• IT-Karriere:
  • Services:

Vorgaben für Passphrase und Gäste-WLAN

Die Richtlinie enthält darüber hinaus zahlreiche Vorgaben, die die Routersicherheit durch Standardeinstellungen erhöhen soll. So soll sich aus der ESSID (Extended Service Set Identifier) nicht mehr auf der Routermodell schließen lassen. Für die Basic-SSID gilt das jedoch nicht. Die Standardpassphrase für die WLAN-Verschlüsselung (WPA2) soll mindestens 20 Zeichen lang sein und darf ebenfalls nicht von Router-Informationen wie Modellname oder MAC-Adresse abgeleitet sein. Der Nutzer darf die Passphrase nach Belieben ändern. Dabei soll es lediglich einen Mechanismus geben, der ihn auf schwache Kombinationen hinweist. Es gibt jedoch keine Vorgabe, dass die voreingestellte Passphrase nicht mehrfach genutzt werden kann.

Stellenmarkt
  1. AWEK GmbH, Hamburg-Hammerbrook
  2. noris network AG, Nürnberg, Aschheim (bei München), München, Berlin

Etwas peinlich für ein BSI-Dokument: Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen. Dabei steht OTP in diesem Fall für One-Time-Password. One-Time-Pad ist hingegen ein Einmalschlüssel-Verfahren, "nicht zu verwechseln mit dem Einmal-Passwort-Verfahren", wie es auf Wikipedia heißt.

Eine Anmeldung per WPS-PIN bleibt erlaubt, allerdings sollte diese Funktion standardmäßig deaktiviert sein und bei jeder Anmeldung eine neue PIN generieren. Eine WPS-Anmeldung auf NFC-Basis sollte ebenfalls nur nachträglich aktiviert werden können. Ein Gäste-WLAN darf der TR zufolge keine Verbindung mit Geräten des privaten Netzwerkes ermöglichen. Das Gäste-WLAN darf nicht standardmäßig aktiviert sein und darf keinen Zugang zur Gerätekonfiguration ermöglichen.

Nur noch wenige Dienste zulässig

Für den Zugang der Nutzer zur Gerätekonfiguration fordert die Richtlinie ebenfalls einen guten Passwortschutz. Voreingestellte Passwörter sollten mindestens acht Zeichen lang sein und aus einer Kombination bestimmter Zeichenarten bestehen. Die Passwörter sollen ebenso wie die WPA2-Passwörter nicht von Router-Informationen abgeleitet sein und nicht mehrfach verwendet werden. Die Nutzer können selbst schwache Passwörter verwenden, sollen allerdings davor gewarnt werden.

Eine häufige Schwachstelle bei der Routersicherheit ist zudem die Internetschnittstelle. Der Richtlinie zufolge darf der Router nach der Initialisierung nur noch eine "minimale Auswahl an Diensten" zulassen. Dazu gehört das Fernwartungsprotokoll TR-069 an Port 7547 über TCP und UDP sowie die Voice-over-IP-Dienste an den Ports 5060 und 5061. Die Router sollen zudem das Internet-Protokoll Version 6 (IPv6) unterstützen. Das Mirai-Botnetz hatte 2016 eine Lücke in TR-069 in vielen Routern ausgenutzt. Speedport-Router der Telekom waren wegen der Angriffe massenhaft ausgefallen.

Wenig Vorgaben bei Fernwartung

Was die Fernwartung durch die Hersteller und Provider betrifft, so darf diese bei Ladengeräten nicht voreingestellt sein. Bei Mietgeräten gibt es jedoch keine Vorgaben. So müssen die Nutzer nicht informiert werden, wenn der Provider oder der Hersteller auf den Router zugegriffen hat oder zugreift. Eine Zustimmung ist ebenfalls nicht erforderlich.

Insgesamt enthält die TR daher einige sinnvolle Punkte, die von Router-Herstellern wie AVM in der Regel bisher schon umgesetzt werden. Für BSI-Präsident Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen sein soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher soll das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
  1.  
  2. 1
  3. 2
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Tutorial
    Portscans durch Webseiten unterbinden
  2. Streaming
    Spotify plant Preiserhöhung
  3. ProtectPhoto
    Gesichtserkennung bei Gruppenfotos technisch austricksen
  4. Motor und 60-kWh-Akku
    Chevrolet plant Elektroauto-Selbstbausätze
  5. In eigener Sache
    Golem-PCs mit RTX 3070 günstiger und schneller
Anzeige
Hardware-Angebote
  4. täglich neue Deals bei Alternate.de
Kommentarübersicht
Re: Jesus, Maria und Joseph! - Lobbying at it's...
das_mav 27. Dez 2018

Doch, Apple.

Re: Nicht mehr wirtschaftlich
das_mav 27. Dez 2018

Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...

FRITZ!Box schlechtes Titelbild ...
cyzen 18. Nov 2018

AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...

Re: Da die meisten Leute inzwischen so etwas...
Cok3.Zer0 17. Nov 2018

Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...

Re: Würde sowas nicht den Preis auch steigern?
johnripper 17. Nov 2018

In dem Artikel gehts im Wesentlichen Um Softwareupdates

Folgen Sie uns
       
Cowboy 3 versus Vanmoof S3 - Test der Purismus-Pedelecs

Gibt es nur Platz für einen in dieser Stadt?

Cowboy 3 versus Vanmoof S3 - Test der Purismus-Pedelecs Video aufrufen
Android
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion
Android-ROM
CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen
Hue
Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /