diff options
Diffstat (limited to 'updates')
-rw-r--r-- | updates/2018/risikorouter.md | 101 |
1 files changed, 101 insertions, 0 deletions
diff --git a/updates/2018/risikorouter.md b/updates/2018/risikorouter.md new file mode 100644 index 00000000..857179cc --- /dev/null +++ b/updates/2018/risikorouter.md | |||
@@ -0,0 +1,101 @@ | |||
1 | title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend | ||
2 | date: 2018-11-19 08:08:51 | ||
3 | updated: 2018-11-19 08:08:51 | ||
4 | author: 46halbe | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat | ||
12 | die freiwillige technische Richtlinie TR-03148 „Sichere | ||
13 | Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer | ||
14 | eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die | ||
15 | tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den | ||
16 | Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu | ||
17 | entsprechen. \[1\] | ||
18 | |||
19 | Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in | ||
20 | Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern | ||
21 | und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche | ||
22 | Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche | ||
23 | Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden | ||
24 | Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren | ||
25 | Mehrwert für den Verbraucher als sicher. | ||
26 | |||
27 | Dabei hätte insbesondere mit Blick auf die unlängst beobachteten | ||
28 | massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf | ||
29 | bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen | ||
30 | Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen | ||
31 | Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der | ||
32 | Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht | ||
33 | ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen | ||
34 | sinnvoll entgegenwirken könnte. | ||
35 | |||
36 | An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter | ||
37 | des Chaos Computer Clubs (CCC) sowie Entwickler der freien | ||
38 | Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste | ||
39 | zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der | ||
40 | Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit | ||
41 | bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst | ||
42 | grundlegende und realistisch von der Industrie umsetzbare Anforderungen, | ||
43 | die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in | ||
44 | den Sitzungen durch die Lobbygruppen unter heftigen Beschuss. | ||
45 | |||
46 | Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht | ||
47 | berücksichtigten zwei Kernforderungen schon mit gesundem | ||
48 | Menschenverstand eingängig sein. Wir fordern weiterhin: | ||
49 | |||
50 | 1\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden | ||
51 | transparentes, vor dem Erwerb des Gerätes einsehbares | ||
52 | Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden | ||
53 | Software haben. Und dies soll mit besonderem Augenmerk auf die | ||
54 | verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden | ||
55 | Sicherheitslücken geschehen. | ||
56 | |||
57 | 2\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät | ||
58 | sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit | ||
59 | garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine | ||
60 | Router einzuspielen. | ||
61 | |||
62 | Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien | ||
63 | hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange | ||
64 | der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt | ||
65 | werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem | ||
66 | sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller | ||
67 | versagt. | ||
68 | |||
69 | „Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer | ||
70 | Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der | ||
71 | Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit | ||
72 | aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem | ||
73 | wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick | ||
74 | bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen. | ||
75 | |||
76 | Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der | ||
77 | Sicherheitssituation freigesetzt werden, können sich die Hersteller nun | ||
78 | weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber | ||
79 | zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller | ||
80 | verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen | ||
81 | Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie | ||
82 | gefordert in standardisierter Weise schon auf der Verpackung oder in der | ||
83 | Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim | ||
84 | Kauf in der Regel nicht zur Verfügung. | ||
85 | |||
86 | „Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach | ||
87 | zu verstehende Ampel-Darstellung für den Ressourcenverbrauch | ||
88 | vorgeschrieben, dabei können diese nicht einmal das halbe Internet | ||
89 | lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium | ||
90 | an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender | ||
91 | Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren | ||
92 | Plastikroutern der massenhafte Einzug in heimische und betriebliche | ||
93 | Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf | ||
94 | kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC. | ||
95 | |||
96 | ### Links | ||
97 | |||
98 | - \[1\] <https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html> | ||
99 | - \[2\] <https://www.openwrt.org> | ||
100 | - \[4\] <https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html> | ||
101 | - \[5\] <https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html> | ||