Original-URL des Artikels: https://www.golem.de/news/bsi-richtlinie-routerhersteller-muessen-support-ende-nicht-auf-geraet-drucken-1811-137119.html    Veröffentlicht: 16.11.2018 09:30    Kurz-URL: https://glm.io/137119

BSI-Richtlinie

Routerhersteller müssen Support-Ende nicht auf Gerät drucken

Das BSI hat mit einigen Monaten Verzögerung seine Richtlinie für die Router-sicherheit veröffentlicht. Neben vielen sinnvollen Punkten enthält sie aber auch Vorgaben, die den Herstellern und Providern sehr entgegenkommen.

Die neue technische Richtlinie für die Routersicherheit (Router-TR) kommt den Geräteherstellern weit entgegen. Der am Freitag veröffentlichten englischsprachigen Fassung (PDF) zufolge müssen die Hersteller das sogenannte Mindesthaltbarkeitsdatum nicht auf der Verpackung angeben. "Diese Information sollte auf der Webseite des Hersteller verfügbar sein", heißt es in der Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die 22-seitige Richtlinie (BSI TR-03148) sollte ursprünglich Mitte dieses Jahres veröffentlicht werden. Laut BSI-Präsident Arne Schönbohm war sie schon im Mai 2018 fertig, es gab jedoch noch "verschiedene Diskussionen mit bestimmten Telekommunikationsunternehmen und anderen, die eine sehr unterschiedliche Sichtweise davon hatten."

Kein Mindesthaltbarkeitsdatum auf der Verpackung

Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport. Die Hersteller müssen lediglich angeben, wie lange sie gängige Schwachstellen und größere Sicherheitsrisiken mit kombiniertem CVSS-Wert von mehr als 6,0 beheben. Diese Angabe könnte auch auf der Routerkonfiguration des Nutzers zu finden sein, muss sie aber nicht.

Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."

Lebenslanger Support gefordert

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hatte in einem Forderungskatalog (PDF) zur Sicherheit von Internet-of-Things-Geräten (IoT-Geräten) hingegen empfohlen, "die Geräte mit einem Aufdruck zu versehen." Der Verbraucherzentrale Bundesverband (VZBV) forderte sogar kostenfreie Sicherheitsupdates "während der gesamten tatsächlichen Nutzungsdauer digitaler Produkte".

Ein aufgedrucktes Support-Ende auf der Verpackung würde für die Hersteller bedeuten: Liegt ein Gerät bei einem Händler länger im Regal, kann der Support schon beim Verkauf abgelaufen sein. Garantiert der Hersteller jedoch einen mehrjährigen Support ab Verkauf, könnte er in die Verlegenheit kommen, nur für wenige spät verkaufte Geräte noch die Firmware pflegen zu müssen - falls er überhaupt vom Verkaufszeitpunkt erfährt.

Kundeneigene Firmware nicht verpflichtend

Nicht erfüllt wird auch die Forderung des CCC nach einer verpflichtenden Fähigkeit zum Einspielen kundeneigener Firmware. Dieses Thema wird fast vollständig ausgespart. Die Router sollen lediglich optional die Möglichkeit bieten, die Installation unsignierter Kundenfirmware nach einem Warnhinweis zuzulassen. Damit ist es jedem Hersteller selbst überlassen, die Installation von Software wie OpenWRT/LEDE zu erlauben.

Generell sollen die Nutzer die "volle Kontrolle" über Firmware-Updates haben. Sie sollen selbst entscheiden können, ob sie beispielsweise manuell oder automatisch nach neuer Software suchen und diese installieren lassen. Eine automatische Suche sollte standardmäßig aktiviert sein, jedoch deaktiviert werden können. Sowohl bei automatischen als auch manuellen Updates soll eine digitale Signatur erforderlich sein.

Vorgaben für Passphrase und Gäste-WLAN

Die Richtlinie enthält darüber hinaus zahlreiche Vorgaben, die die Routersicherheit durch Standardeinstellungen erhöhen soll. So soll sich aus der ESSID (Extended Service Set Identifier) nicht mehr auf der Routermodell schließen lassen. Für die Basic-SSID gilt das jedoch nicht. Die Standardpassphrase für die WLAN-Verschlüsselung (WPA2) soll mindestens 20 Zeichen lang sein und darf ebenfalls nicht von Router-Informationen wie Modellname oder MAC-Adresse abgeleitet sein. Der Nutzer darf die Passphrase nach Belieben ändern. Dabei soll es lediglich einen Mechanismus geben, der ihn auf schwache Kombinationen hinweist. Es gibt jedoch keine Vorgabe, dass die voreingestellte Passphrase nicht mehrfach genutzt werden kann.



Etwas peinlich für ein BSI-Dokument: Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen. Dabei steht OTP in diesem Fall für One-Time-Password. One-Time-Pad ist hingegen ein Einmalschlüssel-Verfahren, "nicht zu verwechseln mit dem Einmal-Passwort-Verfahren", wie es auf Wikipedia heißt.

Eine Anmeldung per WPS-PIN bleibt erlaubt, allerdings sollte diese Funktion standardmäßig deaktiviert sein und bei jeder Anmeldung eine neue PIN generieren. Eine WPS-Anmeldung auf NFC-Basis sollte ebenfalls nur nachträglich aktiviert werden können. Ein Gäste-WLAN darf der TR zufolge keine Verbindung mit Geräten des privaten Netzwerkes ermöglichen. Das Gäste-WLAN darf nicht standardmäßig aktiviert sein und darf keinen Zugang zur Gerätekonfiguration ermöglichen.

Nur noch wenige Dienste zulässig

Für den Zugang der Nutzer zur Gerätekonfiguration fordert die Richtlinie ebenfalls einen guten Passwortschutz. Voreingestellte Passwörter sollten mindestens acht Zeichen lang sein und aus einer Kombination bestimmter Zeichenarten bestehen. Die Passwörter sollen ebenso wie die WPA2-Passwörter nicht von Router-Informationen abgeleitet sein und nicht mehrfach verwendet werden. Die Nutzer können selbst schwache Passwörter verwenden, sollen allerdings davor gewarnt werden.

Eine häufige Schwachstelle bei der Routersicherheit ist zudem die Internetschnittstelle. Der Richtlinie zufolge darf der Router nach der Initialisierung nur noch eine "minimale Auswahl an Diensten" zulassen. Dazu gehört das Fernwartungsprotokoll TR-069 an Port 7547 über TCP und UDP sowie die Voice-over-IP-Dienste an den Ports 5060 und 5061. Die Router sollen zudem das Internet-Protokoll Version 6 (IPv6) unterstützen. Das Mirai-Botnetz hatte 2016 eine Lücke in TR-069 in vielen Routern ausgenutzt. Speedport-Router der Telekom waren wegen der Angriffe massenhaft ausgefallen.

Wenig Vorgaben bei Fernwartung

Was die Fernwartung durch die Hersteller und Provider betrifft, so darf diese bei Ladengeräten nicht voreingestellt sein. Bei Mietgeräten gibt es jedoch keine Vorgaben. So müssen die Nutzer nicht informiert werden, wenn der Provider oder der Hersteller auf den Router zugegriffen hat oder zugreift. Eine Zustimmung ist ebenfalls nicht erforderlich.

Insgesamt enthält die TR daher einige sinnvolle Punkte, die von Router-Herstellern wie AVM in der Regel bisher schon umgesetzt werden. Für BSI-Präsident Schönbohm ist die TR vor allem wichtig, weil sie die Vorstufe für ein geplantes Gütesiegel oder Sicherheitskennzeichen sein soll. Er halte es für ganz wichtig, "dass man sich ganz bewusst entscheiden kann, wie sicher soll das Produkt eigentlich sein soll". Nach der vorliegenden Richtlinie könnte eine solche Entscheidung im Laden allerdings schwierig sein. Verbraucher müssen sich vorab möglicherweise im Internet informieren, wie lange der Support für ein bestimmtes Gerät tatsächlich garantiert wird.  (fg)


Verwandte Artikel:
Sicherheitslücken: Router von D-Link können komplett übernommen werden   
(18.10.2018, https://glm.io/137175 )
TP-Link: Router für das Kabelnetz bleibt in Vorbereitung   
(02.09.2018, https://glm.io/136341 )
BSI-Lagebericht: Die bösen Hacker und das fliegende Einhorn   
(11.10.2018, https://glm.io/137075 )
BSI: Richtlinie zu Routersicherheit kommt Anfang November   
(11.10.2018, https://glm.io/137069 )
Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz   
(10.10.2018, https://glm.io/137037 )

© 1997–2020 Golem.de, https://www.golem.de/