30 Jahre, nachdem ein deutscher Chipkartenproduzent die erste kommerzielle SIM-Karte der Welt an eine finnische Telekommunikationsfirma lieferte, hat das Europäische Institut für Telekommunikationsnormen (ETSI) eine erste Spezifikation für sichere mobile Endgeräte mit globaler Ausrichtung veröffentlicht. "ETSI TS 103 732" enthält ein Schutzprofil für das Verbrauchersegment (Consumer Mobile Device Protection Profile). Ziel ist es, Sicherheits- und Zuverlässigkeitsanforderungen für Smartphones und Tablets aufzustellen, potenzielle Angriffsrisiken abzuschwächen und den Datenschutz zu verbessern.
Eingeschlossen sind Funktionen wie Unterstützung von Verschlüsselung, Identifizierung und Authentifizierung, Sicherheitsmanagement, Widerstand gegen physische Angriffe, sicheres Booten und vertrauenswürdige Kommunikationskanäle. Der Einsatz eines speziellen Trusted Platform Module (TPM) wird nicht ausdrücklich vorgeschrieben.
Ferner soll sichergestellt werden, dass Apps nur auf Benutzerdaten und auf bereitgestellten Diensten zugreifen können, "die für ihren Betrieb wesentlich sind" und für die der menschliche Benutzer beziehungsweise das Betriebssystem eine Berechtigung erteilt haben. Ein Trackingschutz gehört ebenfalls zu der Spezifikation: App-Entwicklern und Werbetreibenden soll ein Alias zur Verfügung gestellt werden, so dass sie nur begrenzt Anwenderspuren sammeln können. Der Nutzer darf diese Kennung durch eine andere ersetzen, um eine Profilbildung weiter einzuschränken.
Darüber hinaus definiert ETSI TS 103 732 die Sicherheitsanforderungen auf der Grundlage des Schutzprofils der Common Criteria und soll daher auch für Zertifizierungsinitiativen im Rahmen des EU-Cybersicherheitsgesetzes geeignet sein. Enthalten ist auch eine gemeinsame Methodik, um die Sicherheit von mobilen Endgeräten zu bewerten. Der Standard basiert auf der bereits bestehenden ETSI-Norm EN 303 645 von 2020 für die IT-Sicherheit von Geräten im Internet der Dinge. Die Institution kündigte an, in den kommenden 12 bis 18 Monaten auf dieser Grundlage weitere Spezifikationen rund um die Cybersicherheit digitaler Verbrauchergeräte zu verabschieden und herauszugeben.
[Update 29.11.2021 11:35 Uhr:] Anders als ursprünglich dargestellt, handelt es sich nicht um eine Norm, sondern um eine Spezifizierung – der Text wurde entsprechend angepasst.
Quelle: heise
Benutzerdaten abschirmen
Die knapp fünfzigseitige Spezifikation soll Herstellern und Diensteanbietern laut dem ETSI weltweit helfen, wichtige Benutzerdaten wie Fotos, Videos, Benutzerstandort, E-Mails, SMS, Anrufe, Passwörter für Webservices und persönliche Informationen wie Aufzeichnungen von Fitnesstrackern vor unberechtigten Zugriffen abzuschirmen. Sie decke "ein breites Spektrum an Sicherheitsmerkmalen" ab.Eingeschlossen sind Funktionen wie Unterstützung von Verschlüsselung, Identifizierung und Authentifizierung, Sicherheitsmanagement, Widerstand gegen physische Angriffe, sicheres Booten und vertrauenswürdige Kommunikationskanäle. Der Einsatz eines speziellen Trusted Platform Module (TPM) wird nicht ausdrücklich vorgeschrieben.
Ferner soll sichergestellt werden, dass Apps nur auf Benutzerdaten und auf bereitgestellten Diensten zugreifen können, "die für ihren Betrieb wesentlich sind" und für die der menschliche Benutzer beziehungsweise das Betriebssystem eine Berechtigung erteilt haben. Ein Trackingschutz gehört ebenfalls zu der Spezifikation: App-Entwicklern und Werbetreibenden soll ein Alias zur Verfügung gestellt werden, so dass sie nur begrenzt Anwenderspuren sammeln können. Der Nutzer darf diese Kennung durch eine andere ersetzen, um eine Profilbildung weiter einzuschränken.
Darüber hinaus definiert ETSI TS 103 732 die Sicherheitsanforderungen auf der Grundlage des Schutzprofils der Common Criteria und soll daher auch für Zertifizierungsinitiativen im Rahmen des EU-Cybersicherheitsgesetzes geeignet sein. Enthalten ist auch eine gemeinsame Methodik, um die Sicherheit von mobilen Endgeräten zu bewerten. Der Standard basiert auf der bereits bestehenden ETSI-Norm EN 303 645 von 2020 für die IT-Sicherheit von Geräten im Internet der Dinge. Die Institution kündigte an, in den kommenden 12 bis 18 Monaten auf dieser Grundlage weitere Spezifikationen rund um die Cybersicherheit digitaler Verbrauchergeräte zu verabschieden und herauszugeben.
[Update 29.11.2021 11:35 Uhr:] Anders als ursprünglich dargestellt, handelt es sich nicht um eine Norm, sondern um eine Spezifizierung – der Text wurde entsprechend angepasst.
Quelle: heise