From a96b8b8cedc0751a13de1df0df84aa56ac47ef62 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Mon, 19 Nov 2018 08:08:51 +0000 Subject: committing page revision 1 --- updates/2018/risikorouter.md | 101 +++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 101 insertions(+) create mode 100644 updates/2018/risikorouter.md (limited to 'updates/2018') diff --git a/updates/2018/risikorouter.md b/updates/2018/risikorouter.md new file mode 100644 index 00000000..857179cc --- /dev/null +++ b/updates/2018/risikorouter.md @@ -0,0 +1,101 @@ +title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend +date: 2018-11-19 08:08:51 +updated: 2018-11-19 08:08:51 +author: 46halbe +tags: update, pressemitteilung + +Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen. + + + +Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat +die freiwillige technische Richtlinie TR-03148 „Sichere +Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer +eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die +tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den +Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu +entsprechen. \[1\] + +Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in +Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern +und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche +Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche +Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden +Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren +Mehrwert für den Verbraucher als sicher. + +Dabei hätte insbesondere mit Blick auf die unlängst beobachteten +massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf +bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen +Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen +Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der +Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht +ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen +sinnvoll entgegenwirken könnte. + +An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter +des Chaos Computer Clubs (CCC) sowie Entwickler der freien +Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste +zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der +Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit +bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst +grundlegende und realistisch von der Industrie umsetzbare Anforderungen, +die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in +den Sitzungen durch die Lobbygruppen unter heftigen Beschuss. + +Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht +berücksichtigten zwei Kernforderungen schon mit gesundem +Menschenverstand eingängig sein. Wir fordern weiterhin: + +1\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden +transparentes, vor dem Erwerb des Gerätes einsehbares +Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden +Software haben. Und dies soll mit besonderem Augenmerk auf die +verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden +Sicherheitslücken geschehen. + +2\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät +sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit +garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine +Router einzuspielen. + +Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien +hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange +der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt +werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem +sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller +versagt. + +„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer +Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der +Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit +aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem +wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick +bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen. + +Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der +Sicherheitssituation freigesetzt werden, können sich die Hersteller nun +weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber +zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller +verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen +Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie +gefordert in standardisierter Weise schon auf der Verpackung oder in der +Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim +Kauf in der Regel nicht zur Verfügung. + +„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach +zu verstehende Ampel-Darstellung für den Ressourcenverbrauch +vorgeschrieben, dabei können diese nicht einmal das halbe Internet +lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium +an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender +Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren +Plastikroutern der massenhafte Einzug in heimische und betriebliche +Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf +kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC. + +### Links + +- \[1\]  +- \[2\]  +- \[4\]  +- \[5\]  -- cgit v1.2.3