Der "Kill Switch" im Smartphone hat eine Kehrseite

In Kalifornien wird der Notausschalter aus der Ferne für Smartphones zur Pflicht, andere werden nachziehen. Was aber, wenn Behörden den Diebstahlschutz für sich nutzen?

Quelle: www.zeit.de vom 14.08.14

 

Der englische Begriff Kill Switch klingt martialischer, als er gemeint ist. Schließlich bezeichnet er lediglich die Möglichkeit, ein technisches Gerät möglichst schnell auszuschalten, einen Notausschalter eben. In Kalifornien sollen alle neuen Smartphones, die ab dem 1. Juli 2015 verkauft werden, mit einem solchen Kill Switch ausgestattet sein. Das fordert ein neues, bereits vom Senat verabschiedetes Gesetz, das Gouverneur Jerry Brown nur noch unterzeichnen muss.

Konkret verpflichtet das Gesetz SB-962 alle Smartphone-Hersteller dazu, ihre neuen Geräte mit einer Funktion – sei es hard- oder softwareseitig – auszustatten, die das Gerät nach einem Diebstahl unbrauchbar machen. Die rechtmäßigen Besitzer sollen die Geräte aus der Ferne, etwa per Website oder SMS, deaktivieren und persönliche Daten löschen können. Und nur sie sollen das Gerät auch wieder in Betrieb nehmen können.

Im schlimmsten Fall könnten Kriminelle die Funktion missbrauchen und fremde Smartphones im großen Stil aus der Ferne lahmlegen. Doch nicht nur die Geräte, sondern auch die Hersteller stellen ein Sicherheitsrisiko dar. Ebenfalls denkbar ist der Zugriff durch Behörden. Im kalifornischen Gesetzentwurf wird der sogar explizit erwähnt: Staatliche Stellen können im Zuge des "Public Utility Code" auf die Funktionen des Kill Switch zugreifen, heißt es dort. Telekommunikationsanbieter müssen den Forderungen der Polizei nachkommen, wenn eine richterliche Anordnung vorliegt.

Wohl ein sehr zweifelhafter Sicherheitsgewinn, denn das System wird dadurch angreifbarer. In diesem Fall ist es wahrscheinlich nicht so gravierend, wie bei fernabschaltbaren Smart Metern, aber die damit verbundenen Szenarien sind auch nicht von der Hand zu weisen. Durch Vernetzung steigt die Komplexität und mit dem Umfang der Verfügbarkeit das Begehren, daraus Geld zu machen. Auch hier gilt, dezentralisierte Systeme sind robuster gegenüber Störungen. Warum reicht nicht eine "Selbstzerstörung" on-board, wenn gewisse Kriterien (nicht) zutreffen? Einfachheit wäre gefragt.