• IT-Karriere:
  • Services:

Vorgaben für Passphrase und Gäste-WLAN

Die Richtlinie enthält darüber hinaus zahlreiche Vorgaben, die die Routersicherheit durch Standardeinstellungen erhöhen soll. So soll sich aus der ESSID (Extended Service Set Identifier) nicht mehr auf der Routermodell schließen lassen. Für die Basic-SSID gilt das jedoch nicht. Die Standardpassphrase für die WLAN-Verschlüsselung (WPA2) soll mindestens 20 Zeichen lang sein und darf ebenfalls nicht von Router-Informationen wie Modellname oder MAC-Adresse abgeleitet sein. Der Nutzer darf die Passphrase nach Belieben ändern. Dabei soll es lediglich einen Mechanismus geben, der ihn auf schwache Kombinationen hinweist. Es gibt jedoch keine Vorgabe, dass die voreingestellte Passphrase nicht mehrfach genutzt werden kann.

Stellenmarkt
  1. Continental AG, Regensburg
  2. Deutsche Rentenversicherung Bund, Berlin

Etwas peinlich für ein BSI-Dokument: Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen. Dabei steht OTP in diesem Fall für One-Time-Password. One-Time-Pad ist hingegen ein Einmalschlüssel-Verfahren, "nicht zu verwechseln mit dem Einmal-Passwort-Verfahren", wie es auf Wikipedia heißt.

Eine Anmeldung per WPS-PIN bleibt erlaubt, allerdings sollte diese Funktion standardmäßig deaktiviert sein und bei jeder Anmeldung eine neue PIN generieren. Eine WPS-Anmeldung auf NFC-Basis sollte ebenfalls nur nachträglich aktiviert werden können. Ein Gäste-WLAN darf der TR zufolge keine Verbindung mit Geräten des privaten Netzwerkes ermöglichen. Das Gäste-WLAN darf nicht standardmäßig aktiviert sein und darf keinen Zugang zur Gerätekonfiguration ermöglichen.

Nur noch wenige Dienste zulässig

Für den Zugang der Nutzer zur Gerätekonfiguration fordert die Richtlinie ebenfalls einen guten Passwortschutz. Voreingestellte Passwörter sollten mindestens acht Zeichen lang sein und aus einer Kombination bestimmter Zeichenarten bestehen. Die Passwörter sollen ebenso wie die WPA2-Passwörter nicht von Router-Informationen abgeleitet sein und nicht mehrfach verwendet werden. Die Nutzer können selbst schwache Passwörter verwenden, sollen allerdings davor gewarnt werden.

Eine häufige Schwachstelle bei der Routersicherheit ist zudem die Internetschnittstelle. Der Richtlinie zufolge darf der Router nach der Initialisierung nur noch eine "minimale Auswahl an Diensten" zulassen. Dazu gehört das Fernwartungsprotokoll TR-069 an Port 7547 über TCP und UDP sowie die Voice-over-IP-Dienste an den Ports 5060 und 5061. Die Router sollen zudem das Internet-Protokoll Version 6 (IPv6) unterstützen. Das Mirai-Botnetz hatte 2016 eine Lücke in TR-069 in vielen Routern ausgenutzt. Speedport-Router der Telekom waren wegen der Angriffe massenhaft ausgefallen.

Wenig Vorgaben bei Fernwartung

Was die Fernwartung durch die Hersteller und Provider betrifft, so darf diese bei Ladengeräten nicht voreingestellt sein. Bei Mietgeräten gibt es jedoch keine Vorgaben. So müssen die Nutzer nicht informiert werden, wenn der Provider oder der Hersteller auf den Router zugegriffen hat oder zugreift. Eine Zustimmung ist ebenfalls nicht erforderlich.

Insgesamt enthält die TR daher einige sinnvolle Punkte, die von Router-Herstellern wie AVM in der Regel bisher schon umgesetzt werden. Für BSI-Präsident Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen sein soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher soll das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
  1.  
  2. 1
  3. 2
Zu den Kommentaren springen
Meistgelesen
  1. Besuch bei Justwatch
    Größte Streaming-Suchmaschine ohne echte Konkurrenz
  2. US-Unfallbehörde
    NTSB gibt Tesla und Apple Mitschuld an tödlichem Unfall
  3. Coronavirus
    Amazon geht gegen überteuerte Mundschutzmasken vor
  4. Carbon 1 Mk II im Hands-on
    Das federleichte Kohlenstofffaser-Smartphone aus Berlin
  5. Behördenwebseiten
    Corona-Informationen laden nur langsam
Anzeige
Hardware-Angebote
  2. täglich neue Deals bei Alternate.de
Kommentarübersicht
Re: Jesus, Maria und Joseph! - Lobbying at it's...
das_mav 27. Dez 2018

Doch, Apple.

Re: Nicht mehr wirtschaftlich
das_mav 27. Dez 2018

Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...

FRITZ!Box schlechtes Titelbild ...
cyzen 18. Nov 2018

AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...

Re: Da die meisten Leute inzwischen so etwas...
Cok3.Zer0 17. Nov 2018

Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...

Re: Würde sowas nicht den Preis auch steigern?
johnripper 17. Nov 2018

In dem Artikel gehts im Wesentlichen Um Softwareupdates

Folgen Sie uns
       
Lenovo Thinkpad X1 Fold angesehen (CES 2020)

Das Tablet mit faltbarem Display läuft mit Windows 10X und soll Mitte 2020 in den Handel kommen.

Lenovo Thinkpad X1 Fold angesehen (CES 2020) Video aufrufen
Netzpolitik
Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben
Elektroauto
Elektroautos: Die elektrischste Tiefgarage Deutschlands
Elektroautos
Die elektrischste Tiefgarage Deutschlands

Was muss passieren, damit in zehn Jahren fast jeder in der Tiefgarage sein Elektroauto laden kann? Ein Pilotprojekt bei Stuttgart soll herausfinden, welcher Aufwand auf Netzbetreiber und Eigentümer und Mieter zukommen könnte.
Ein Bericht von Friedhelm Greis

  1. Renault Elektro-Twingo soll nicht schnellladefähig sein
  2. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  3. Renault City K-ZE Dacia plant City-Elektroauto
Akku
Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /