BSI-Richtlinie: CCC und OpenWRT kritisieren Router-TR als "Farce"

Der Chaos Computer Club (CCC) und die Entwickler von OpenWRT kritisieren die neue BSI-Richtlinie zur Routersicherheit scharf. "Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert. Die Käufer sollen keine sinnvolle Möglichkeit bekommen, sichere und langlebige Geräte von Risiko-Routern zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen", heißt es in der am Montag veröffentlichten Stellungnahme. Die Regelung biete nur so viel Sicherheit, "wie es den Herstellern gefällt - sofern sie sich entscheiden, der Richtlinie zu entsprechen".

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte die Technische Richtlinie TR-03148 am vergangenen Freitag veröffentlicht. Demnach müssen die Hersteller das sogenannte Mindesthaltbarkeitsdatum nicht auf der Verpackung angeben. "Diese Information sollte auf der Webseite des Herstellers verfügbar sein", heißt es in dem 22-seitigen Dokument (PDF). Zudem sollen die Router lediglich optional die Möglichkeit bieten, die Installation einer Kundenfirmware zuzulassen. Damit ist es jedem Hersteller selbst überlassen, die Installation von Software wie OpenWRT/LEDE zu erlauben.

Lobbygruppen sabotieren IT-Sicherheit

Damit erweise sich die Router-TR "als Farce", heißt es in der Stellungnahme. "Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller versagt", schreibt der CCC.

Verantwortlich für die Defizite der Richtlinie seien die Lobbygruppen der Hersteller und Netzbetreiber gewesen. Insbesondere der Verband Deutscher Kabelnetzbetreiber Anga versuchte laut CCC "mit bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren". Der CCC hatte bereits Ende 2017 dem Verband "Lobbying-Sabotage" vorgeworfen. Da die beteiligten Verbände zum Stillschweigen verpflichtet waren, war es für die Öffentlichkeit nicht möglich, die Diskussion zu verfolgen und einzelne Entwürfe zu diskutieren.

Router-TR als Vorstufe für BSI-Siegel

Dass sich nun die Interessen der Netzbetreiber und Hersteller durchgesetzt hätten, "lässt deutliche Zweifel an der Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick bleiben", sagte Hauke Mehrtens vom OpenWRT-Projekt.

Mirko Vogt vom CCC kritisierte: "Statt dem Verbraucher ein wichtiges Differenzierungskriterium an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren Plastikroutern der massenhafte Einzug in heimische und betriebliche Netzwerke geebnet, nur diesmal mit BSI-Siegel - künftige Angriffe auf kritische Infrastruktur inbegriffen."

Für BSI-Präsident Arne Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen werden soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.