CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend
1. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden transparentes, vor dem Erwerb des Gerätes einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden Software haben. Und dies soll mit besonderem
[Anmerkung: Chaos Siegen ist ein Chaostreff und damit Teil der Chaos-Familie. Die Beiträge der Pressesprecher des CCC e. V. sprechen auch für uns und sind uns wichtig. Quelle]
Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat die freiwillige technische Richtlinie TR-03148 „Sichere Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer eigentlich ein Mindestmaß an IT- Sicherheit zugesichert werden. Die tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu entsprechen. [1]
Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren Mehrwert für den Verbraucher als sicher.
Dabei hätte insbesondere mit Blick auf die unlängst beobachteten massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen Ausfall der Router zur Folge hatten. [4] Auch im Lichte der Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen sinnvoll entgegenwirken könnte.
An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter des Chaos Computer Clubs (CCC) sowie Entwickler der freien Linux-Distribution für WLAN-Router OpenWrt [2] teil, um das Schlimmste zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst grundlegende und realistisch von der Industrie umsetzbare Anforderungen, die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.
Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht berücksichtigten zwei Kernforderungen schon mit gesundem Menschenverstand eingängig sein. Wir fordern weiterhin:
- Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden transparentes, vor dem Erwerb des Gerätes einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden Software haben. Und dies soll mit besonderem Augenmerk auf die verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden Sicherheitslücken geschehen.
- Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine Router einzuspielen.
Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller versagt.
„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.
Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der Sicherheitssituation freigesetzt werden, können sich die Hersteller nun weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie gefordert in standardisierter Weise schon auf der Verpackung oder in der Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim Kauf in der Regel nicht zur Verfügung.
„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach zu verstehende Ampel-Darstellung für den Ressourcenverbrauch vorgeschrieben, dabei können diese nicht einmal das halbe Internet lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren Plastikroutern der massenhafte Einzug in heimische und betriebliche Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.
Links
- [1] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html
- [2] https://www.openwrt.org
- [4] https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html
- [5] https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html