Aus Linux-Magazin 04/2018

BSI-Richtlinie: Der geheime Streit über Routersicherheit

© Nicola Colombo, 123RF

Das BSI will in den kommenden Monaten eine technische Richtlinie für Heimrouter herausgeben. Vor allem die Kabelnetzbetreiber halten nichts davon, für möglichst viel Sicherheit bei den Geräten zu sorgen. Der CCC spricht von “Lobbying-Sabotage”. Die Beratungen finden hinter verschlossenen Türen statt.

Die Sicherheit von Heimroutern betrifft alle privaten Nutzer. Das ist nach dem Angriff auf Telekom-Router im Herbst 2016 auch bei der deutschen Politik angekommen. Sie hat bemerkt, dass im Internet der Dinge einiges im Argen liegt und die Sicherheit der Geräte dringend verbessert werden muss.

In einem ersten Schritt soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine technische Richtlinie (TR) für Heimrouter erstellen (BSI TR-03148). Der Diskussionsprozess findet unter Ausschluss der Öffentlichkeit statt. Das wird vor allem von den Kabelnetzbetreibern genutzt, um mit fadenscheinigen Argumenten die Anforderungen möglichst niedrig zu halten.

Anderen Beteiligten wie dem Chaos Computer Club (CCC) passt das überhaupt nicht. Dessen Sprecher Frank Rieger sagte auf dem jüngsten Chaos Communication Congress (34C3) in Leipzig [1]: “Der Telekom-Routerausfall hat relativ starke politische Folgen gehabt.” Das Ergebnis sei die so genannte Arbeitsgruppe Router-TR, die eine technische Richtlinie für Breitbandrouter entwerfen solle. “Sehr interessant daran ist, wie stark der Widerstand dagegen ist. Zum einen dabei verbindliche Sicherheitsstandards vorzuschreiben, zum anderen auch dagegen, überhaupt Menschen die Freiheit zu geben, ihre eigenen Router sicher zu machen”, sagte Rieger.

Trotzreaktion

Vor allem der Verband Deutscher Kabelnetzbetreiber (Anga) falle in den Gesprächen durch “sabotierendes Verhalten” auf. Die Anga-Vertreter seien strikt dagegen, dass die Nutzer ihre eigene Firmware auf die Geräte aufspielen könnten. “Und die wollen auf gar keinen Fall Verantwortung dafür haben, dass die Router sicher sind”, sagte Rieger und fügte hinzu: “Da wird eine Menge Lobbying-Sabotage betrieben.” Selbst die Behördenvertreter und die Vertreter anderer Provider hätten dafür wenig Verständnis. Als die Kabelnetzbetreiber trotzig behauptet hätten, “unser Netz ist sicher”, sei der ganze Raum in schallendes Gelächter ausgebrochen.

Doch wenn der Router eines Nutzers gehackt wird oder wegen eines Angriffs nicht mehr funktioniert, ist das alles andere als lustig. Technische Vorgaben könnten dabei helfen, die Geräte von Anfang sicherer zu konzipieren oder durch Updates sicher zu halten. Das Problem: Deutschland darf keine nationalen Vorgaben zur Routersicherheit machen, da Rechtsvorschriften über die Bereitstellung von Internet-fähigen Produkten EU-weit harmonisiert sind, wie der Innenausschuss des Bundestags im vergangenen Jahr feststellte.

Gütesiegel

Stattdessen soll das BSI “IT-Sicherheitsmindestanforderungen für relevante Produktklassen veröffentlichen, nach denen Hersteller ihre Produkte überprüfen lassen oder gegen die sie sich erklären können. Produkte, die diesen Vorgaben entsprechen, sollen mit einem IT-Sicherheits-Gütesiegel des BSI versehen werden können”, heißt es in dem entsprechenden Bundestagsbeschluss. Das Gütesiegel sei vom BSI “unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften” auszuarbeiten.

Die entsprechende Arbeitsgruppe ist inzwischen eingerichtet und tagte schon mehrmals in Bonn. Vertreten sind nach Informationen des Linux-Magazins unter anderen die großen deutschen und einige internationale Routerhersteller, die Internetprovider, der Gesamtverband der Deutschen Versicherungswirtschaft (GDV), das BSI und die Ministerien für Wirtschaft und Inneres. Anders als vom Bundestag gefordert, sind Verbraucherschützer über den Verbraucherzentrale Bundesverband (VZBV) nicht beteiligt, obwohl dieser eingeladen war.

Zum Schweigen verpflichtet

Bei den Beratungsdetails geben sich die Beteiligten zugeknöpft. Inzwischen liegt ein neuer Entwurf für die Router-TR vor, der bis Ende Januar kommentiert werden sollte. Er soll eine Gefährdungsanalyse (Threat Model) enthalten, um den Geltungsbereich der TR besser abzugrenzen. Eventuell fordert die TR, dass Nutzer die Fernkonfiguration durch den Provider unterbinden können und dass es keine WPS-PIN mehr geben darf.

Der Kabelnetzbetreiberverband Anga teilte auf Anfrage mit: “Diese Arbeiten sind auf Wunsch der Beteiligten derzeit nicht öffentlich. Hier werden sensible Fragen der IT-Sicherheit besprochen, deren Einzelheiten nicht den Weg in die Öffentlichkeit finden sollen. Das Arbeitspapier beruht auf einem Router-Testkonzept, das selbst den Beteiligten der Diskussion nur nach entsprechender Verpflichtung auf die Vertraulichkeit zugänglich gemacht wird.”

Das Router-Testkonzept [2] hatte das BSI bereits Ende 2015 vorgestellt, auch die finale Version vom Mai 2016 ist öffentlich zugänglich. Nicht veröffentlicht sind laut BSI zwei Kapitel, die sich unter anderem mit der Erkennung potenzieller Schwachstellen befassen und daher nach dem Traffic Light Protocol als TLP Amber eingestuft sind.

Fremde Software erlauben

Kaum anders lautet die neueste Stellungnahme des BSI: “Die Router-TR befindet sich derzeit in einer Arbeitsversion in der Diskussion innerhalb der Arbeitsgruppe und liegt somit noch nicht in einer Fassung vor, die an Interessenten außerhalb der AG weitergegeben werden könnte.” Trotz der Diskussion plant das BSI nach eigenen Angaben, die Richtlinie im zweiten Quartal 2018 zu veröffentlichen.

Streitpunkte sind derzeit: Müssen die Router so konzipiert sein, dass Nutzer ihre eigene Firmware aufspielen können? Und für welchen Mindesthaltbarkeitszeitraum müssen Hersteller ihre Produkte anbieten und Sicherheitsupdates garantieren? Es ist kein Wunder, dass Hersteller und Provider die Vorgaben möglichst niedrig halten wollen. Laut Rieger sagten einige Hersteller zum Mindesthaltbarkeitsdatum: “Wenn wir das draufschreiben, ist der Verkauf dieser Router nicht mehr wirtschaftlich.”

Fremde Firmware

Es zeichnet sich ab, dass das Einspielen von kundeneigener Firmware eine “Kann-Regelung” wird. Das Einspielen sollen Hardware-seitig ein spezieller Knopf und eine Nutzerauthentifizierung schützen. Eine Kann-Regelung würde wohl bedeuten, dass nur wenige Anbieter eine solche Möglichkeit vorsähen. Vor allem nicht die Kabelnetzbetreiber. Ihnen wäre wohl am liebsten, wenn eine solche Möglichkeit dazu führte, dass die Router für unsicher erklärt würden und kein Gütesiegel mehr erhalten könnten. Problematisch für Nutzer: Wenn das Mindesthaltbarkeitsdatum abgelaufen ist, wären die Geräte nicht mehr sicher zu betreiben.

Bekannte Argumente

Dabei führen die Kabelnetzbetreiber Argumente an, die aus der Debatte um den Routerzwang hinreichend bekannt sind und durch den praktischen Einsatz freier Endgeräte im Grunde schon widerlegt wurden [3].

Den Kabelnetzbetreibern zufolge verwendet die Docsis-Infrastruktur (Data Over Cable Service Interface Specification) standardmäßig ein System zur Signierung von Software auf Endgeräten, “um die Integrität der eingesetzten Software sicherzustellen und eine sichere Identifizierung der Endgeräte zu ermöglichen”. Demnach sieht das Schutzsystem einen automatischen Austausch von Zertifikaten zwischen dem Netz und dem Kabelmodem vor, um zu gewährleisten, dass diese Software von einer vertrauenswürdigen Instanz eingespielt wird.

“Offenbar verblieb in der Diskussion eine Verständnislücke hinsichtlich der damit einhergehenden Sicherheitsanforderungen, die durch den geforderten Zugang untergraben würden”, teilte Anga auf Anfrage mit.

Freie Software bedroht

Eine Argumentation, die nicht ganz nachvollziehbar ist. Schließlich könnte beispielsweise das auf Basis der MAC-Adresse erzeugte Zertifikat auf dem Gerät so hinterlegt sein, dass es bei einem Firmware-Austausch erhalten bliebe. Zudem verweist Anga auf die umstrittene EU-Funkanlagenrichtlinie [4], die besondere Anforderungen an die Firmware stellt, um Spektrums-Effizienz und -Sicherheit innerhalb der Europäischen Union zu gewährleisten.

Die Freifunk-Community befürchtete deshalb schon einen Router-Lockdown, das bedeutet eventuell das Ende für den Einsatz freier Software wie Open WRT (Abbildung 1) auf dem eigenen Router.

Abbildung 1: Freier Router-Software wie Open WRT könnte die EU-Funkanlagenrichtlinie in die Quere kommen.

Abbildung 1: Freier Router-Software wie Open WRT könnte die EU-Funkanlagenrichtlinie in die Quere kommen.

Wenig Hilfe für den CCC

Sollte die EU-Arbeitsgruppe Router zu den Produkten zählen, für deren Software “die Konformität ihrer Kombination mit der Funkanlage nachgewiesen wurde”, hätte sich die Debatte erledigt. Dass der CCC sich mit seiner Forderung nach einer verpflichtenden Möglichkeit zur Installation von Custom-Firmware bislang nicht durchgesetzt hat, liegt wohl auch daran, dass andere Interessenvertreter dies nicht unterstützen. So verwies der Versicherungsverband auf seinen Forderungskatalog [5] zur Sicherheit von IoT-Geräten vom Mai 2017, in dem eine solche Möglichkeit fehlt.

Stattdessen heißt es unter anderem darin: “Für den Nutzer muss erkenntlich sein, wie lange ein Gerät vom Hersteller mit Updates versorgt oder Support bereitgestellt wird.” Zudem müssten Sicherheitsupdates automatisch auf die Geräte geladen werden. “Weiterhin muss es eine einfache Möglichkeit geben, dem Hersteller erkannte Sicherheitslücken zu melden. Gleichzeitig verpflichten die Hersteller sich, den Verbraucher unverzüglich und umfassend über erkannte Sicherheitslücken zu informieren und geeignete Rückrufprozesse einzurichten”, fordert der GDV.

Der VZBV setzt sich ebenfalls für die Pflicht der Hersteller ein, kostenfreie Sicherheitsupdates zur Verfügung zu stellen. Allerdings nicht nur für eine bestimmte Mindestdauer, sondern “während der gesamten tatsächlichen Nutzungsdauer digitaler Produkte”.

Diese Forderung bringen die dort abwesenden Verbraucherschützer jedoch nicht in die Arbeitsgruppe Router-TR ein. Vielmehr müsse dies in einer neuen EU-Richtlinie zur Bereitstellung von digitalen Inhalten enthalten sein, fordert der VZBV [6]. Sollte die Richtlinie so beschlossen werden, würde dies auch für Router gelten.

Für die Routerhersteller bedeuten die Forderungen in doppelter Hinsicht wirtschaftliche Risiken. Zum einen kostet die Pflege von Firmware über lange Zeiträume viel Geld. Zum anderen könnten Nutzer ihre Router unter Umständen mit einer fremden Software updaten, die über mehr Funktionen verfügt und damit teurere Modelle desselben Herstellers überflüssig macht. AVM äußerte sich auf Anfrage eher kritisch, was die Router-TR betrifft: “Grundsätzlich ist aus unserer Sicht bei der Frage der IT-Sicherheit eine ganzheitliche Betrachtung notwendig. Einzelne Komponenten singulär zu betrachten, ist nicht zielführend.”

Kritische Infrastruktur

Doch der Deutsche Bundestag (Abbildung 2) war im vergangenen Jahr der Ansicht, dass Router wegen ihrer zentralen Funktionen zur kritischen Telekommunikationsinfrastruktur zählen. “So ist zum Beispiel bei VoIP auch die Absetzung von Notrufen von der Funktionsfähigkeit von Routern abhängig. Dies wird künftig das gesamte Telekommunikationsnetz betreffen, da alle Anbieter die vollständige Umstellung auf VoIP planen und zügig umsetzen”, hatte der SPD-Abgeordnete Gerold Reichenbach auf Anfrage mitgeteilt.

Abbildung 2: Der Deutsche Bundestag zählt Router zu den kritischen IT-Infrastrukturen.

Abbildung 2: Der Deutsche Bundestag zählt Router zu den kritischen IT-Infrastrukturen. © Deutscher Bundestag / Thomas Trutschel/photothek.net

Da die Router aber bisher noch nicht integrierter Teil der kritischen Infrastruktur seien, würden sie vom IT-Sicherheitsgesetz auch nicht erfasst. “Sie könnten dies nur werden, wenn wir, was politisch nicht gewollt ist, einen Routerzwang einführen würden”, hatte Reichenbach weiter gesagt.

Stillschweigen

Statt verbindlicher Vorgaben gibt es nun das BSI-Gütesiegel für “Plasterouter”, wie der CCC despektierlich die Geräte nennt. Warum in der Debatte “sensible Fragen der IT-Sicherheit besprochen werden, deren Einzelheiten nicht den Weg in die Öffentlichkeit finden sollen”, ist nicht ganz nachvollziehbar. Offenbar wollen Hersteller und Provider erreichen, dass die Nutzer nach Abschluss der Debatte vor vollendete Tatsachen gestellt werden. Denn in einer öffentlichen Debatte müssten sie vermutlich einräumen, dass es vor allem kommerzielle Gründe sind, die ein höheres Sicherheitsniveau der Geräte verhindern.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 3 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben