Firmware-Trojaner

Auch in Routern lässt sich Spionagesoftware verstecken

Dass sich Überwachungsfunktionen über Keylogger und (bei Kooperation der Anbieter) über Betriebssystem-Updates installieren lassen, ist nichts Neues und wird ausgiebig diskutiert. Weniger bekannt ist, dass sich Überwachungssoftware auch über automatische Firmware-Updates verbreiten lässt. Ein Einfallstor dafür ist die Router-Schnittstelle TR-069, die Fernzugriff auf Konfiguration und Logfiles bietet, und es ermöglicht, die Firmware ohne Zutun des Benutzers zu ändern.

Alle Router, die die T-Com zur Zeit ausliefert, (Speedport W 700V, Speedport W 701V und Speedport W 900V) haben eine solche TR-069 Schnittstelle. Die T-Com hält mit dieser Auskunft nicht wie üblich hinter dem Berg, sondern lobt die Vorteile für den Verbraucher. Das Unternehmen nutzt die Schnittstelle nach eigenen Angaben bisher ausschließlich bei der "Erstinbetriebnahme", um ihren Kunden die Konfiguration so leicht wie möglich zu machen. Auch bei Hardware- Herstellern wie Zyxel oder AVM wird dem Kunden TR-069 offensiv als Vorteil nahegebracht:

"Eine einfache und schnelle Inbetriebnahme steht bei allen Anwenderumfragen ganz oben auf der Wunschliste. Mit dem neuen Service TR-069 reduziert sich die gesamte Installation allein auf das Stecken der Kabel für Strom, DSL und den PC. Bei TR-069 (TR: Technical Report) entfällt die Eingabe der Anmeldedaten für Internet und Internettelefonie. Das erledigt künftig die FRITZ!Box im Zusammenspiel mit dem Provider direkt. Dazu wird auf der FRITZ!Box- Benutzeroberfläche lediglich eine PIN eingegeben. Anschließend erhält die FRITZ!Box automatisch alle Einstellungen für Web und Internettelefonie direkt vom Internetanbieter. Künftig könnten die Einstellungen des Providers auch ohne PIN-Eingabe übertragen werden, da sich jeder einzelne DSL-Anschluss in der Vermittlungsstelle zuordnen lässt. FRITZ!Box könnte in diesem Fall nach dem Kabelstecken alle Einstellungen von selbst vornehmen."

Ähnliches gibt es bei Kabelmodems: auch sie ziehen beim Booten per tftp ein Konfigurationsfile vom Provider, um darüber ein Firmware-Update bekommen zu können.

Mit einem heimlichen Update über TR-069 und entsprechender Firmware lässt sich ohne weiteres Zutun zwar keine "Online-Durchsuchung" veranstalten, aber immerhin der Datenaustausch im Heimnetzwerk überwachen. Die Internet-Kommunikation bekommt der Provider sowieso mit, wenn er will. Mit etwas mehr Aufwand lassen sich über die Schnittstelle eventuell auch WLANs in der Nachbarschaft auskundschaften.

TR-069 könnte aufgrund der technischen Zugangsvoraussetzungen aber eher von Behörden als von kleinen Gaunern zur Installation von Malware benutzt werden. Dass große Unternehmen Regierungsstellen solche Eingriffe ohne große öffentliche Diskussion ermöglichen könnten, ist nicht ganz aus der Luft gegriffen, wie die Entstehung des Abhör-Standards ES 201 671 zeigt. Nach diesem Standard liefern Hardware-Hersteller und Provider von T-Com bis Siemens Polizei und Geheimdienste in aller Welt bereitwillig wenig bekannte, dafür aber ausgesprochen bequeme Abhör-Schnittstellen.

Für den Verbraucher beschränken sich die negativen Möglichkeiten von TR-069 aber nicht auf mögliche Spionage. Der Fernzugriff kann auch verhindern, dass der Benutzer den Router umkonfiguriert oder eine Firmware aufspielt, die einen höheren Datendurchsatz als den vom Provider gewünschten erlaubt. Auch Leistungseinschränkungen sind nicht ganz unwahrscheinlich: in letzter Zeit verschwimmen die Unterschiede zwischen Updates und Malware immer mehr - sei es im Falle von Microsofts WGA oder bei den automatischen Nutzungseinschränkungen im Gefolge von Blu-Ray und HD DVD.

Der Angst vor einen TR-069-Trojaner kann ebenso leicht begegnet werden wie der vor einem Windows-Update-Trojaner: Indem man Alternativen verwendet. Ob ein Router über eine solche Schnittstelle verfügt, sieht man an den Dateien "tr069.cfg" und "tr069_cert.pem". Daneben bietet sich als Lösung an, auch die Datenübertragung im hauseigenen Netzwerk zu verschlüsseln.