• IT-Karriere:
  • Services:

Kaum möglich, alle Fehler zu finden

Ein weiteres Einfallstor für unsichere Software sind die Sonderwünsche von Providern. Viele Telekommunikationsunternehmen bieten inzwischen eigene Routermodelle an, die auf den Standardgeräten der Hersteller basieren. Die Firmware wird aber häufig auf die Bedürfnisse der Provider angepasst, die sich beispielsweise für den Support einen direkten Zugriff auf die Box sichern wollen. Auch bei diesen Modifikationen steht die Sicherheit nicht unbedingt an erster Stelle. Komfort geht häufig vor. Die Provider entwickeln je nach Hersteller zum Teil ihre Firmware selbst, zum Teil werden aber auch Funktionen der Geräte deaktiviert.

Stellenmarkt
  1. BROCKHAUS AG, Lünen
  2. Progressive Recruitment, Lübeck

Garbsch nimmt die Hersteller sogar ein bisschen in Schutz: "Bei einem Code von einigen hunderttausend Zeilen ist es nahezu unmöglich, alle Fehler zu finden." Es sei daher selbstverständlich, dass solche komplexen Systeme nicht fehlerfrei seien. Ähnlich äußerte sich der Sicherheitsexperte Michael Messner auf der Sigint 2013. Er erwartet von den Herstellern gar keine Hochsicherheitsgeräte, sondern hält ein mittleres Sicherheitsniveau für ausreichend. Für den Nutzer stellt sich dann aber die Frage, ob er das Risiko eingehen will, eine solche Technik einzusetzen. Unverzichtbar ist in diesem Fall, Sicherheitspatches möglichst schnell einzuspielen. "Das Hauptproblem wird sein, dass viele Nutzer weder wissen, dass man Updates einspielen kann, noch es tun", sagte Garbsch.

Hersteller müssen besser über Updates informieren

Die Nutzer stehen dabei vor einem Dilemma. Es gibt zwar auf der einen Seite die Möglichkeit, über den Standard TR-069 automatisch Updates aufspielen zu lassen. Doch wenn dieser Zugang permanent offen ist, gibt man dem Provider große Zugriffsmöglichkeiten. Mehrere Provider bieten auf dieser Basis automatische Updates an, so beispielsweise die Deutsche Telekom mit Easy Support für die Speedport-Router. Nutzer von Zwangsroutern der Kabelnetzbetreiber haben ohnehin keine Möglichkeit, selbstständig ihre Firmware zu aktualisieren.

Bei Fritzboxen im freien Handel lässt sich TR-069 nicht aktivieren. AVM prüft angesichts der jüngsten Sicherheitspanne jedoch, ob es in Zukunft einen solchen Weg für Updates geben soll. Messner kritisiert die Update-Politik vieler Hersteller. Oft würden Aktualisierungen nicht kommuniziert, oder es werde in den Release Notes nicht auf geschlossene Sicherheitslücken hingewiesen. Garbsch warnt zudem vor gefälschten Updates aus nicht vertrauenswürdigen Quellen. Es sei auch nicht auszuschließen, dass Geheimdienste mit Man-in-the-middle-Angriffen manipulierte Firmware-Updates verbreiteten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Viele Ursachen für SicherheitslückenHaftung für Sicherheitsmängel möglich 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)
  2. (u. a. Ryzen 7 5800X für 469€)

McHansy 10. Mär 2014

Das Glaube ich nicht. Zum einen weil der deutsche Markt sehr Finanzkräftig ist und zu...

Anonymer Nutzer 08. Mär 2014

Ja als ich den Käse sah dachte ich auch sofort "den will ich haben" O_O So lecker <3

HansHorstensen 05. Mär 2014

das sehe ich anders. wenn sicherheitslücken nicht entdeckt werden würden, wären sie auch...

Eve666 05. Mär 2014

Verstehe das gerade nicht wirklich.... Willst du damit sagen, dass verseuchte carrier...

0xDEADC0DE 05. Mär 2014

Aha... und der kommt dann immer automatisch vorbei wenn der Toaster eine neue Firmware...


Folgen Sie uns
       


Sony Alpha 1 - Fazit

Die Alpha 1 von Sony überzeugt in unserem Test.

Sony Alpha 1 - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /