Deutschland schlägt neue Sicherheitsrichtlinien für Router vor, stößt dabei aber auch auf Kritik

Online-Kriminelle haben längst erkannt, welche Macht sie entfalten können, indem sie möglichst viele Router in ihre Botnetze einbinden, verheerende Distributed-Denial-of-Service-Angriffe (DDoS) starten, WLAN-Anmeldedaten erbeuten oder DNS-Einstellungen so manipulieren, dass lästige Pop-up-Werbung zu einem ständigen Begleiter wird.

Benutzer wurden immer (englisch) und immer wieder (englisch) gewa, dass ihre Router aufgrund von Software-Schwachstellen oder unsicheren Standardpasswörtern anfällig für Angriffe von außen sind.

Dennoch tauchen die gleichen Probleme mit beharrlicher Regelmäßigkeit immer wieder auf. Das kann nicht so bleiben.

Die deutsche Regierung hat mittlerweile eingesehen, dass die Bedrohung enorm ist, und einen Leitlinienentwurf veröffentlicht, wie ihren Vorstellungen nach Breitbandrouter gesichert werden sollten.

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellte Dokument enthält eine lange Liste von Maßnahmen und Empfehlungen für die Routersicherheit, so zum Beispiel:

• Drahtlosrouter sollten mindestens eine WPA2-Verschlüsselung verwenden.
• Jedes in den Werkseinstellungen festgelegte Konfigurationspasswort sollte mindestens 20 Zeichen lang sein und darf keine Informationen enthalten, die sich aus dem Hersteller des Routers, dem Modellnamen, der MAC-Adresse usw. ergeben.
• Des Weiteren darf ein voreingestelltes Konfigurationspasswort, das in den Werkseinstellungen verwendet wird, nicht für mehrere Geräte desselben Herstellers genutzt werden.
• Vorkonfigurierte Konfigurationspasswörter müssen mindestens acht Zeichen lang sein und eine Kombination aus mindestens zwei der folgenden Zeichentypen enthalten (Großbuchstaben [A-Z], Kleinbuchstaben [a-z], Sonderzeichen [z. B. ?, !, $, usw.] und numerische Zeichen [0-9]).
• Bei änderungen des WLAN- und Konfigurationspassworts sollte dem Benutzer anhand der Zeichenanzahl und Komplexität angezeigt werden, wie sicher sein Passwort ist.
• Benutzer, die Gast-WLAN-Dienste nutzen, sollten keinen Zugriff auf die Konfiguration des Routers haben.
• Es sollte standardmäßig nicht möglich sein, einen Router per Fernzugriff zu konfigurieren, und der Fernzugriff sollte ausschließlich über eine verschlüsselte Verbindung mit Serverauthentifizierung möglich sein.
• Router müssen Funktionen zur Aktualisierung ihrer Firmware umfassen und dem Benutzer die Möglichkeit geben, ein Update manuell oder online zu starten. Darüber hinaus sollten (anstelle von müssen) automatische Firmware-Updates standardmäßig angeboten werden und aktiviert sein (wobei der Benutzer die Möglichkeit haben muss, diese auf Wunsch auch zu deaktivieren).
• Wenn der Router feststellt, dass seine Firmware veraltet ist, muss er den Benutzer darüber mit einer aussagekräftigen Benachrichtigung (z. B. einem Pop-up nach der Anmeldung) informieren. Wenn ein Hersteller beschließt, ein Gerät nicht mehr mit Firmware-Updates zu unterstützen, sollte das gleiche Verfahren eingesetzt werden, um den Benutzer über das Ende der Produktpflege zu informieren.
• Durch das Wiederherstellen der Werkseinstellungen sollten Geräte in den standardmäßigen sicheren Zustand zurückversetzt werden und alle personenbezogenen Daten sollten gelöscht werden.

Es gibt jedoch auch Stimmen, die sich von den Vorschlägen des BSI zur Routersicherheit unbeeindruckt zeigen.

So zum Beispiel auch der Chaos Computer Club, der den Entwurf bereits kritisiert (englisch)  hat. Dort ist man enttäuscht, dass die Richtlinien Hersteller nicht dazu verpflichten, das Ablaufdatum der Firmware schon beim Kauf offenzulegen. Auf wenig Gegenliebe stößt auch die Tatsache, dass Hersteller Anwendern nicht die Möglichkeit einräumen müssen, alternative Firmware auf Geräten zu installieren, für die vom Hersteller selbst keine Updates mehr bereitgestellt werden.

Nach Meinung des CCC bietet die „tatsächliche Regelung aber nur soviel Sicherheit, wie es den Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu entsprechen.“

Zwar begrüße ich die Initiative des BSI, Routerhersteller zu ermutigen, ihre Geräte schon ab Werk sicherer zu machen, aber es ist dennoch enttäuschend, dass viele Verbraucher auch weiterhin Router im Handel kaufen werden, ohne vorher zu wissen, wie lange diese überhaupt noch Firmware-Updates erhalten werden.

rn