image

Duitse overheid wil dat smartphones 5 jaar updates ontvangen

dinsdag 25 februari 2020, 11:34 door Redactie, 27 reacties

De Duitse overheid heeft veiligheidsrichtlijnen opgesteld waar fabrikanten van smartphones zich aan zouden moeten houden, waaronder een minimale updateperiode van vijf jaar. De veiligheidsregels dienen als beginpunt van een discussie met fabrikanten, telecomproviders en de maatschappij om tot veiligere telefoons te komen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

"De afgelopen jaren zijn smartphones het middelpunt geworden waarmee we steeds meer van ons dagelijkse leven regelen. Onveilige smartphones kunnen zeer snel negatieve gevolgen hebben", zegt BSI-president Arne Schönbohm. Hij stelt dat fabrikanten hun telefoons daarom zo veilig als mogelijk moeten maken en dat die gedurende een bepaalde tijd veilig zijn te gebruiken. De nu gepresenteerde richtlijnen moeten zorgen voor security-by-design en security-by-default.

Zo wil het BSI dat fabrikanten hun toestellen na de lancering minimaal vijf jaar lang van updates voorzien en aangeven wanneer de ondersteuning precies eindigt. Verder moeten fabrikanten alle bekende beveiligingslekken in hun smartphone verhelpen en een uitgebreid bulletin met duidelijke informatie over de update publiceren. Tevens moeten updates binnen een maand na de "publieke release" op toestellen worden aangeboden of gedownload.

Verder stelt de Duitse overheidsinstantie dat smartphones over een vergrendelmechanisme zoals gezichtsherkenning, vingerafdruk, wachtwoord of biometrische scan beschikken en dat er van volledige schijfversleuteling gebruik wordt gemaakt. Tevens mag de systeempartitie alleen apps met systeempermissies bevatten en moeten vooraf geïnstalleerde apps alleen van opt-in permissies gebruikmaken. Tevens mogen telemetriegegevens alleen na expliciete toestemming van de gebruiker worden verzameld en verstuurd. Ook het gebruik van aangeboden clouddiensten moet opt-in zijn, aldus het BSI (pdf).

Image

Reacties (27)
25-02-2020, 11:38 door Anoniem
Als dat zo is, koop ik er ook een.
25-02-2020, 12:06 door Bitje-scheef
Zou leuk zijn als het gelijk Europees afgedwongen wordt.
25-02-2020, 12:09 door Anoniem
In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.
25-02-2020, 12:45 door Anoniem
Door Anoniem: Als dat zo is, koop ik er ook een.
Apple?
25-02-2020, 12:55 door Anoniem
Door Anoniem: In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.

Samsung bestaat 2 jaar? Apple bestaat 2 jaar?

Als je als koper kiest voor een nieuwe verkoper zonder opgebouwd "image", loop je inderdaad het risico dat deze verkoper onder de verkoopovereenkomst met zijn garantiebepalingen zal proberen uit te komen door bijvoorbeeld faillissement fraude te plegen. Maar vertrouwen in een fabrikant ontstaat ook niet in twee jaar.

De Chinezen kopen toch ook liever onze (duurdere) babyvoeding? Kwestie van opgebouwd vertrouwen.
Off-topic: de kringloopboer heeft de toekomst, ook bij een hogere prijs.
25-02-2020, 13:23 door Mrfatman
Dit stukje vind ik zelf mooier dan de titel van deze post:

"Tevens moeten updates binnen een maand na de "publieke release" op toestellen worden aangeboden of gedownload."

Super goed initiatief van de duisters en de Nederlandse regering mag hier wel een voorbeeld van maken ipv encryptie willen afzwakken...
25-02-2020, 13:28 door Anoniem
Daar hebben wij een internetconsultatie voor: https://www.internetconsultatie.nl/verkoop_goederen_levering_digitale_inhoud

Wat er jammer aan is, is dat hier niet gewoon 5 jaar+ in staat. Omdat het niet concreet gemaakt wordt, resulteert dit altijd weer in een getouwtrek met de leverancier. Die altijd aan het langste eind trekken.
25-02-2020, 13:44 door _R0N_
Door Anoniem: In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.

De meest voorkomende merken zullen daar niet mee weg komen, wel die budget merken die je bij de Kruidvat koopt uiteraard.
25-02-2020, 14:08 door Anoniem
Door Bitje-scheef: Zou leuk zijn als het gelijk Europees afgedwongen wordt.

Bedoel je afdwingen voor:
a- alle Europese landen en daaraan gelijkgeschakelde niet EU landen?
Dus inclusief het VK, Canada, Japan, Chili, aspirant- en aankomend-aspirant EU landen?

b- alle Europese landen, daarvan de E.E.A. landen en aanverwanten zoals Zwitserland?
Dus inclusief landen zoals Noorwegen, IJsland, Monaco, Vaticaan stad en dergelijke.

c- alle EU landen
Dus enkel landen die nu lid zijn van de EU?

d- Duitsland
die dit als grootste EU economie en tevens een vrij groot IT handel volume, langs organische weg, voor handel naar
diens omliggende landen dit de facto kan afdwingen.

En welke instantie is dan hoe aan zet?
25-02-2020, 15:00 door Anoniem
Ik wil onderscheid kunnen maken tussen updates voor nieuwe functionaliteiten (die ik wellicht wel al dan niet wens) en ontwerpfouten (c.q. security updates).

Wat je koopt hoort te werken. Ik heb helemaal geen zin in altijd maar te MOETEN updaten. Dat geldt voor elk consumentenproduct.

Wat onveilig is moet ik ook kunnen verwijderen. Altijd.

En als het hele apparaat voortdurend onveilig blijkt: geld terug. Van de verkoper.
25-02-2020, 15:03 door Bitje-scheef
:-) Optie C en de rest mag meedoen.

Europees Parlement die dit in een wet kan afdwingen.
25-02-2020, 15:05 door Anoniem
Leuk plan. Maar onhaalbaar.

Betekend gewoon dat er minder telefoons in Duitsland verkocht geworden. 5 jaar voor een ondersteuning is niet te doen. Zowel met performance als security.
25-02-2020, 15:13 door Anoniem
Door _R0N_:
Door Anoniem: In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.

De meest voorkomende merken zullen daar niet mee weg komen, wel die budget merken die je bij de Kruidvat koopt uiteraard.

Kruidvat is de leverancier. Die is dus verantwoordelijk te houden voor de updates. Als hun fabrikant na 2 jaar stopt, dan kun je je telefoon naar Kruidvat terugbrengen.

Peter
25-02-2020, 15:13 door Anoniem
Ik vind acht jaar minimaal, en per 100 euro toestelprijs nog een jaar extra erbij op.
Weg met de wegwerp-maatschappij.

Ze maken expres je software slecht, zodat het lijkt alsof de hardware kapot is.
25-02-2020, 15:37 door Briolet
Door Anoniem: In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.

Dat is op zich geen probleem. De winkelier is de aanspreekpartner voor de consument en niet de fabrikant. De winkelier zal een nieuwe telefoon moeten leveren als de oude niet aan de eisen voldoet. (Geen updates meer krijgt binnen 5 jaar)

De winkelier zal dus echt wel zorgen dat hij met een betrouwbare leverancier gaat werken en niet met een schijn bv. (Tenzij het een winkel is die zelf opgezet is om binnen 5 jaar failliet te gaan)
25-02-2020, 16:09 door Anoniem
De Europese Unie wil meer controle over onze gebruikte electronica en dat er meer word
gekocht en geproduceerd in europa zelf.

Veel onveilige producten bij webwinkels buiten EU
volgens de consumentenbond.

Het artikel komt op een moment dat china het al moeilijk genoeg heeft.

Desalniettemin is het een goede zaak dat smartphones voor 5 jaar updates ontvangen
want niet iedereen heeft een betaald abonnement,waarmee ze hun smartphone weer kunnen inruilen
voor een nieuwe,en zeker voor mensen die weinig bellen en weinig geld hebben is dit
een goed idee zodat ze langer veilig zijn met 5 jaar updates.

The Matrix
25-02-2020, 16:19 door Anoniem
Door Anoniem: Ik wil onderscheid kunnen maken tussen updates voor nieuwe functionaliteiten (die ik wellicht wel al dan niet wens) en ontwerpfouten (c.q. security updates).

Wat je koopt hoort te werken. Ik heb helemaal geen zin in altijd maar te MOETEN updaten. Dat geldt voor elk consumentenproduct.

Wat onveilig is moet ik ook kunnen verwijderen. Altijd.

En als het hele apparaat voortdurend onveilig blijkt: geld terug. Van de verkoper.

De principes van moeten updaten zitten wel in meer recente wet-wijziging voorstellen.
Heb je die ook al gezien?
Vraag is wanneer bij het eventueel niet of laat updaten van jouw consumentenproduct grove consequenties komen kijken.

Ben het eens met het principe van onveilige apparaten geld-terug.
Vraag is natuurlijk bij hoeveel updates sprake is van "voortdurend"?
En maakt het nog uit hoe het onveilig-geld terug principe doorwerkt in de leveranciers keten?
Het lijkt mij logisch dat vanuit economisch belang het ministerie van Economische Zaken / TNO scherp in gaat krijgt en houdt welke ontwerpfouten in consumenten producten zitten en die dan beoordeeld.
En wat moet gebeuren met een onveilig-geld terug product waar persoonlijke gegevens op zijn ingevoerd?
Die zijn dan dus op onveilige wijze ingevoerd, zonder dat de consument het door had??
In dit soort gevallen moet de verkoper dus ook richting de AP verantwoorden c.q. rapporteren neem ik aan?
25-02-2020, 17:04 door Anoniem
Moet het fusie ministerie als V&J zich hier wel bezig houden?
Het ministerie dat ook gaat over recht en onrecht en dat nou niet echt meer daverend goed in de vingers heeft.

Dit kabinet werkt zelf bijvoorbeeld in nogal arbitraire termen en zeker niet eenduidig gedifferentieerd over wie zoal online veiligheid beleid raakt!
Als je als Nationaal Coordinator Terrorismebestrijding en Veiligheid namens het minister van V&J optreedt moet je natuurlijk geen troebele beeldvorming gaan lanceren.
Dus zeker geen arbitraire vermenging van begrippen en belangen duiding.
Akkoord als er uit nationaal en internationaal belang wordt gewerkt aan betere begripsvorming, vanuit een bepaald gezag.
Hiervoor hoeft echter zeker geen kabinet aan zet te zijn.
Wat heb je aan een Nationaal crisisplan digitale grote broer???
Een Nationaal crisisplan digitaal MOET ook zeker geen enabeler / doorwuif en afvang luik zijn van de overheid of dat worden.

Op de voorgrond doet de RVO.nl bijvoorbeeld veel aan netwerk-events en promotie van het verder tot de haarvaten van de Nederlandse maatschappij laten ingrijpen / doordringen van telecom toepassingen.
Dat doet de RVO uit naam van "vooruitgang" door "innovatie".
Een van de paden die ze daarbij bewandeld is feitelijk het pushen van een transformatie proces.
Dit door introductie van meer vitale of kwetsbaarder (dynamischer) maken van de Nederlandse maatschappij middels ICT verbindingen daar waar die prima solitaire systemen kunnen bijven.
Hart-scans hoeven bijvoorbeeld niet onvermijdelijk en onverbiddelijk mobiel verplaatsbaar te worden gemaakt.
Dat hebben artsen zelf al tegenover Rathenau op beurzen indringend kenbaar gemaakt.
Toch loopt en tokt het rond van 5G is ook handig om mobiele posten voor hartscans te introduceren.
Houd nu solitaire netwerken en systemen voor nuts-functies van NL sowieso gewoon solitair!

Dus ja ook ziekenhuizen en aanpalende functies van ondersteunende organisaties zijn wel degelijk vitale functies.
Misschien niet direct of in brede omvang voor terrorisme bestrijding, wel voor een online veilig NL.
Ga ook als kabinet Rutte nou niet pseudo-transparant lopen doen door over online veiligheid.
Maak dus van online veiligheid GEEN trekpop voor tal van overheid-functionarissen en lobby organisaties.
Daaronder inbegrepen de Nationaal Coordinator Terrorismebestrijding en Veiligheid, de Autoriteit Persoons gegevens, de nationale ombudsman et all. Daaronder ook het haagse lobby complex aan de Laan van Noi!
Dan krijg je dat online veiligheid onderhevig raakt aan de tal van richtingen die fracties op neigen te gaan.
Die fracties zijn dan verspreid met allemaal verschillende scopes en dus potentieel zeer andere werk-richtingen.
Het maakt een nauwelijks te ontwarren kluwen van acties en keuzes waarvan waziger wordt hoe dit nog online veiligheid dient en bevordert.

Van zo'n trekpop met lagere eenduidigheid qua maatregelen moet je als regering en wet-maker wegblijven.
Bij zoiets betalen 2e kamer en consument/burger de rekening!
Het controleren van hoe alles in elkaar grijpt en/of onderdelen elkaar tegen-werken wordt lastiger, een studie op zich.
Voor 2e kamerleden wordt dat in de kern nauwelijks te doorzien wat er dan werkelijk gebeurt tussen al die organisaties en waar het dan mis gaat.
Als burger kunnen terugvallen op oneerlijke en onevenredige gevolgen van stappen en keuzes van online veiligheid beleid door de Nederlandse overheid wordt heeeel lastig.
Daar wordt het dus sowieso niet veiliger van!
Ook niet als je als potentieel opsporende en vervolgende macht je ook nog eens in welke zin dan ook met de veerkracht van de maatschappij gaat bezig houden!
Dat knevelt namelijk al snel de minder veerkrachtige of onzorgvuldig gecategoriseerde delen van de maatschappij.
Veerkracht van de maatschappij is hoogstens iets voor Binnenlandse Zaken als het gemeenten en dergelijke betreft.
En Economische Zaken en Sociale Zaken als het economisch en/of sociale context heeft.

De security-by-design en security-by-default principes lijken me an sich logisch.
Maar dat moet een private sfeer verhaal blijven, de overheid moet ophouden met pushen van nog meer en nog kwetsbaardere toepassing-alternatieven voor alle nuts-sectoren!
Werk dat dus vanuit het ministerie van Economische Zaken uit!
Die gaat al over telecom, energie netten en aanverwante zaken.
De overheid moet vanuit een ministerie zonder nog andere kwalitatieve doelstelling wel suggesties voor kader-stellende richtlijn voor regelgeving of jurisprudentie publiceren.
Misschien de RVO uit haar verband op afstand met het ministerie van EZ.
Of TNO wellicht.
Als denk-oefening voor rechters en burgers.
De publicatie moet gratis beschikbaar zijn, in papier en online.
Ter beeldvorming van belang van inherent online onveilige producten of diensten.
Zoals ook niet elke NEN norm dwingende werking heeft maar vaak wel norm-besef stellend kan werken.
Rechters moeten hier dan onverbiddelijk het belang van consumenten voorop stellen, tenzij het duidelijk in zeer grote mate normaal verstandig online handelen voorbij gaat.
Zoals bij doelbewuste grove nalatigheid in uiterste situaties, rekening houdend met breder aanvaarde en informelere ethical hacking standaarden.
25-02-2020, 17:31 door spatieman
ze bedoelen dus android, want apple is al 6 jaar..
25-02-2020, 18:03 door Anoniem
@ anoniem 17:04

Ben het volslagen oneens met je om alles maar aan de private sfeer over te laten.

Ik zal het eenvoudig illustreren.

Komt een vent bij de dokter en zegt, die andere dokter zegt dat ik gevaarlijk bulten heb en kort te leven. Zegt deze dokter, wat is uw budget, want anders kan ik niks voor u doen.

Daarin ligt het verschil. Er zijn zaken die je noch aan de politici&staat, noch aan de private markt over kan laten. Er bestaat nog wat tussen. Echte dokters. En die missen we. Iedereen rommelt maar wat aan, van kamerlid tot pentester. Zoals de kwakzalvers uit de middeleeuwen. Alhoewel daar ook vast vele goeien bij waren.

Op andere belangrijke vlakken is dat wiel al heel lang geleden uitgevonden. En dat is ook zeker begonnen met wat verkeerde wielen hier en daar. Daar daar ligt, in mijn opinie, de oplossing. Geen ambtenaren, geen private partij. Dat is al heel te veel te veel Amerikaans gedacht. In beschaafd Europa, en alles waar dat op gebouwd is bestaan meer opties. Maar we lijken hem niet te (willen) zien.
25-02-2020, 19:02 door [Account Verwijderd]
Door Anoniem: Leuk plan. Maar onhaalbaar.

Betekend gewoon dat er minder telefoons in Duitsland verkocht geworden. 5 jaar voor een ondersteuning is niet te doen. Zowel met performance als security.

Nog nooit een iPhone gehad?
25-02-2020, 19:03 door [Account Verwijderd]
Door spatieman: ze bedoelen dus android, want apple is al 6 jaar..

Niet gegarandeerd maar de iPhone 6 krijgt nu nog steeds updates, dat wel.
25-02-2020, 21:53 door Anoniem
Door Anoniem: In de praktijk zullen er BV worden opgericht die twee jaar mobieltjes produceren, vervolgens wordt deze BV's overgenomen door andere waardoor alle verantwoordelijkheden vervallen.
Dat denk ik niet. Handelaren kunnen zoiets vrij simpel doen, maar fabrikanten niet tenzij het 'white label' merken zijn. Merkfabrikanten hebben namelijk een naam hoog te houden, anders gooien ze eigen glazen in.
25-02-2020, 21:56 door Anoniem
Door Anoniem: Ik vind acht jaar minimaal, en per 100 euro toestelprijs nog een jaar extra erbij op.
Weg met de wegwerp-maatschappij.

Ze maken expres je software slecht, zodat het lijkt alsof de hardware kapot is.
Moeten ze wel weer verwisselbare batterijen introduceren. Batterijen gaan maximaal een jaar of drie mee.....
25-02-2020, 22:05 door Anoniem
Door Anoniem: Leuk plan. Maar onhaalbaar.

Betekend gewoon dat er minder telefoons in Duitsland verkocht geworden. 5 jaar voor een ondersteuning is niet te doen. Zowel met performance als security.
Denk dat het wel meevalt. Het gaat niet om volledige ondersteuning (lees: geen feature upgrades), maar om security updates. Dat je een telefoon een paar jaar veilig kan gebruiken vind ik een proportionele eis.

Fabrikanten kunnen dat best bieden, het toestel wordt er misschien twee tientjes duurder van maar dan heb je wel een toestel dat je een paar jaar veilig kan gebruiken. Overigens had ik gekozen voor 3 jaar support na einde productie i.p.v. 5 jaar na introductie.
26-02-2020, 09:10 door User2048
Door Covid-19:
Door spatieman: ze bedoelen dus android, want apple is al 6 jaar..

Niet gegarandeerd maar de iPhone 6 krijgt nu nog steeds updates, dat wel.

Zelfs de iPhone 5s, geintroduceerd in 2013, wordt nog ondersteund. https://support.apple.com/nl-nl/guide/iphone/iphe3fa5df43/12.0/ios/12.0
27-02-2020, 18:20 door Anoniem
Klinkt wel heel mooi. Ik ben absoluut geen voorstander van Apple maar heb nog een oude iPhone 4 thuis en ik moet zeggen qua updates en besturingssysteem hebben ze het wel goed voor elkaar. Alleen jammer dat je dan helemaal in hun ecosysteem zit. Liever voorstander van Android (vrijheid, mogelijkheden etc).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.