Vorgaben für Passphrase und Gäste-WLAN

Die Richtlinie enthält darüber hinaus zahlreiche Vorgaben, die die Routersicherheit durch Standardeinstellungen erhöhen soll. So soll sich aus der ESSID (Extended Service Set Identifier) nicht mehr auf der Routermodell schließen lassen. Für die Basic-SSID gilt das jedoch nicht. Die Standardpassphrase für die WLAN-Verschlüsselung (WPA2) soll mindestens 20 Zeichen lang sein und darf ebenfalls nicht von Router-Informationen wie Modellname oder MAC-Adresse abgeleitet sein. Der Nutzer darf die Passphrase nach Belieben ändern. Dabei soll es lediglich einen Mechanismus geben, der ihn auf schwache Kombinationen hinweist. Es gibt jedoch keine Vorgabe, dass die voreingestellte Passphrase nicht mehrfach genutzt werden kann.

Stellenmarkt
  1. Senior Software Entwickler (m/w/d) mit Schwerpunkt PLC
    SUSS MicroTec Lithography GmbH, Garching bei München
  2. Data Scientist (m/w/d) für elektrische Anlagen und Netze im Asset Management
    Amprion GmbH, Dortmund
Detailsuche

Etwas peinlich für ein BSI-Dokument: Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen. Dabei steht OTP in diesem Fall für One-Time-Password. One-Time-Pad ist hingegen ein Einmalschlüssel-Verfahren, "nicht zu verwechseln mit dem Einmal-Passwort-Verfahren", wie es auf Wikipedia heißt.

Eine Anmeldung per WPS-PIN bleibt erlaubt, allerdings sollte diese Funktion standardmäßig deaktiviert sein und bei jeder Anmeldung eine neue PIN generieren. Eine WPS-Anmeldung auf NFC-Basis sollte ebenfalls nur nachträglich aktiviert werden können. Ein Gäste-WLAN darf der TR zufolge keine Verbindung mit Geräten des privaten Netzwerkes ermöglichen. Das Gäste-WLAN darf nicht standardmäßig aktiviert sein und darf keinen Zugang zur Gerätekonfiguration ermöglichen.

Nur noch wenige Dienste zulässig

Für den Zugang der Nutzer zur Gerätekonfiguration fordert die Richtlinie ebenfalls einen guten Passwortschutz. Voreingestellte Passwörter sollten mindestens acht Zeichen lang sein und aus einer Kombination bestimmter Zeichenarten bestehen. Die Passwörter sollen ebenso wie die WPA2-Passwörter nicht von Router-Informationen abgeleitet sein und nicht mehrfach verwendet werden. Die Nutzer können selbst schwache Passwörter verwenden, sollen allerdings davor gewarnt werden.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
Weitere IT-Trainings

Eine häufige Schwachstelle bei der Routersicherheit ist zudem die Internetschnittstelle. Der Richtlinie zufolge darf der Router nach der Initialisierung nur noch eine "minimale Auswahl an Diensten" zulassen. Dazu gehört das Fernwartungsprotokoll TR-069 an Port 7547 über TCP und UDP sowie die Voice-over-IP-Dienste an den Ports 5060 und 5061. Die Router sollen zudem das Internet-Protokoll Version 6 (IPv6) unterstützen. Das Mirai-Botnetz hatte 2016 eine Lücke in TR-069 in vielen Routern ausgenutzt. Speedport-Router der Telekom waren wegen der Angriffe massenhaft ausgefallen.

Wenig Vorgaben bei Fernwartung

Was die Fernwartung durch die Hersteller und Provider betrifft, so darf diese bei Ladengeräten nicht voreingestellt sein. Bei Mietgeräten gibt es jedoch keine Vorgaben. So müssen die Nutzer nicht informiert werden, wenn der Provider oder der Hersteller auf den Router zugegriffen hat oder zugreift. Eine Zustimmung ist ebenfalls nicht erforderlich.

Insgesamt enthält die TR daher einige sinnvolle Punkte, die von Router-Herstellern wie AVM in der Regel bisher schon umgesetzt werden. Für BSI-Präsident Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen sein soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher soll das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
  1.  
  2. 1
  3. 2


das_mav 27. Dez 2018

Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...

cyzen 18. Nov 2018

AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...

Cok3.Zer0 17. Nov 2018

Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...

johnripper 17. Nov 2018

In dem Artikel gehts im Wesentlichen Um Softwareupdates



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Ubisoft: Breakpoint bekommt Ausrüstung aus der Blockchain
    Ubisoft
    Breakpoint bekommt Ausrüstung aus der Blockchain

    Sogar eine Nummer ist digital eingraviert: Ubisoft startet in Ghost Recon Breakpoint ein Experiment mit einzigartigen Helmen und Waffen.

  2. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  3. Tim Cook: Apple traf geheime Absprache mit chinesischer Regierung
    Tim Cook
    Apple traf geheime Absprache mit chinesischer Regierung

    Tim Cook soll 2016 in China für Apple lobbyiert haben - der Deal soll 275 Milliarden US-Dollar wert sein. Öffentlich gemacht wurde die Absprache nicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /