Sicherheitslücken: Wo kommen die Löcher in den Routern her?
"Wo kommen denn die Löcher im Käse her?" , fragt der Schriftsteller Kurt Tucholsky. Die eigentlich leicht zu beantwortende Frage führt in der bekannten Satire(öffnet im neuen Fenster) zum handfesten Familienkrach. Viel schwieriger ist zu erklären, wo die vielen Löcher in den modernen Routern herkommen, die sie für Hacker und Geheimdienste wie einen Schweizer Käse erscheinen lassen. Die Folgen der Sicherheitslücken sind dabei alles andere als trivial. Neben finanziellen Schäden durch missbrauchte Telefonverbindungen drohen Datenverlust und Identitätsdiebstahl. Eine schnelle Abhilfe ist nicht zu erwarten, da es nach Ansicht von Experten ein ganzes Bündel an Ursachen gibt.
Die Liste der in den vergangenen Monaten bekanntgewordenen Routerhacks ist lang. Von der Sicherheitslücke bei den Fritzboxen sind Millionen Nutzer in Deutschland betroffen. Erschreckend sind die Einblicke in den Werkzeugkasten des US-Geheimdienstes NSA : Die Agenten können offenbar problemlos ihre Spionagesoftware dauerhaft im Bootloader mehrerer Modelle von Cisco und Juniper platzieren und den Datenverkehr überwachen. Eher zufällig wurde Ende vergangenen Jahres eine Backdoor in zahlreichen Netgear- und Linksys-Routern entdeckt , für die es zum Teil bis heute noch kein Sicherheitsupdate gibt. Gerade das NSA-Beispiel lässt Zweifel aufkommen, ob die Hersteller nicht doch mit den Geheimdiensten zu Überwachungszwecken kooperieren.
Eierlegende Wollmilchsau für wenig Geld
Doch es bedarf vermutlich nicht einmal obskurer Verschwörungstheorien, um die Lücken zu erklären. Denn eines ist klar: Eine hundertprozentig sichere Software gibt es nicht. Gerade weil die Geräte in den vergangenen Jahren immer komplexer geworden sind und immer mehr Funktionen und Komfort bieten, ist die Anfälligkeit für Hackerangriffe größer geworden. Je mehr Funktionen ein Router bietet, desto größer kann allerdings auch der Schaden sein, wenn ein Hacker die Konfiguration übernimmt.
Aktuelle Fritzboxen sind anders als das erste Modell nicht nur simple DSL-Router, sondern komplette Telefonanlagen für ISDN, DECT, VoIP und Analoggeräte, bieten WLAN und Cloud-Dienste über den Anschluss externer Speichermedien sowie einen Mediaserver. Eine "eierlegende Wollmilchsau" , die auch von Kriminellen und Geheimdiensten gemolken und geschoren werden kann. Die sogenannte Dreifaltigkeit des Ärgers(öffnet im neuen Fenster) - Flexibilität, Erweiterbarkeit und Verbindungsfähigkeit - betrifft auch moderne Router stark.
Viele Ursachen für Sicherheitslücken
Sicherheitslücken können auf verschiedensten Wegen ihren Eingang in den Code finden. Gar nicht so selten ist der Fall, dass die Programmierer sich selbst einen Zugang einrichten, der für Wartungszwecke genutzt werden kann. Nach dem Motto "Kennt ja keiner außer mir" können so die üblichen Sicherheitsvorkehrungen umgangen werden. "Jeder Entwickler weiß, dass er das nicht darf. Weil es aber praktisch bei der Entwicklung ist, machen es viele trotzdem" , sagt der Sicherheitsexperte Falk Garbsch vom Chaos Computer Club auf Anfrage von Golem.de.
Ein bekanntes Beispiel dafür ist eine Backdoor in D-Link-Routern , die sich offenbar ein Programmierer mit dem Namen Joel eingerichtet hatte. Mit der Backdoor hatte jeder Angreifer im lokalen Netz Zugriff auf alle Funktionen des Routers. Wenn die Konfiguration über den WAN-Port aktiviert war, galt das auch für Angriffe über das Internet. Werden solche Hintertüren vom Hersteller selbst eingerichtet, nützt auch die beste Qualitätssicherung nichts.
Nur ein Kratzen an der Oberfläche
Problematisch ist es für die Produzenten auch, wenn sie Komponenten eines Drittanbieters beziehen und nicht der Quellcode der Treiber vorliegt. Auf diese Weise können sich ebenfalls Sicherheitslücken einschleichen, da der Code nicht so einfach analysiert werden kann. Wichtige Produzenten von Router-Chips sind Broadcom und Sercomm. Der letztgenannte Hersteller soll dabei für die Backdoor in den Netgear-, Linksys- und Cisco-Routern verantwortlich sein. Eine solche Übernahme von Code erschwert auch das Schließen von Sicherheitslücken. Fast zwei Monate nach Bekanntwerden des Sicherheitsproblems haben weder Netgear noch Linksys den Fehler behoben, wollen aber in absehbarer Zeit Updates zur Verfügung stellen, wie es auf Anfrage hieß. Cisco stellte Ende Januar zumindest einen Patch für zwei der drei betroffenen Modelle bereit(öffnet im neuen Fenster) .
Dabei hätte der offene Port 32764 bei den Routern auch ohne Kenntnis des Quellcodes auffallen müssen. Ein Portscan sollte bei der Sicherheitskontrolle der Geräte zum Standard gehören. Zwar ist das nicht mehr als ein Kratzen an der Oberfläche, aber wohl das Mindeste, das ein Hersteller tun sollte. Naturgemäß geben die Produzenten nicht an, welchen Aufwand sie tatsächlich betreiben, um die Sicherheit ihrer Geräte zu gewährleisten. Allerdings sind bei den niedrigen Preisen für die einfachen Heimrouter dem Aufwand finanzielle Grenzen gesetzt. Die Käufer schauen zuerst auf Funktionen und Preis. Wie sicher ein Gerät und wie aufwendig es geprüft wurde, lässt sich von außen ohnehin schwer einschätzen. Betroffen sind letztlich alle Hersteller.
Kaum möglich, alle Fehler zu finden
Ein weiteres Einfallstor für unsichere Software sind die Sonderwünsche von Providern. Viele Telekommunikationsunternehmen bieten inzwischen eigene Routermodelle an, die auf den Standardgeräten der Hersteller basieren. Die Firmware wird aber häufig auf die Bedürfnisse der Provider angepasst, die sich beispielsweise für den Support einen direkten Zugriff auf die Box sichern wollen. Auch bei diesen Modifikationen steht die Sicherheit nicht unbedingt an erster Stelle. Komfort geht häufig vor. Die Provider entwickeln je nach Hersteller zum Teil ihre Firmware selbst, zum Teil werden aber auch Funktionen der Geräte deaktiviert.
Garbsch nimmt die Hersteller sogar ein bisschen in Schutz: "Bei einem Code von einigen hunderttausend Zeilen ist es nahezu unmöglich, alle Fehler zu finden." Es sei daher selbstverständlich, dass solche komplexen Systeme nicht fehlerfrei seien. Ähnlich äußerte sich der Sicherheitsexperte Michael Messner auf der Sigint 2013 . Er erwartet von den Herstellern gar keine Hochsicherheitsgeräte, sondern hält ein mittleres Sicherheitsniveau für ausreichend. Für den Nutzer stellt sich dann aber die Frage, ob er das Risiko eingehen will, eine solche Technik einzusetzen. Unverzichtbar ist in diesem Fall, Sicherheitspatches möglichst schnell einzuspielen. "Das Hauptproblem wird sein, dass viele Nutzer weder wissen, dass man Updates einspielen kann, noch es tun" , sagte Garbsch.
Hersteller müssen besser über Updates informieren
Die Nutzer stehen dabei vor einem Dilemma. Es gibt zwar auf der einen Seite die Möglichkeit, über den Standard TR-069(öffnet im neuen Fenster) automatisch Updates aufspielen zu lassen. Doch wenn dieser Zugang permanent offen ist, gibt man dem Provider große Zugriffsmöglichkeiten. Mehrere Provider bieten auf dieser Basis automatische Updates an, so beispielsweise die Deutsche Telekom mit Easy Support für die Speedport-Router(öffnet im neuen Fenster) . Nutzer von Zwangsroutern der Kabelnetzbetreiber haben ohnehin keine Möglichkeit, selbstständig ihre Firmware zu aktualisieren.
Bei Fritzboxen im freien Handel lässt sich TR-069 nicht aktivieren. AVM prüft angesichts der jüngsten Sicherheitspanne jedoch, ob es in Zukunft einen solchen Weg für Updates geben soll. Messner kritisiert die Update-Politik vieler Hersteller. Oft würden Aktualisierungen nicht kommuniziert, oder es werde in den Release Notes nicht auf geschlossene Sicherheitslücken hingewiesen. Garbsch warnt zudem vor gefälschten Updates aus nicht vertrauenswürdigen Quellen. Es sei auch nicht auszuschließen, dass Geheimdienste mit Man-in-the-middle-Angriffen manipulierte Firmware-Updates verbreiteten.
Haftung für Sicherheitsmängel möglich
Eine weitere Lehre aus den jüngsten Vorfällen besteht darin, möglichst nur diejenigen Funktionen zu aktivieren, die tatsächlich benötigt werden. Dies gilt beispielsweise für den Fernzugriff, UPnP-Funktionen oder WPS. Ebenfalls trivial scheint die Erkenntnis, dass möglichst starke Passwörter für die Zugänge zum Konfigurationsmenü gewählt werden sollten, so es überhaupt per Passwort abgesichert ist. Ebenso sorglos gehen viele Nutzer mit ihrem WLAN-Zugang um. Einer Umfrage für die Initiative D21 zufolge weiß mehr als ein Drittel der Nutzer nicht, welches Sicherheitssystem sie für ihre WLAN-Verbindungen verwenden. Ein weiteres Drittel nutzt veraltete Techniken wie WEP oder WPA.
Einen besseren Schutz für das Heimnetzwerk bieten sicherlich Konfigurationen, in denen die Funktionen auf mehrere Geräte aufgeteilt sind. "Muss es unbedingt so etwas Kompliziertes sein?" , fragt Garbsch. Viele der alten Techniken wie externe Telefonanlagen seien unpraktisch und groß, hätten aber den Vorteil, dass die Angriffsfläche geringer sei. Allerdings gibt es auch bei neuen VoIP-Anlagen Sicherheitslücken(öffnet im neuen Fenster) . Der Nutzer besitzt dann ein weiteres Gerät, dessen Sicherheitsprobleme er im Auge behalten muss. Wer den Zwangsrouter des Providers nicht nutzen will, hat auch die Möglichkeit, einen weiteren Router hinter das Gerät zu schalten.
Ministerium fordert besonders hohe Sorgfaltspflicht
Eine gewisse Abhilfe könnte daher der Gesetzgeber schaffen. Union und SPD haben im Koalitionsvertrag festgeschrieben(öffnet im neuen Fenster) : "IT-Hersteller und -Diensteanbieter sollen für Datenschutz- und IT-Sicherheitsmängel ihrer Produkte haften." Der IT-Beauftragte im Bundesinnenministerium, Martin Schallbruch, sagte im Februar 2014 auf dem Forum Cybersicherheit in Berlin dazu: "Router beim Endanwender verbinden praktisch den geschützten Raum des Einzelnen mit der Außenwelt. Jemand, der so einen Router herstellt, sollte aus meiner Sicht eine besonders hohe Sorgfaltspflicht haben." Für diese "besonders wichtige und gefährliche Technologie" brauche es eine "deutlichere Verantwortungszuweisung" .
Wie diese Verantwortung konkret aussehen kann, weiß das Innenministerium aber noch nicht. Es sei beabsichtigt, "im Sinne eines offenen und konstruktiven Dialogs mit allen betroffen Interessengruppen zügig, aber mit der notwendigen Gründlichkeit zu einem guten Ergebnis zu kommen" , hieß es auf Anfrage. Grundsätzlich ist Falk Garbsch vom CCC der Ansicht, dass Softwarehersteller haften müssten. Eine sinnvolle gesetzliche Regelung hält Garbsch für "sehr schwierig" , da es sich um ein "sehr, sehr kompliziertes Thema" handele. Zum einen sei möglicher Schaden teilweise schwer zu beziffern, zum anderen der Missbrauch nicht immer einfach nachzuweisen. Sollten Hersteller aber gravierende Fehler begehen und - wie geschehen - den WPA-Schlüssel aus der MAC-Adresse generieren , sei eine Haftung angemessen.