BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken

Das BSI hat mit einigen Monaten Verzögerung seine Richtlinie für die Router-sicherheit veröffentlicht. Neben vielen sinnvollen Punkten enthält sie aber auch Vorgaben, die den Herstellern und Providern sehr entgegenkommen.

Eine Analyse von veröffentlicht am
Das BSI hat neue Vorgaben für die Routersicherheit veröffentlicht.
Das BSI hat neue Vorgaben für die Routersicherheit veröffentlicht. (Bild: AVM)

Die neue technische Richtlinie für die Routersicherheit (Router-TR) kommt den Geräteherstellern weit entgegen. Der am Freitag veröffentlichten englischsprachigen Fassung (PDF) zufolge müssen die Hersteller das sogenannte Mindesthaltbarkeitsdatum nicht auf der Verpackung angeben. "Diese Information sollte auf der Webseite des Hersteller verfügbar sein", heißt es in der Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Inhalt:
  1. BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken
  2. Vorgaben für Passphrase und Gäste-WLAN

Die 22-seitige Richtlinie (BSI TR-03148) sollte ursprünglich Mitte dieses Jahres veröffentlicht werden. Laut BSI-Präsident Arne Schönbohm war sie schon im Mai 2018 fertig, es gab jedoch noch "verschiedene Diskussionen mit bestimmten Telekommunikationsunternehmen und anderen, die eine sehr unterschiedliche Sichtweise davon hatten."

Kein Mindesthaltbarkeitsdatum auf der Verpackung

Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport. Die Hersteller müssen lediglich angeben, wie lange sie gängige Schwachstellen und größere Sicherheitsrisiken mit kombiniertem CVSS-Wert von mehr als 6,0 beheben. Diese Angabe könnte auch auf der Routerkonfiguration des Nutzers zu finden sein, muss sie aber nicht.

Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."

Lebenslanger Support gefordert

Stellenmarkt
  1. Full Stack Developer / Softwareentwickler (m/w/d) Data Platform/E-Commerce
    PTV Group, Karlsruhe
  2. Team Lead Cloud Power Solutions (w/m/d)
    SMF GmbH, Dortmund
Detailsuche

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hatte in einem Forderungskatalog (PDF) zur Sicherheit von Internet-of-Things-Geräten (IoT-Geräten) hingegen empfohlen, "die Geräte mit einem Aufdruck zu versehen." Der Verbraucherzentrale Bundesverband (VZBV) forderte sogar kostenfreie Sicherheitsupdates "während der gesamten tatsächlichen Nutzungsdauer digitaler Produkte".

Ein aufgedrucktes Support-Ende auf der Verpackung würde für die Hersteller bedeuten: Liegt ein Gerät bei einem Händler länger im Regal, kann der Support schon beim Verkauf abgelaufen sein. Garantiert der Hersteller jedoch einen mehrjährigen Support ab Verkauf, könnte er in die Verlegenheit kommen, nur für wenige spät verkaufte Geräte noch die Firmware pflegen zu müssen - falls er überhaupt vom Verkaufszeitpunkt erfährt.

Kundeneigene Firmware nicht verpflichtend

Nicht erfüllt wird auch die Forderung des CCC nach einer verpflichtenden Fähigkeit zum Einspielen kundeneigener Firmware. Dieses Thema wird fast vollständig ausgespart. Die Router sollen lediglich optional die Möglichkeit bieten, die Installation unsignierter Kundenfirmware nach einem Warnhinweis zuzulassen. Damit ist es jedem Hersteller selbst überlassen, die Installation von Software wie OpenWRT/LEDE zu erlauben.

Generell sollen die Nutzer die "volle Kontrolle" über Firmware-Updates haben. Sie sollen selbst entscheiden können, ob sie beispielsweise manuell oder automatisch nach neuer Software suchen und diese installieren lassen. Eine automatische Suche sollte standardmäßig aktiviert sein, jedoch deaktiviert werden können. Sowohl bei automatischen als auch manuellen Updates soll eine digitale Signatur erforderlich sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Vorgaben für Passphrase und Gäste-WLAN 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Sicherheitslücken
Router von D-Link können komplett übernommen werden
artikel-bild
TP-Link
Router für das Kabelnetz bleibt in Vorbereitung
artikel-bild
BSI-Lagebericht
Die bösen Hacker und das fliegende Einhorn
artikel-bild
BSI
Richtlinie zu Routersicherheit kommt Anfang November
artikel-bild
Xiongmai
Millionen IoT-Kameras immer noch angreifbar im Netz
Meistgelesen
artikel-bild
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft
artikel-bild
20 Jahre Windows XP
Der letzte XP-Fan
artikel-bild
Apple-Software-Updates
iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar
artikel-bild
Desktop-Betriebssystem
Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
artikel-bild
iPhone
Anker bringt neues Magsafe-Zubehör
Kommentarübersicht
Re: Jesus, Maria und Joseph! - Lobbying at it's...
das_mav 27. Dez 2018

Doch, Apple.

Re: Nicht mehr wirtschaftlich
das_mav 27. Dez 2018

Da sei' mal nicht so sicher. Gerade was AndroidUpdates angeht inkl. eben der...

FRITZ!Box schlechtes Titelbild ...
cyzen 18. Nov 2018

AVM ist z.B. mit seiner FRITZ!Box 7390 nun im 10 Jahr Support. Geht doch und sogar "made...

Re: Da die meisten Leute inzwischen so etwas...
Cok3.Zer0 17. Nov 2018

Ja, mit Hinweis an Normalos, dass man ggf. mal selbst schauen sollte, ob Updates...

Re: Würde sowas nicht den Preis auch steigern?
johnripper 17. Nov 2018

In dem Artikel gehts im Wesentlichen Um Softwareupdates

Aktuell auf der Startseite von Golem.de
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft

Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
Ein Test von Tobias Költzsch

Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
Artikel
  1. Apple-Software-Updates: iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar
    Apple-Software-Updates
    iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar

    Die ersten größeren Aktualisierungen für iPhone, iPad, Apple Watch und Apple TV sind da. Wer das iPhone 13 verwendet, profitiert besonders.

  2. Desktop-Betriebssystem: Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
    Desktop-Betriebssystem
    Apple MacOS Monterey mit neuem Safari und Fokus-Funktion

    Apple hat die finale Version seines Mac-Betriebssystems MacOS Monterey veröffentlicht. Dabei sind ein neuer Safari-Browser und eine Konzentrationsfunktion.

  3. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /