Samt Quellcodezugriff: Indien plant diverse Pflichten für Smartphonehersteller

Indien will Smartphone-Hersteller zum Einhalten von insgesamt 83 Sicherheitsstandards verpflichten. Die stehen den Geschäftsinteressen der Unternehmen teilweise deutlich entgegen und werden von ihnen vehement abgelehnt. Reuters zufolge stammt der Anforderungskatalog aus dem Jahr 2023, doch nun überlegt die indische Regierung, Unternehmen zu seiner Einhaltung zu verpflichten. Wie die Nachrichtenagentur unter Berufung auf vier Quellen und eingesehene Dokumente berichtet, enthält der Katalog eine Reihe weitreichender Vorgaben, deren Erfüllung teilweise unrealistisch erscheint.

Zu den am heftigsten umkämpften gehört wohl die Anforderung einer „vollständigen Sicherheitsbewertung“. Denn um diese überprüfen zu können, sollen laut Reuters Testlabore in Indien Zugriff auf den Quellcode der Smartphones bekommen, um ihn begutachten und auf Schwachstellen abklopfen zu können. Der zumindest teilweise proprietäre Quellcode wird von Smartphoneherstellern argwöhnisch gehütet und staatlichen oder anderen externen Stellen in aller Regel nicht zugänglich gemacht. Laut Reuters hält die Branchenvereinigung MAIT – die in Indien unter anderem Apple, Samsung, Google und Xiaomi vertritt – die Anforderung wenig überraschend für nicht umsetzbar und führt Geheimhaltungs- und Datenschutzgründe an. MAIT habe das zuständige IT-Ministerium aufgefordert, den Vorschlag fallen zu lassen.

MAIT widerspricht laut Reuters auch diversen anderen Anforderungen aus dem Katalog, die teilweise allerdings recht sinnvoll wirken. So werde etwa gefordert, dass man vorinstallierte Apps auch deinstallieren kann (sofern sie nicht für grundlegende Telefoniefunktionen erforderlich sind), oder dass Apps nicht auf Kamera, Mikrofon und Standort zugreifen dürfen, wenn sie sich im Hintergrund befinden und das Telefon nicht aktiv ist. Bei ersterem bemängele MAIT, dass viele Apps für kritische Systemkomponenten zwingend erforderlich seien, bei letzterem unter anderem, dass keine Testmethode dafür definiert werde.

Weitere kritische Vorgaben

Weitere Anforderungen aus dem Vorgabenkatalog sind allerdings auch aus Nutzersicht durchaus kritisch. Laut Reuters sollen Smartphones etwa deutlich anzeigen, wenn ein Gerät gerootet wurde oder anderweitig Sicherheitsbeschränkungen umgangen wurden, und dem Nutzer „korrigierende Maßnahmen“ vorschlagen. Smartphonebesitzer, die ihr Gerät absichtlich gerootet haben, könnte das massiv stören. Die Hersteller argumentieren jedoch damit, dass es keine zuverlässige Methode gebe, um modifizierte Geräte zu erkennen.

Laut Reuters will die indische Regierung außerdem, dass Smartphonefabrikanten Indiens nationales Zentrum für Kommunikationssicherheit informieren, wenn sie größere Updates oder Sicherheitspatches bereitstellen. Das solle geschehen, bevor die Patches an Nutzer ausgeliefert werden, und das Zentrum solle die Patches vorab testen können. Eine solche Anforderung könnte gerade bei Sicherheitsupdates zu gefährlichen Verzögerungen führen. Reuters zitiert die Smartphonehersteller folgerichtig mit der Aussage, dass eine solche Vorgabe „nicht praktikabel“ sei und Nutzer gefährden könnte.

Noch nicht in Stein gemeißelt

Grundsätzlich scheint Indien geneigt, auf Kritik zu hören. Man befinde sich noch in Konsultation mit Technologieunternehmen. Gegenüber Reuters erklärte der IT-Sekretär Krishnan, dass man auf alle legitimen Bedenken der Industrie unvoreingenommen eingehen werde. In einem ähnlich gelagerten Fall von Anfang Dezember 2025 hatte Indien Smartphonehersteller verpflichtet, eine staatliche Sicherheits-App auf allen Geräten zu installieren. Nach breiter Kritik daran war die Regierung allerdings schnell zurückgerudert.

(syt)