BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken

Die neue technische Richtlinie für die Routersicherheit (Router-TR) kommt den Geräteherstellern weit entgegen. Der am Freitag veröffentlichten englischsprachigen Fassung (PDF) zufolge müssen die Hersteller das sogenannte Mindesthaltbarkeitsdatum nicht auf der Verpackung angeben. "Diese Information sollte auf der Webseite des Hersteller verfügbar sein", heißt es in der Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die 22-seitige Richtlinie (BSI TR-03148) sollte ursprünglich Mitte dieses Jahres veröffentlicht werden. Laut BSI-Präsident Arne Schönbohm war sie schon im Mai 2018 fertig, es gab jedoch noch "verschiedene Diskussionen mit bestimmten Telekommunikationsunternehmen und anderen, die eine sehr unterschiedliche Sichtweise davon hatten."

Kein Mindesthaltbarkeitsdatum auf der Verpackung

Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport. Die Hersteller müssen lediglich angeben, wie lange sie gängige Schwachstellen und größere Sicherheitsrisiken mit kombiniertem CVSS-Wert von mehr als 6,0 beheben. Diese Angabe könnte auch auf der Routerkonfiguration des Nutzers zu finden sein, muss sie aber nicht.

Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."

Lebenslanger Support gefordert

Stellenmarkt

1. Robert Bosch GmbH, Stuttgart
2. CSL Behring GmbH, Marburg, Hattersheim am Main

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hatte in einem Forderungskatalog (PDF) zur Sicherheit von Internet-of-Things-Geräten (IoT-Geräten) hingegen empfohlen, "die Geräte mit einem Aufdruck zu versehen." Der Verbraucherzentrale Bundesverband (VZBV) forderte sogar kostenfreie Sicherheitsupdates "während der gesamten tatsächlichen Nutzungsdauer digitaler Produkte".

Ein aufgedrucktes Support-Ende auf der Verpackung würde für die Hersteller bedeuten: Liegt ein Gerät bei einem Händler länger im Regal, kann der Support schon beim Verkauf abgelaufen sein. Garantiert der Hersteller jedoch einen mehrjährigen Support ab Verkauf, könnte er in die Verlegenheit kommen, nur für wenige spät verkaufte Geräte noch die Firmware pflegen zu müssen - falls er überhaupt vom Verkaufszeitpunkt erfährt.

Kundeneigene Firmware nicht verpflichtend

Nicht erfüllt wird auch die Forderung des CCC nach einer verpflichtenden Fähigkeit zum Einspielen kundeneigener Firmware. Dieses Thema wird fast vollständig ausgespart. Die Router sollen lediglich optional die Möglichkeit bieten, die Installation unsignierter Kundenfirmware nach einem Warnhinweis zuzulassen. Damit ist es jedem Hersteller selbst überlassen, die Installation von Software wie OpenWRT/LEDE zu erlauben.

Generell sollen die Nutzer die "volle Kontrolle" über Firmware-Updates haben. Sie sollen selbst entscheiden können, ob sie beispielsweise manuell oder automatisch nach neuer Software suchen und diese installieren lassen. Eine automatische Suche sollte standardmäßig aktiviert sein, jedoch deaktiviert werden können. Sowohl bei automatischen als auch manuellen Updates soll eine digitale Signatur erforderlich sein.