Vorgaben für Passphrase und Gäste-WLAN

Die Richtlinie enthält darüber hinaus zahlreiche Vorgaben, die die Routersicherheit durch Standardeinstellungen erhöhen soll. So soll sich aus der ESSID (Extended Service Set Identifier) nicht mehr auf der Routermodell schließen lassen. Für die Basic-SSID gilt das jedoch nicht. Die Standardpassphrase für die WLAN-Verschlüsselung (WPA2) soll mindestens 20 Zeichen lang sein und darf ebenfalls nicht von Router-Informationen wie Modellname oder MAC-Adresse abgeleitet sein. Der Nutzer darf die Passphrase nach Belieben ändern. Dabei soll es lediglich einen Mechanismus geben, der ihn auf schwache Kombinationen hinweist. Es gibt jedoch keine Vorgabe, dass die voreingestellte Passphrase nicht mehrfach genutzt werden kann.

Etwas peinlich für ein BSI-Dokument: Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen. Dabei steht OTP in diesem Fall für One-Time-Password. One-Time-Pad ist hingegen ein Einmalschlüssel-Verfahren, "nicht zu verwechseln mit dem Einmal-Passwort-Verfahren", wie es auf Wikipedia heißt.

Eine Anmeldung per WPS-PIN bleibt erlaubt, allerdings sollte diese Funktion standardmäßig deaktiviert sein und bei jeder Anmeldung eine neue PIN generieren. Eine WPS-Anmeldung auf NFC-Basis sollte ebenfalls nur nachträglich aktiviert werden können. Ein Gäste-WLAN darf der TR zufolge keine Verbindung mit Geräten des privaten Netzwerkes ermöglichen. Das Gäste-WLAN darf nicht standardmäßig aktiviert sein und darf keinen Zugang zur Gerätekonfiguration ermöglichen.

Nur noch wenige Dienste zulässig

Für den Zugang der Nutzer zur Gerätekonfiguration fordert die Richtlinie ebenfalls einen guten Passwortschutz. Voreingestellte Passwörter sollten mindestens acht Zeichen lang sein und aus einer Kombination bestimmter Zeichenarten bestehen. Die Passwörter sollen ebenso wie die WPA2-Passwörter nicht von Router-Informationen abgeleitet sein und nicht mehrfach verwendet werden. Die Nutzer können selbst schwache Passwörter verwenden, sollen allerdings davor gewarnt werden.

Eine häufige Schwachstelle bei der Routersicherheit ist zudem die Internetschnittstelle. Der Richtlinie zufolge darf der Router nach der Initialisierung nur noch eine "minimale Auswahl an Diensten" zulassen. Dazu gehört das Fernwartungsprotokoll TR-069 an Port 7547 über TCP und UDP sowie die Voice-over-IP-Dienste an den Ports 5060 und 5061. Die Router sollen zudem das Internet-Protokoll Version 6 (IPv6) unterstützen. Das Mirai-Botnetz hatte 2016 eine Lücke in TR-069 in vielen Routern ausgenutzt. Speedport-Router der Telekom waren wegen der Angriffe massenhaft ausgefallen.

Wenig Vorgaben bei Fernwartung

Was die Fernwartung durch die Hersteller und Provider betrifft, so darf diese bei Ladengeräten nicht voreingestellt sein. Bei Mietgeräten gibt es jedoch keine Vorgaben. So müssen die Nutzer nicht informiert werden, wenn der Provider oder der Hersteller auf den Router zugegriffen hat oder zugreift. Eine Zustimmung ist ebenfalls nicht erforderlich.

Insgesamt enthält die TR daher einige sinnvolle Punkte, die von Router-Herstellern wie AVM in der Regel bisher schon umgesetzt werden. Für BSI-Präsident Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen sein soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher soll das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
  1.  
  2. 1
  3. 2


das_mav 27. Dez 2018

Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...

cyzen 18. Nov 2018

AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...

Cok3.Zer0 17. Nov 2018

Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...



Aktuell auf der Startseite von Golem.de
Discounter
Netto bringt Balkonkraftwerk mit 820 Watt Peak

Netto hat ein Balkonkraftwerk mit 820 Watt (Peak) im Angebot, das direkt an eine Steckdose angeschlossen werden kann und die Stromrechnung reduzieren soll.

Discounter: Netto bringt Balkonkraftwerk mit 820 Watt Peak
Artikel
  1. 25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
    25 Jahre Starship Troopers
    Paul Verhoevens missverstandene Satire

    Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
    Von Peter Osteried

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. OpenAI: ChatGPT-Firma lässt Programmierer die KI trainieren
    OpenAI
    ChatGPT-Firma lässt Programmierer die KI trainieren

    OpenAI, das Unternehmen hinter ChatGPT, hat Hunderte von Freiberuflern aus Schwellenländern zum Trainieren von Programmierfähigkeiten der KI eingesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /