summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
-rw-r--r--updates/2018/risikorouter.md101
1 files changed, 101 insertions, 0 deletions
diff --git a/updates/2018/risikorouter.md b/updates/2018/risikorouter.md
new file mode 100644
index 00000000..857179cc
--- /dev/null
+++ b/updates/2018/risikorouter.md
@@ -0,0 +1,101 @@
1title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend
2date: 2018-11-19 08:08:51
3updated: 2018-11-19 08:08:51
4author: 46halbe
5tags: update, pressemitteilung
6
7Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen.
8
9<!-- TEASER_END -->
10
11Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat
12die freiwillige technische Richtlinie TR-03148 „Sichere
13Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer
14eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die
15tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den
16Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu
17entsprechen. \[1\]
18
19Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in
20Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern
21und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche
22Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche
23Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden
24Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren
25Mehrwert für den Verbraucher als sicher.
26
27Dabei hätte insbesondere mit Blick auf die unlängst beobachteten
28massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf
29bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen
30Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen
31Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der
32Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht
33ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen
34sinnvoll entgegenwirken könnte.
35
36An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter
37des Chaos Computer Clubs (CCC) sowie Entwickler der freien
38Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste
39zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der
40Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit
41bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst
42grundlegende und realistisch von der Industrie umsetzbare Anforderungen,
43die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in
44den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.
45
46Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht
47berücksichtigten zwei Kernforderungen schon mit gesundem
48Menschenverstand eingängig sein. Wir fordern weiterhin:
49
501\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden
51transparentes, vor dem Erwerb des Gerätes einsehbares
52Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden
53Software haben. Und dies soll mit besonderem Augenmerk auf die
54verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden
55Sicherheitslücken geschehen.
56
572\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät
58sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit
59garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine
60Router einzuspielen.
61
62Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien
63hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange
64der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt
65werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem
66sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller
67versagt.
68
69„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer
70Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der
71Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit
72aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem
73wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick
74bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.
75
76Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der
77Sicherheitssituation freigesetzt werden, können sich die Hersteller nun
78weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber
79zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller
80verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen
81Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie
82gefordert in standardisierter Weise schon auf der Verpackung oder in der
83Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim
84Kauf in der Regel nicht zur Verfügung.
85
86„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach
87zu verstehende Ampel-Darstellung für den Ressourcenverbrauch
88vorgeschrieben, dabei können diese nicht einmal das halbe Internet
89lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium
90an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender
91Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren
92Plastikroutern der massenhafte Einzug in heimische und betriebliche
93Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf
94kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.
95
96### Links
97
98- \[1\] <https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html>
99- \[2\] <https://www.openwrt.org>
100- \[4\] <https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html>
101- \[5\] <https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html>