committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2018-11-19 08:08:51 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:40:16 +0000
commit: a96b8b8cedc0751a13de1df0df84aa56ac47ef62 (patch)
tree: 1e5e3358f619933996b5a8eb49750ce3a216a9aa /updates/2018
parent: 02fb4db8d4b0940ae0db46ebb92002ee5813c248 (diff)
1 files changed, 101 insertions, 0 deletions
diff --git a/updates/2018/risikorouter.md b/updates/2018/risikorouter.md
new file mode 100644
index 00000000..857179cc
--- /dev/null
+++ b/updates/2018/risikorouter.md
@@ -0,0 +1,101 @@
+title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend
+date: 2018-11-19 08:08:51 
+updated: 2018-11-19 08:08:51 
+author: 46halbe
+tags: update, pressemitteilung
+Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen.
+<!-- TEASER_END -->
+Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat
+die freiwillige technische Richtlinie TR-03148 „Sichere
+Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer
+eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die
+tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den
+Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu
+entsprechen. \[1\]
+Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in
+Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern
+und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche
+Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche
+Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden
+Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren
+Mehrwert für den Verbraucher als sicher.
+Dabei hätte insbesondere mit Blick auf die unlängst beobachteten
+massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf
+bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen
+Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen
+Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der
+Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht
+ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen
+sinnvoll entgegenwirken könnte.
+An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter
+des Chaos Computer Clubs (CCC) sowie Entwickler der freien
+Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste
+zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der
+Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit
+bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst
+grundlegende und realistisch von der Industrie umsetzbare Anforderungen,
+die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in
+den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.
+Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht
+berücksichtigten zwei Kernforderungen schon mit gesundem
+Menschenverstand eingängig sein. Wir fordern weiterhin:
+1\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden
+transparentes, vor dem Erwerb des Gerätes einsehbares
+Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden
+Software haben. Und dies soll mit besonderem Augenmerk auf die
+verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden
+Sicherheitslücken geschehen.
+2\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät
+sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit
+garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine
+Router einzuspielen.
+Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien
+hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange
+der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt
+werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem
+sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller
+versagt.
+„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer
+Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der
+Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit
+aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem
+wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick
+bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.
+Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der
+Sicherheitssituation freigesetzt werden, können sich die Hersteller nun
+weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber
+zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller
+verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen
+Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie
+gefordert in standardisierter Weise schon auf der Verpackung oder in der
+Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim
+Kauf in der Regel nicht zur Verfügung.
+„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach
+zu verstehende Ampel-Darstellung für den Ressourcenverbrauch
+vorgeschrieben, dabei können diese nicht einmal das halbe Internet
+lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium
+an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender
+Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren
+Plastikroutern der massenhafte Einzug in heimische und betriebliche
+Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf
+kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.
+### Links
+-   \[1\] <https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html>
+-   \[2\] <https://www.openwrt.org>
+-   \[4\] <https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html>
+-   \[5\] <https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html>
author	46halbe <46halbe@berlin.ccc.de>	2018-11-19 08:08:51 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:40:16 +0000
commit	a96b8b8cedc0751a13de1df0df84aa56ac47ef62 (patch)
tree	1e5e3358f619933996b5a8eb49750ce3a216a9aa /updates/2018
parent	02fb4db8d4b0940ae0db46ebb92002ee5813c248 (diff)

diff --git a/updates/2018/risikorouter.md b/updates/2018/risikorouter.md new file mode 100644 index 00000000..857179cc --- /dev/null +++ b/updates/2018/risikorouter.md
@@ -0,0 +1,101 @@
	1	title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend
	2	date: 2018-11-19 08:08:51
	3	updated: 2018-11-19 08:08:51
	4	author: 46halbe
	5	tags: update, pressemitteilung
	6
	7	Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen.
	8
	9	<!-- TEASER_END -->
	10
	11	Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat
	12	die freiwillige technische Richtlinie TR-03148 „Sichere
	13	Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer
	14	eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die
	15	tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den
	16	Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu
	17	entsprechen. \[1\]
	18
	19	Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in
	20	Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern
	21	und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche
	22	Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche
	23	Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden
	24	Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren
	25	Mehrwert für den Verbraucher als sicher.
	26
	27	Dabei hätte insbesondere mit Blick auf die unlängst beobachteten
	28	massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf
	29	bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen
	30	Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen
	31	Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der
	32	Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht
	33	ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen
	34	sinnvoll entgegenwirken könnte.
	35
	36	An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter
	37	des Chaos Computer Clubs (CCC) sowie Entwickler der freien
	38	Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste
	39	zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der
	40	Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit
	41	bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst
	42	grundlegende und realistisch von der Industrie umsetzbare Anforderungen,
	43	die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in
	44	den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.
	45
	46	Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht
	47	berücksichtigten zwei Kernforderungen schon mit gesundem
	48	Menschenverstand eingängig sein. Wir fordern weiterhin:
	49
	50	1\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden
	51	transparentes, vor dem Erwerb des Gerätes einsehbares
	52	Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden
	53	Software haben. Und dies soll mit besonderem Augenmerk auf die
	54	verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden
	55	Sicherheitslücken geschehen.
	56
	57	2\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät
	58	sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit
	59	garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine
	60	Router einzuspielen.
	61
	62	Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien
	63	hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange
	64	der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt
	65	werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem
	66	sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller
	67	versagt.
	68
	69	„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer
	70	Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der
	71	Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit
	72	aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem
	73	wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick
	74	bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.
	75
	76	Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der
	77	Sicherheitssituation freigesetzt werden, können sich die Hersteller nun
	78	weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber
	79	zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller
	80	verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen
	81	Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie
	82	gefordert in standardisierter Weise schon auf der Verpackung oder in der
	83	Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim
	84	Kauf in der Regel nicht zur Verfügung.
	85
	86	„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach
	87	zu verstehende Ampel-Darstellung für den Ressourcenverbrauch
	88	vorgeschrieben, dabei können diese nicht einmal das halbe Internet
	89	lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium
	90	an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender
	91	Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren
	92	Plastikroutern der massenhafte Einzug in heimische und betriebliche
	93	Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf
	94	kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.
	95
	96	### Links
	97
	98	- \[1\] <https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html>
	99	- \[2\] <https://www.openwrt.org>
	100	- \[4\] <https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html>
	101	- \[5\] <https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html>