Abo
  • Services:
Anzeige
Löchrig wie ein Schweizer Käse erscheinen viele Router.
Löchrig wie ein Schweizer Käse erscheinen viele Router. (Bild: Sean Gallup/Getty Images)

Kaum möglich, alle Fehler zu finden

Anzeige

Ein weiteres Einfallstor für unsichere Software sind die Sonderwünsche von Providern. Viele Telekommunikationsunternehmen bieten inzwischen eigene Routermodelle an, die auf den Standardgeräten der Hersteller basieren. Die Firmware wird aber häufig auf die Bedürfnisse der Provider angepasst, die sich beispielsweise für den Support einen direkten Zugriff auf die Box sichern wollen. Auch bei diesen Modifikationen steht die Sicherheit nicht unbedingt an erster Stelle. Komfort geht häufig vor. Die Provider entwickeln je nach Hersteller zum Teil ihre Firmware selbst, zum Teil werden aber auch Funktionen der Geräte deaktiviert.

Garbsch nimmt die Hersteller sogar ein bisschen in Schutz: "Bei einem Code von einigen hunderttausend Zeilen ist es nahezu unmöglich, alle Fehler zu finden." Es sei daher selbstverständlich, dass solche komplexen Systeme nicht fehlerfrei seien. Ähnlich äußerte sich der Sicherheitsexperte Michael Messner auf der Sigint 2013. Er erwartet von den Herstellern gar keine Hochsicherheitsgeräte, sondern hält ein mittleres Sicherheitsniveau für ausreichend. Für den Nutzer stellt sich dann aber die Frage, ob er das Risiko eingehen will, eine solche Technik einzusetzen. Unverzichtbar ist in diesem Fall, Sicherheitspatches möglichst schnell einzuspielen. "Das Hauptproblem wird sein, dass viele Nutzer weder wissen, dass man Updates einspielen kann, noch es tun", sagte Garbsch.

Hersteller müssen besser über Updates informieren

Die Nutzer stehen dabei vor einem Dilemma. Es gibt zwar auf der einen Seite die Möglichkeit, über den Standard TR-069 automatisch Updates aufspielen zu lassen. Doch wenn dieser Zugang permanent offen ist, gibt man dem Provider große Zugriffsmöglichkeiten. Mehrere Provider bieten auf dieser Basis automatische Updates an, so beispielsweise die Deutsche Telekom mit Easy Support für die Speedport-Router. Nutzer von Zwangsroutern der Kabelnetzbetreiber haben ohnehin keine Möglichkeit, selbstständig ihre Firmware zu aktualisieren.

Bei Fritzboxen im freien Handel lässt sich TR-069 nicht aktivieren. AVM prüft angesichts der jüngsten Sicherheitspanne jedoch, ob es in Zukunft einen solchen Weg für Updates geben soll. Messner kritisiert die Update-Politik vieler Hersteller. Oft würden Aktualisierungen nicht kommuniziert, oder es werde in den Release Notes nicht auf geschlossene Sicherheitslücken hingewiesen. Garbsch warnt zudem vor gefälschten Updates aus nicht vertrauenswürdigen Quellen. Es sei auch nicht auszuschließen, dass Geheimdienste mit Man-in-the-middle-Angriffen manipulierte Firmware-Updates verbreiteten.

 Viele Ursachen für SicherheitslückenHaftung für Sicherheitsmängel möglich 

eye home zur Startseite
McHansy 10. Mär 2014

Das Glaube ich nicht. Zum einen weil der deutsche Markt sehr Finanzkräftig ist und zu...

Anonymer Nutzer 08. Mär 2014

Ja als ich den Käse sah dachte ich auch sofort "den will ich haben" O_O So lecker <3

HansHorstensen 05. Mär 2014

das sehe ich anders. wenn sicherheitslücken nicht entdeckt werden würden, wären sie auch...

Eve666 05. Mär 2014

Verstehe das gerade nicht wirklich.... Willst du damit sagen, dass verseuchte carrier...

0xDEADC0DE 05. Mär 2014

Aha... und der kommt dann immer automatisch vorbei wenn der Toaster eine neue Firmware...



Anzeige

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. MediaMarktSaturn, München
  3. SQS Software Quality Systems AG, Frankfurt, Köln, München, deutschlandweit
  4. DERMALOG Identification Systems GmbH, Hamburg


Anzeige
Top-Angebote
  1. 30,99€
  2. (heute u. a. mit Soundbars und Heimkinosystemen, ASUS-Notebooks, Sony-Kopfhörern, Garmin...

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Banana Pi M2 Berry: Per SATA wird der Raspberry Pi attackiert
Banana Pi M2 Berry
Per SATA wird der Raspberry Pi attackiert
  1. Die Woche im Video Mäßige IT-Gehälter und lausige Wahlsoftware
  2. Orange Pi 2G IoT ausprobiert Wir bauen uns ein 20-Euro-Smartphone

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Leia RED verrät Details zum Holo-Display seines Smartphones
  2. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht
  3. Wavy Klarna-App bietet kostenlose Überweisungen zwischen Freunden

  1. Re: Macht das überhaupt Sinn, eTrucks?

    subjord | 05:42

  2. Re: Als Android-Nutzer beneide ich euch

    quasides | 05:42

  3. Re: Da wird sich nichts tun

    bombinho | 05:37

  4. Re: Ich habe beides - Android und iOS

    quasides | 05:32

  5. Re: Wieso gehts dann anderswo?

    postb1 | 05:03


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel