BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
Das BSI hat mit einigen Monaten Verzögerung seine Richtlinie für die Router-sicherheit veröffentlicht. Neben vielen sinnvollen Punkten enthält sie aber auch Vorgaben, die den Herstellern und Providern sehr entgegenkommen.

Die neue technische Richtlinie für die Routersicherheit (Router-TR) kommt den Geräteherstellern weit entgegen. Der am Freitag veröffentlichten englischsprachigen Fassung (PDF) zufolge müssen die Hersteller das sogenannte Mindesthaltbarkeitsdatum nicht auf der Verpackung angeben. "Diese Information sollte auf der Webseite des Hersteller verfügbar sein", heißt es in der Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI).
- BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
- Vorgaben für Passphrase und Gäste-WLAN
Die 22-seitige Richtlinie (BSI TR-03148) sollte ursprünglich Mitte dieses Jahres veröffentlicht werden. Laut BSI-Präsident Arne Schönbohm war sie schon im Mai 2018 fertig, es gab jedoch noch "verschiedene Diskussionen mit bestimmten Telekommunikationsunternehmen und anderen, die eine sehr unterschiedliche Sichtweise davon hatten."
Kein Mindesthaltbarkeitsdatum auf der Verpackung
Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport. Die Hersteller müssen lediglich angeben, wie lange sie gängige Schwachstellen und größere Sicherheitsrisiken mit kombiniertem CVSS-Wert von mehr als 6,0 beheben. Diese Angabe könnte auch auf der Routerkonfiguration des Nutzers zu finden sein, muss sie aber nicht.
Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."
Lebenslanger Support gefordert
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hatte in einem Forderungskatalog (PDF) zur Sicherheit von Internet-of-Things-Geräten (IoT-Geräten) hingegen empfohlen, "die Geräte mit einem Aufdruck zu versehen." Der Verbraucherzentrale Bundesverband (VZBV) forderte sogar kostenfreie Sicherheitsupdates "während der gesamten tatsächlichen Nutzungsdauer digitaler Produkte".
Ein aufgedrucktes Support-Ende auf der Verpackung würde für die Hersteller bedeuten: Liegt ein Gerät bei einem Händler länger im Regal, kann der Support schon beim Verkauf abgelaufen sein. Garantiert der Hersteller jedoch einen mehrjährigen Support ab Verkauf, könnte er in die Verlegenheit kommen, nur für wenige spät verkaufte Geräte noch die Firmware pflegen zu müssen - falls er überhaupt vom Verkaufszeitpunkt erfährt.
Kundeneigene Firmware nicht verpflichtend
Nicht erfüllt wird auch die Forderung des CCC nach einer verpflichtenden Fähigkeit zum Einspielen kundeneigener Firmware. Dieses Thema wird fast vollständig ausgespart. Die Router sollen lediglich optional die Möglichkeit bieten, die Installation unsignierter Kundenfirmware nach einem Warnhinweis zuzulassen. Damit ist es jedem Hersteller selbst überlassen, die Installation von Software wie OpenWRT/LEDE zu erlauben.
Generell sollen die Nutzer die "volle Kontrolle" über Firmware-Updates haben. Sie sollen selbst entscheiden können, ob sie beispielsweise manuell oder automatisch nach neuer Software suchen und diese installieren lassen. Eine automatische Suche sollte standardmäßig aktiviert sein, jedoch deaktiviert werden können. Sowohl bei automatischen als auch manuellen Updates soll eine digitale Signatur erforderlich sein.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Vorgaben für Passphrase und Gäste-WLAN |
- 1
- 2
Doch, Apple.
Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...
AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...
Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...
In dem Artikel gehts im Wesentlichen Um Softwareupdates