heise PlusAbo

Vertrauenssache Routerkauf

Internet-Provider setzen verstärkt auf eine automatische Fernkonfiguration der Router per TR-069. Das erspart Anwendern das Netzwerk-Kauderwelsch und entlastet Hotline-Mitarbeiter – doch das Bedürfnis nach Transparenz bleibt unberücksichtigt.

vorlesen Druckansicht
Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Dusan Zivadinovic

Router-Hersteller und Internet-Provider setzen verstärkt auf eine automatische Fernkonfiguration der DSL-Router. Das klingt sehr verlockend, denn die Inbetriebnahme der Surf-Hardware ist mit dem Anschließen bereits abgeschlossen. Doch es genügt nicht, den Anwendern das Netzwerk-Kauderwelsch zu ersparen und Hotline-Mitarbeiter zu entlasten – einige Aspekte berücksichtigen nämlich die Bedürfnisse von Anwendern nur unzureichend.

Das DSL-Forum, ein Gremium, das weitgehend im Stillen den Werdegang der Breitbandanschlüsse vorgibt, hat unter der Bezeichnung TR-069 ein Fernwartungsverfahren entwickelt, mit dem sich DSL-Router aus der Ferne konfigurieren lassen. TR-069 wurde bereits im Jahr 2004 spezifiziert, doch zieht die Technik erst allmählich in Router ein. Der Artikel DSL fernkonfiguriert widmet sich der Spezifikation ausführlich.

Datenschützer und Sicherheitsfachleute diskutieren das Verfahren kontrovers, denn der Fokus und die Gestaltung der Spezifikation lassen annehmen, die Router-Hersteller und Internet-Provider hätten sie weitgehend für die Entlastung ihrer Hotlines entwickelt und die Position der Anwender erst in zweiter Linie berücksichtigt.

Beispielsweise müssen die Hersteller nicht dokumentieren, in welcher Weise sie TR-069 implementieren. Entsprechend kommen Geräte auf den Markt, bei denen der Käufer über Zahl und Art der Befehle nur spekulieren kann. Genauso wenig sind Aktivitätsprotokolle vorgeschrieben, denen Teilnehmer entnehmen könnten, wann wer was am Router geändert hat.

Der Umgang mit den Sicherheitsbedürfnissen der Nutzer erscheint eher lax und die Orientierung der Spezifikation an der Inbetriebnahme von Telefon und Fernseher für moderne Geräte ungenügend, denn anders als die analogen Geräte bauen Router eben auch vertrauliche Verbindungen auf, etwa zu Online-Banken.

Es erzeugt daher ein mulmiges Gefühl, wenn etablierte Sicherheitsverfahren wie HTTPS für die Kommunikation mit dem Auto Configuration Server (ACS) oder die Signierung der Firmware-Update-Pakete lediglich empfohlen, aber nicht bindend sind. Auch verwundert, dass sich der ACS laut Spezifikation nicht grundsätzlich beim CPE authentifizieren muss – so kann der Teilnehmer nicht sicher sein, ob sein Router tatsächlich mit einem legitimen ACS kommuniziert.

Zwar kümmern sich seriöse und vorausschauende Hersteller sicherlich darum, solche weitergehenden Schutzmechanismen zu implementieren. Aber wie sollen Kunden ein schwarzes Schaf erkennen, wenn kaum ein Hersteller den Käufer informiert, ob er überhaupt Sicherheitskonzepte für seine Geräte entwickelt hat, geschweige denn, welche Strategien er dabei umsetzt?

Zudem wird man in vielen Fällen verleitet, den Router zu nehmen, den der Einkäufer des Providers ausgewählt hat. Es braucht nicht viel Phantasie, um sich auszumalen, dass es auch mal ein preisgünstiger Router sein kann, dem etwas weniger Entwicklungsaufwand zuteil wurde und der deshalb gegen das eine oder andere Angriffsszenario nicht gewappnet ist.

Immerhin kann man annehmen, dass TR-069 für den Bundestrojaner kein gemachtes Nest darstellt – zwar dürften auch Ermittlungsbehörden interessiert registrieren, dass sie Router-Daten sogar verschlüsselt abgreifen könnten, aber für den Zugriff auf Daten der PCs im LAN ist das Protokoll nicht ausgelegt. Blieben noch die Netzwerk-Einstellungen des Routers wie VoIP-Rufnummern. An Daten dieser Kategorie kommen Ermittlungsbehörden aber bereits jetzt bequem heran, nämlich direkt beim Provider. Gegen Missbrauch ist freilich keine Spezifikation gesichert.

Das Thema bringt aber erstmals deutlich in den Fokus, dass man hinsichtlich der Konstruktion der Geräte den Herstellern und Providern einfach vertrauen muss. Mit der Umsetzung des einen oder anderen Verbesserungsvorschlags könnte das DSL-Forum selbst etwas dafür tun, das in manchen Internet-Foren aufgeflammte Misstrauen aktiv zu zerstreuen. Eine Nachbesserung wäre schon deshalb wünschenswert, weil die Technik gebraucht wird und im Kern durchaus willkommen ist.

Indes sind Vertreter des DSL-Forums überzeugt, dass alle bekannten Implementierungen in Deutschland das höchstmögliche Sicherheitslevel nutzen. Kein Hersteller implementiere TR-069-Verbindungen auf HTTP, sondern nur auf HTTPS. Auch authentifiziere sich praktisch jeder ACS beim CPE. Als Beispiel führt man die PPP-Spezifikation auf, die ja auch eine unverschlüsselte Authentifizierung erlaube (PAP), aber de facto nur die verschlüsselnde Variante beschert habe (CHAP). Dass mit T-Online der kundenstärkste deutsche Provider weiterhin PAP einsetzt, ignorieren die TR-069-Verfechter dabei geflissentlich.

Dass aber Hersteller wie AVM oder Siemens mit ihren Implementationen deutlich über die Spezifikation hinausgehen, kann man auch als Beleg dafür werten, dass sie unter verantwortungsvollen Herstellern als unzureichend empfunden wird. Die Diskussion wird vermutlich noch zunehmen, wenn TR-069-Verwandte auf den Markt kommen, die die Konfiguration von Geräten im LAN ermöglichen. (dz) (je)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten