Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Anforderungskatalog mit Sicherheitskriterien herausgebracht, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten. Das BSI sieht den Katalog zunächst als "Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern (Original Equipment Manufacturer, OEM), Netzbetreibern und Zivilgesellschaft."

Zukünftig könnte die "Diskussionsgrundlage", wie das BSI die Kriteriensammlung derzeit bezeichnet, in konkrete Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen. Die Hersteller seien "aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg". Der Anforderungskatalog sei ein "Wegweiser zu mehr Security by Design und Security by Default".

Die konkreten Forderungen des BSI-Katalogs dürften einigen Herstellern schon jetzt Kopfzerbrechen bereiten. So fordert das Bundesamt sicherheitsrelevante Software-Aktualisierungen für einen Zeitraum von fünf Jahren nach dem Erscheinen des jeweiligen Geräts. Die Nutzung von Cloud-Diensten müsse DSGVO-konform sein und dürfe nicht per Default stattfinden, und Telemetrie-Daten dürfe ein Anbieter nur auf transparente, vom Anwender zu genehmigende Weise nutzen.

So streng und anwenderfreundlich sich die BSI-Vorschläge auch lesen: Noch gibt es keine gesetzliche Grundlage dafür, sie tatsächlich gegenüber Smartphone-Herstellern und App-Lieferanten durchzusetzen. Das könnte sich allerdings ändern, sobald das IT-Sicherheitsgesetz 2.0 verabschiedet wird. Bis dahin dürften allerdings noch einige Smartphones ohne jedes offizielle Sicherheitskennzeichen auf den Markt kommen. (un)