News Europäische Union: Energielabel- und Update-Pflicht für Smartphones geplant

[YforU]

Wozu muss man Sicherheitslücken in einem Webservice fixen wenn dieser sowieso nur lokal erreichbar ist

Aus dem gleichen Grund weshalb mir fast jedes mal der Hut hochgeht wenn wir die Betreuung einer Arztpraxis übernehmen. Die Clients sind meist offen wie Scheunentore da die ERP und Geräteanbieter (Röntgen, Steri, Kameras etc.) das gerne so haben (Virenscanner, OS Firewalls - böse und machen ja nur Probleme). OS Updates lieber nur wenns nicht anders geht und Kompatibilität zu neuen Versionen auch gerne mal ein, zwei Jahre nach EOL des Vorgängers.

Es reicht einfach nicht vorne eine Firewall hinzustellen und sich darauf zu verlassen. Die meisten erfolgreichen Angriffe beginnen praktisch innerhalb der Netzwerke und je verwundbarer die Geräte sind desto übler wirds es dann auch werden.

 

[Ironbutt]

Definitiv ein Schritt in die richtige Richtung, wenn auch noch nicht das Ende der Fahnenstange.

Zum Markt: erinnert ihr euch noch an die verschiedenen Ladekabel der Handys?

In den USA wird übrigens gerade schwer für das "right to repair" propagiert, natürlich zum Unmut des Apfels, und wie es aussieht kommt es. Der "kleine EU-Markt" ist also nicht alleine.

@Master Foben ich würde sogar behaupten den mündigen Bürger wird es nie geben. Das würde nämlich voraussetzen, dass man sich mit der entsprechenden Materie auseinandersetzen kann und will, was ggf. ein (technisches) Grundverständnis benötigt. In den meisten Haushalten gibt es mittlerweile zu viele technische Geräte, als das sich ein einzelner Mensch mit allen Details auseinandersetzen wird, einfach weil es zu aufwendig ist.

 

[ebird]

Es reicht einfach nicht vorne eine Firewall hinzustellen und sich darauf zu verlassen. Die meisten erfolgreichen Angriffe beginnen praktisch innerhalb der Netzwerke und je verwundbarer die Geräte sind desto übler wirds es dann auch werden.

Das stimmt so nicht. Die Absicherung kann auf unterschiedliche Art und Weise passieren. Sogar Geräte, die aus dem Internet erreichbar sind, können zuverlässig abgesichert werden, auch wenn ich es nicht empfehlen würden.
Damit will ich jedoch nicht die Unfähigkeit der meisten Systemhäuser oder internen IT rechtfertigen.

 

[andr_gin]

Aus dem gleichen Grund weshalb mir fast jedes mal der Hut hochgeht wenn wir die Betreuung einer Arztpraxis übernehmen. Die Clients sind meist offen wie Scheunentore da die ERP und Geräteanbieter (Röntgen, Steri, Kameras etc.) das gerne so haben (Virenscanner, OS Firewalls - böse und machen ja nur Probleme). OS Updates lieber nur wenns nicht anders geht und Kompatibilität zu neuen Versionen auch gerne mal ein, zwei Jahre nach EOL des Vorgängers.

Es reicht einfach nicht vorne eine Firewall hinzustellen und sich darauf zu verlassen. Die meisten erfolgreichen Angriffe beginnen praktisch innerhalb der Netzwerke und je verwundbarer die Geräte sind desto übler wirds es dann auch werden.

1.) Mit "lokal" meinte ich ich im LAN, sondern nur vom Browser des jeweiligen Rechners erreichbar.

Beispiel:
Die Management Software des RAID Controllers eines Servers ist webbasiert, jedoch im Einstellungsmenü ist festgelegt, dass Verbindungen nur von 127.0.0.1 erreichbar sind.
Entweder ist der Server bereits befallen, dann ist dieser sowieso verloren oder er ist noch nicht befallen, dann gibt es keine Möglichkeit die Sicherheitslücke auszunutzen solange diese nicht darin besteht, dass die Einschränkung auf nur lokalen Traffic aufgehoben wird.

2.) Bei der Arztpraxis hast du grundsätzlich Recht, dass hier akutes Gefährdungspotential besteht. Die Ursache ist jedoch nicht, dass das Spezialequipment nicht gepatched ist, sondern dass es keine Trennung von Büro und Maschinenenetz gibt. Im Worst case wird der Steuerungsrechner mit zig Hardwareabhängigkeiten gleichzeitig für Mails und Internet surfen genutzt.
Wenn man das firewalltechnisch schön dicht macht, dass außer z.B. dem FTP Port zum Abholen der Röntgenaufnahmen nichts durch kann, dann wird es ein Angreifer hier schwer haben.

3.) Man muss beim Erstellen eines Sicherheitskonzeptes immer abschätzen welche Gefährdungen man erwartet. Bei einer kleinen Arztpraxis wird es keine gezielten Hackangriffe geben. Solange man hier keine offensichtlichen Einfallstore hat muss man sich hier nur gegen automatisierte Attacken verteidigen mit den üblichen Motiven z.B. Mail/Webserver übernehmen um Spam zu versenden versenden, Kryptotrojaner, infizieren der Clients um Teil eines Botnetzes zu werden usw. Es wird es da kein Hacker gezielt auf das Röntgengerät abgesehen haben um dort den Patienten 1 gebrochenes Bein mehr einzuzeichnen. Damit lässt sich kein Geld machen.

 

[chartmix]

Ich habe den Eindruck, dass man Probleme lösen will, die der Markt auch alleine lösen kann.

Hat ja bisher super funktioniert.

Wie will man das mit den Updates überhaupt sinnvoll durchsetzen? Wenn ein Hersteller über 5 Jahre hinweg an ein paar Code-Zeilen rumbastelt und das als neue Version auf den Markt schmeißt, bedeutet das doch nicht automatisch, dass es ein sinnvolles Update ist.

Wie wäre es mit Versionierung.

 

[ro///M3o]

Ja der Trend nennt sich:
Geringe Wertschätzung

Sauber zusammengefasst 👍🏼 das auch noch in vielen Bereichen, nicht nur Smartphones.

@Topic: Na endlich… Was für Lahmärsche bzw. man sollte die mal in ein „Wie setze ich sinnvoll Prioritäten“. Hätte schon weit früher als das Verbot für Trinkhalm und Einwegbecher aus Plastik kommen müssen 😅

 

[serval]

Die meisten Leute geben eh schon viel Geld für Smartphones aus, insofern kommt es hier auch nicht mehr drauf an. Für alle anderen werden China-Importe jetzt noch attraktiver.

Auf der negativen Seite: Jetzt kommt das Zeitalter der Schrott-Updates.

 

[chartmix]

Diese Liste könnte man endlos fortsetzen.

Könnte man. Macht aber keinen Sinn.
Hier geht es um mobile Geräte.

 

[andr_gin]

Könnte man. Macht aber keinen Sinn.
Hier geht es um mobile Geräte.

Nein tut es nicht. Es ging hier um den Vorschlag von Blutschlumpf im Powt direkt über mir (deshalb kein Zitat), dass die Updatepflicht auch auf andere Software ausgewertet werden sollte. Und hier ist mein Einwand, dass es eben in vielen Fällen keinen Sinn macht.
Bei Geräten wie Smartphones mit direktem Zugang zum Provider macht es jedoch immer Sinn das verpflichtend zu machen.

 

[Die wilde Inge]

Ich finde das eher wenig sinnvoll und bin grundsätzlich eher skeptisch, wenn lahme Institutionen wie die EU-Kommission so schnelllebige Produkte wie Smartphones regulieren wollen. Ich habe den Eindruck, dass man Probleme lösen will, die der Markt auch alleine lösen kann.

Wie will man das mit den Updates überhaupt sinnvoll durchsetzen? Wenn ein Hersteller über 5 Jahre hinweg an ein paar Code-Zeilen rumbastelt und das als neue Version auf den Markt schmeißt, bedeutet das doch nicht automatisch, dass es ein sinnvolles Update ist.

Wann hat denn Selbst-Regulierung bitte JEMALS funktioniert?
Wenn die EU keinen einheitliche Ladestecker vorgeschrieben hätte, würde jedes 2. Handy vermutlich heute noch mit einer proprietären Schnittstelle rumlaufen.

Es ist Aufgabe der Politik Rahmenbedinungen zu setzen, von daher kann ich das Verhalten nur gut heißen, wenn es denn gut gemacht wird.

Ich denke da an mein altes Sony Smartphone zurück, für das (irgendein) Android Updates damals mehr als 1,5 Jahre verschoben wurde bis dann die Meldung kam, dass das Update gar nicht mehr kommt.

Für Android gibt es Sicherheits-Patche und die Hersteller müssen verpflichtet werden diese auch längere Zeit anzubieten - und das nicht mit 1 Jahr Verspätung.
Selbst Android Hauptversionen könnten länger geliefert werden. Sehe kein Grund wieso mein Handy mit 8 Kernen und 6GB RAM immer noch Android 8 drauf hat mit nem Sicherheits-Patchlevel von 2019.

 

[mischaef]

Artikel-Update: Die scheidende Bundesregierung möchte die von der EU geforderten drei Jahre Funktions-Update-, fünf Jahre Sicherheits-Update- und fünf Jahre Ersatzteil-Garantie für Smartphones noch deutlich überbieten. Das hat eine Sprecherin des Bundeswirtschaftsministeriums auf Anfrage von c't mitgeteilt. Das Ministerium fordert: Ersatzteile und Sicherheits-Updates für Smartphones und Tablets sollten sieben Jahre lang garantiert werden müssen.

Über die von der EU Kommission geforderten maximal fünf Werktage Lieferzeit für Ersatzteile gelte es noch zu diskutieren, so die Sprecherin. Mit einer vorgeschriebenen maximalen Lieferzeit will die EU Kommission verhindern, dass Ersatzteile zwar vorgehalten, deren Verwendung im Rahmen einer Reparatur gegenüber einem Neukauf allerdings zu lange Ausfallzeiten nach sich ziehen würde – und betroffene Kunden sich allein deshalb am Ende doch für eine Neuanschaffung entscheiden.

 

[TøxicGhøst]

Das finde ich ja wirklich gut, nur ob dann nicht wieder andere Tricks Verwendung finden um uns zum Kauf eins Neugeräts zu bewegen?

 

[NJay]

Welches Problem ist denn nicht gelöst?

Also mein 4 Jahre altes 500 Euro handy bekommt seit einem Jahr keine Sicherheitsupdates mehr. Bei mir wuerde es vermutlich noch ein bis drei jahre durchhalten, vll mit einem Akku wechsel zwischendurch. Aber ohne neue Updates werde ich es ersetzen...

Das 10 Jahre alte Notebook meiner Freundin hingegen laeuft noch wunderbar, da Software und Hardware getrennt sind und man problemlos ein neues Linux aufspielen kann.

 

[Knuddelbearli]

Puh 7 Jahre fände ich heftig, 5 Jahre wäre OK, eventuell dann später nachschärfen, aber sofort auf 7 Jahre Sicherheitsupdates, ich weiß ja nicht.

 

[Crifty]

Mit der Betonung auf
„scheidende Bundesregierung“
Schauen wir mal was die Regierung nachdem 26. September sagt. Denn wenn die FDP dann in der Regierung mitsitzt, wird es nicht kommen. Da es ja unwirtschaftlich sei den Unternehmen das zuzumuten.

 

[Taxxor]

Bei Sicherheitsupdates ist die Sache ja relativ klar, bei den Funktionsupdates frage ich mich, ob denn dort auch genauer definiert ist, wie so ein Funktionsupdate auszusehen hat.

Also muss es wirklich so sein, dass wenn z.B. ein Galaxy S24 ein Funktionsupdate bekommt, ein Galaxy S21 das gleiche bekommen muss, sofern keine Hardwareinkompatibilitäten dagegen sprechen, oder ist etwas automatisch ein Funktionsupdate, wenn es nur irgendetwas neues liefert und man somit die Forderung für ältere Geräte quasi wieder relativ leicht umgehen kann.
-> Galaxy S24 bekommt 10 neue Features durch neue Android Version, Galaxy S21 bleibt bei der vorherigen Android Version aber bekommt irgendeine unwichtige Funktion in einer unwichtigen Systemapp spendiert und damit ist die Vorgabe für beide erfüllt.

 

[NJay]

Keiner der in den Elektrodiscounter um die Ecke geht und das billigste Handy kauft von einem Hersteller mit unasprechlichen Namen von dem er noch nie etwas gehört hat erwartet ernsthaft, dass es noch ein Android Update bekommt.

Ach und warum schaffen es Hersteller von 100 Euro Notebooks dann, dass das Geraet auch nach 10 jahren noch Updates bekommt? Weil sie Soft und Hardware trennen. Genau das kann der 100 Euro handy hersteller auch tun. Einfach Googles Upstream Android verwenden und gut ist. Arbeitsaufwand fuer den Hersteller Updates zu liefern? Nahe 0.

 

[Zer0DEV]

Purer Aktionismus, weil die CDU/CSU gerade am untergehen ist.
Armin Laschet und die "Experten" des Zukunftsteams versuchen so Wählerstimmen zu erhaschen.

7 Jahre Updates wird in DE nur unter einer Prämisse erfolgen. Die Preise der Smartphones auf dem deutschen Markt steigen kräftig an. Da gibt's dann keine Smartphones mehr für "günstige" 150€. Die kosten dann eben 300€+.

 

[KitKat::new()]

Ich bin so froh, dass sich da endlich mal was tut

Ergänzung (3. September 2021)

Da gibt's dann keine Smartphones mehr für "günstige" 150€. Die kosten dann eben 300€+.

Abgesehen davon, dass es kein Recht auf Ramsch gibt, bin ich mir ziemlich sicher, dass dadurch der Preis nicht aufs doppelte steigt

 

[Oldtimer]

DAS wurde auch Zeit! Prima!
Endlich eine klare Vorgabe und Regeln