystem eine Berechtigung erteilt haben. Ein Trackingschutz gehört ebenfalls zu der Spezifikation: App-Entwicklern und Werbetreibenden soll ein Alias zur Verfügung gestellt werden, so dass sie nur begrenzt Anwenderspuren sammeln können. Der Nutzer darf diese Kennung durch eine andere ersetzen, um eine Profilbildung weiter einzuschränken.

Darüber hinaus definiert ETSI TS 103 732 die Sicherheitsanforderungen auf der Grundlage des Schutzprofils der Common Criteria und soll daher auch für Zertifizierungsinitiativen im Rahmen des EU-Cybersicherheitsgesetzes geeignet sein. Enthalten ist auch eine gemeinsame Methodik, um die Sicherheit von mobilen Endgeräten zu bewerten. Der Standard basiert auf der bereits bestehenden ETSI-Norm EN 303 645 von 2020 für die IT-Sicherheit von Geräten im Internet der Dinge. Die Institution kündigte an, in den kommenden 12 bis 18 Monaten auf dieser Grundlage weitere Spezifikationen rund um die Cybersicherheit digitaler Verbrauchergeräte zu verabschieden und herauszugeben.

[Update 29.11.2021 11:35 Uhr:] Anders als ursprünglich dargestellt, handelt es sich nicht um eine Norm, sondern um eine Spezifizierung – der Text wurde entsprechend angepasst.

(tiw)