Die indische Regierung hat im Rahmen der „Indian Telecom Security Assurance Requirements“ eine umfassende Überarbeitung der Sicherheitsanforderungen für Smartphones vorgeschlagen. Diese beinhaltet ein Paket von 83 Sicherheitsstandards, die den Schutz von Nutzerdaten angesichts zunehmenden Online-Betrugs und Cyberbedrohungen auf dem riesigen Smartphone-Markt des Landes verbessern sollen.
Technologiegiganten wie Apple und Samsung lehnen diesen Schritt ab und behaupten, dass es für das Paket kein globales Präzedenzfall gebe dent dass firmeneigene Details und Geschäftsgeheimnisse, insbesondere den Quellcode, offengelegt werden könnten. Apple schützt diesen Code vehement und hat sich in der Vergangenheit gegen eine Weitergabe an Länder wie die USA und China gewehrt.
Das Land behauptet jedoch, die Forderungen seien Teil der umfassenderen Strategie von Premierminister Narendra Modi zur Stärkung der Cybersicherheit in Indien, dem zweitgrößten Smartphone-Markt der Welt.
Die indische Regierung stellt Forderungen an die Handyhersteller
Nachfolgend eine Liste einiger Sicherheitsanforderungen, die Indien für Smartphone-Hersteller wie Apple und Samsung vorschlägt und die hinter den Kulissen zu Widerstand seitens der Technologieunternehmen geführt haben.
- Die Offenlegung des Quellcodes verpflichtet die Hersteller, nicht nur Tests durchzuführen, sondern auch den proprietären Quellcode zur Überprüfung durch staatlich benannte Labore bereitzustellen, um Schwachstellen in den Betriebssystemen der Telefone zudent, die von Angreifern ausgenutzt werden könnten.
- Einschränkungen der Hintergrundberechtigungen, die Apps den Zugriff auf Kameras, Mikrofone oder Standortdienste im Hintergrund untersagen, während das Telefon inaktiv ist, und eine kontinuierliche Statusleistenbenachrichtigung erfordern, wenn diese Berechtigungen aktiv sind
- Berechtigungsprüfungsalarme, die von den Geräten verlangen, regelmäßig Warnungen anzuzeigen, die die Benutzer auffordern, alle App-Berechtigungen zu überprüfen, mit kontinuierlichen Benachrichtigungen.
- Die einjährige Aufbewahrungspflicht für Protokolle erfordert, dass Geräte Sicherheitsauditprotokolle, einschließlich App-Installationen und Systemprotokolle, bis zu 12 Monate lang speichern.
- Regelmäßige Malware-Scans, bei denen Telefone regelmäßig nach Malware suchen und potenziell schädliche Anwendungendentmüssen.
- Option zum Löschen vorinstallierter Apps, die mit dem Betriebssystem des Telefons mitgeliefert werden, mit Ausnahme derjenigen, die für grundlegende Telefonfunktionen unerlässlich sind.
- Eine Regierungsbehörde vor der Veröffentlichung größerer Updates oder Sicherheitspatches informieren.
- Manipulationserkennungswarnungen, die erkennen, wenn Telefone gerootet oder „jailbreakt“ wurden, und zeigen kontinuierliche Warnbanner an, um Korrekturmaßnahmen zu empfehlen.
- Ein Anti-Rollback-Schutz, der die Installation älterer Softwareversionen dauerhaft blockiert, selbst wenn diese offiziell vom Hersteller signiert sind, um Sicherheits-Downgrades zu verhindern.
Was Technologieunternehmen über die Anforderungen denken
Die indische Regierung verteidigt die Sicherheitsvorkehrungen mit dem Argument, sie dienten dem Schutz der Bürger – ein Schritt, der mit Narendra Modis Initiative für Datensicherheit übereinstimmt. Große Unternehmen wie Samsung, Apple, Xiaomi und Google, vertreten durch MAIT, den indischen Industrieverband, haben jedoch Widerstand geäußert, insbesondere hinsichtlich der Weitergabe von Quellcode.
erklärte MAIT, der Verband der Smartphone-Hersteller, in einem vertraulichen dent , das als Reaktion auf den Regierungsvorschlag verfasst wurde. „Große Länder in der EU, Nordamerika, Australien und Afrika schreiben diese Anforderungen nicht vor.“
Sie behaupten, dass es auch keine zuverlässige Möglichkeit gibt, Jailbreak-Telefone zu erkennen oder Manipulationen zu verhindern, da es dem Anti-Rollback an Standards mangele und viele vorinstallierte Apps erhalten bleiben müssten, da sie kritische Systemkomponenten seien.
MAIT hat das Ministerium laut einer mit dem Vorhaben vertrauten Quelle gebeten, den Vorschlag fallen zu lassen. Aus den Dokumenten des Unternehmens geht außerdem hervor, dass regelmäßige Malware-Scans den Akku eines Telefons erheblich belasten würden und es „unpraktisch“ sei, für Software-Updates eine staatliche Genehmigung einzuholen, da diese ja zeitnahe Fehlerbehebungen darstellen sollten.
Was die von der Regierung geforderten, mindestens zwölf Monate lang auf Geräten gespeicherten Telefonprotokolle betrifft, behauptet MAIT, dass die meisten Geräte nicht über die nötige Speicherkapazität verfügen, um solche Protokolle zu speichern, weshalb diese Forderung nicht erfüllbar sei.
Als Reaktion auf die von MAIT vorgebrachten Punkte erklärte IT-Sekretär S. Krishnan, dass alle berechtigten Bedenken der Branche unvoreingenommen behandelt würden, fügte aber hinzu, es sei „verfrüht, mehr hineinzuinterpretieren“
Unterdessen lehnte ein Sprecher des Ministeriums weitere Kommentare ab und erklärte, die Konsultationen mit den Technologieunternehmen über die Vorschläge seien noch im Gange.
