path: root/updates/2018/risikorouter.md

title: CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend
date: 2018-11-19 08:08:51 
updated: 2018-11-19 08:08:51 
author: 46halbe
tags: update, pressemitteilung

Die gerade veröffentlichte technische Richtlinie zur Router-Sicherheit erweist sich als Farce. Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen.

<!-- TEASER_END -->

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat
die freiwillige technische Richtlinie TR-03148 „Sichere
Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer
eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die
tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den
Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu
entsprechen. \[1\]

Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in
Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern
und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche
Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche
Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden
Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren
Mehrwert für den Verbraucher als sicher.

Dabei hätte insbesondere mit Blick auf die unlängst beobachteten
massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf
bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen
Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen
Ausfall der Router zur Folge hatten. \[4\] Auch im Lichte der
Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht
ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen
sinnvoll entgegenwirken könnte.

An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter
des Chaos Computer Clubs (CCC) sowie Entwickler der freien
Linux-Distribution für WLAN-Router OpenWrt \[2\] teil, um das Schlimmste
zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der
Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit
bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst
grundlegende und realistisch von der Industrie umsetzbare Anforderungen,
die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in
den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.

Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht
berücksichtigten zwei Kernforderungen schon mit gesundem
Menschenverstand eingängig sein. Wir fordern weiterhin:

1\. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden
transparentes, vor dem Erwerb des Gerätes einsehbares
Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden
Software haben. Und dies soll mit besonderem Augenmerk auf die
verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden
Sicherheitslücken geschehen.

2\. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät
sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit
garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine
Router einzuspielen.

Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien
hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange
der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt
werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem
sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller
versagt.

„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer
Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der
Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit
aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem
wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick
bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.

Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der
Sicherheitssituation freigesetzt werden, können sich die Hersteller nun
weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber
zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller
verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen
Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie
gefordert in standardisierter Weise schon auf der Verpackung oder in der
Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim
Kauf in der Regel nicht zur Verfügung.

„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach
zu verstehende Ampel-Darstellung für den Ressourcenverbrauch
vorgeschrieben, dabei können diese nicht einmal das halbe Internet
lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium
an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender
Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren
Plastikroutern der massenhafte Einzug in heimische und betriebliche
Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf
kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.

### Links

-   \[1\] <https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html>
-   \[2\] <https://www.openwrt.org>
-   \[4\] <https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html>
-   \[5\] <https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html>