IT-Sicherheit: CCC kritisiert BSI-Routerrichtlinie scharf
Die neue technische Richtlinie des BSI zur Router-Sicherheit erscheint dem CCC und Open-Source-Entwicklern als "Farce". Es drohten weiter massenhafte Störungen.
Der Chaos Computer Clubs (CCC) und Entwickler der freien Linux-Distribution OpenWrt für WLAN-Verbindungsgeräte halten nichts von der Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI), Router-Herstellern ein Mindestmaß an IT-Sicherheitsmaßnahmen ans Herz zu legen. Bei der diesbezüglichen Technischen Richtlinie handle es sich um eine "Farce", monieren die Experten. Sie warnen: "Damit werden für die Zukunft keine massenhaften Router-Störungen und IT-Sicherheitsprobleme verhindert."
Kein Mindestmaß an Schutz
Käufer erhielten mit dem Regelwerk keine sinnvolle Möglichkeit, sichere und langlebige Netzwerkgeräte von "Risiko-Routern" zu unterscheiden oder die Sicherheit in eigene Hände zu nehmen, beklagen die Hacker. Statt einem Mindestmaß an Schutz biete die Richtlinie Nutzern "nur soviel Sicherheit, wie es den Herstellern gefällt". Viele der Vorgaben blieben optional.
Rund um den Entstehungsprozess der Richtlinie erheben die IT-Spezialisten schwere Vorwürfe gegen das BSI. "Von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten" hätten der Bonner Behörde "wesentliche Punkte" des Papiers in die Feder diktiert.
Selbst "grundlegende und realistisch von der Industrie umsetzbare Anforderungen", die der CCC und OpenWrt nach eigenen Angaben einbrachten, seien in den Sitzungen vor allem durch Vertreter der Kabelnetzbetreiber unter Beschuss gekommen. Dadurch hätten wirtschaftliche Interessengruppen letztlich ihr Ziel erreicht: "Das BSI erklärt ihre unzureichenden Produkte und Prozesse ohne tatsächliche Verbesserungen oder messbaren Mehrwert für den Verbraucher als sicher."
Handlungsbedarf seit langem deutlich
Dem CCC sind nicht erst seit dem "Plasterouter-Massaker" bei der Deutschen Telekom vor zwei Jahren unsichere Netzwerkgeräte ein Dorn im Auge. Spätestens die damals erfolgten "massenhaften Angriffe auf WLAN-Router" hätten aber allen Beteiligten den großen Handlungsbedarf aufzeigen müssen, konstatieren die Hacker. Aus "purem Glück" seien damals die betroffenen Router "nur" ausgefallen. Auch im Lichte von Sicherheitslücken wie "Heartbleed ", "Sambacry" oder "BCMUPnP_Hunter" sei nicht ersichtlich, wie die Richtlinie diesen Problemen sinnvoll entgegenwirken könne.
CCC und OpenWrt fordern weiterhin ein leicht einsehbares "Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden Software". Dabei müsse auf die verpflichtende Korrektur von Sicherheitslücken hingewiesen werden, die innerhalb dieses Zeitraums bekannt werden. Um auch nach Ablauf der Frist ein Netzwerkgerät sicher weiterbetreiben zu können, sollte dem Verbraucher ferner im Interesse der "Selbsthilfe" die Möglichkeit garantiert werden, alternative freie Firmware wie OpenWrt einzuspielen. Dass dieser Schritt unterblieben sei, lässt bei Hauke Mehrtens von dem Linux-Projekt "deutliche Zweifel an der Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit aufkommen".
Informationen nicht leicht einsehbar
Laut der Richtlinie müssen Hersteller zwar Angaben zur Dauer der Verfügbarkeit kritischer Sicherheitsupdates machen – nicht jedoch schon auf der Verpackung oder in der Werbung. Die Hacker befürchten daher, dass die entscheidenden Informationen "für die Geräteauswahl beim Kauf in der Regel nicht zur Verfügung" stehen.
"Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach zu verstehende Ampel-Darstellung für den Ressourcenverbrauch vorgeschrieben", weiß Mirko Vogt vom CCC. Doch bei Geräten, mit denen man "das halbe Internet lahmlegen" könne, würden den Käufern derlei wichtige Differenzierungskriterien vorenthalten. Damit werde "weiterhin unsicheren Plastikroutern der massenhafte Einzug in heimische und betriebliche Netzwerke geebnet, nur diesmal mit BSI-Siegel". Inbegriffen seien künftige Angriffe auf kritische Infrastrukturen. (mho)
