zurück zum Artikel

Freier Systemsoftware auf Geräten mit Funk-Funktion könnte es bald an den Kragen gehen: In der EU tritt ein Verbot im Juni 2016 in Kraft, in Nordamerika soll es alsbald beschlossen werden. Leidtragende dürften Hersteller wie DD-WRT sein.

Neue Vorschriften werden es erheblich erschweren, systemrelevante Software in Geräten mit Funk-Funktion in Eigenregie oder unter Zuhilfenahme fremder Software zu verbessern oder zu installieren. Das Europäische Parlament und der Rat haben vergangenes Jahr weitgehend unbemerkt ein Verbot beschlossen (Richtlinie 2014/53/EU), das am 13. Juni 2016 in Kraft tritt. Die US-Regulierungsbehörde FCC plant nun eine gleichartige Einschränkung [1], die dann auch Kanada übernehmen würde. Ein Verbot speziell für WLAN-Geräte (5 GHz) ist in den beiden [2] Ländern, USA und Kanada, bereits in Kraft.

Genau genommen beziehen sich die Restriktionen auf Software, die den Funkbetrieb beeinflusst. Damit soll sichergestellt werden, dass Vorschriften über Frequenznutzung, Sendeleistung und Modulationen eingehalten werden. Jedoch sind viele moderne Geräte stark integriert und finden auf nur wenigen oder einem einzigen Baustein Platz (System on a Chip). Unabhängig vom guten Willen dürfte es vielen Herstellern daher schwer fallen, lediglich die Funk-Firmware vollständig gegen Manipulation abzusichern, das restliche System aber offenzulassen.

Da hilft auch die Präambel der EU-Richtlinie [3] wenig, in der es heißt, dass die Sperre "nicht dazu missbraucht werden (sollte), die Verwendung der Anlagen mit Software von unabhängigen Anbietern zu verhindern." Denn Artikel 3, Abschnitt i, schreibt ausdrücklich vor, dass die Funkanlage sicherstellen muss, "dass nur solche Software geladen werden kann, für die die Konformität ihrer Kombination mit der Funkanlage nachgewiesen wurde". Und kaum ein Hersteller wird den Nachweis führen wollen, dass die von einem Verbraucher ausgewählte freie Software die Konformität nicht beeinträchtigt.

Dazu kommt, dass die Umsetzung durch die Mitgliedsstaaten nicht unbedingt im Detail einheitlich erfolgen dürfte. Die EU-Kommission hat von der Möglichkeit, detailliertere Bestimmungen ohne Gesetzeskraft zu erlassen, bisher keinen Gebrauch gemacht. Bis zum Inkrafttreten der Richtlinie sind es aber nur noch rund neun Monate.

In den USA regt sich Widerstand

Öffentliche Aufmerksamkeit gab es bislang keine, selbst die Hersteller wurden offenbar unvorbereitet getroffen. Gegen die geplante Ausweitung in den USA regt sich nun erster Widerstand. Denn davon ist jedes neue Modell betroffen, das eine Funk-Funktion aufweist, nicht nur WLAN-Geräte. Diverse Organisationen werden dazu aufrufen, der FCC die Meinung zu sagen. Dazu hat jedermann bis zum 9. Oktober 2015 Gelegenheit, auch Ausländer; den Termin hatte die FCC auf Wunsch der Industrie um einen Monat verlängert.

Software Defined Radios dürfen schon seit Jahren nur mit abgesicherte Software ausgeliefert werden. Wie die FCC feststellt, sind Produkte mit SDR aber selten. Warum nun gerade die Ausweitung der SDR-Vorschriften auf alle Produkte hilfreich sein soll, bleibt undeutlich.

DD-WRT muss weg

Für klassische 5-GHz-WLAN-Module gelten die nordamerikanischen Einschränkungen bereits seit drei Monaten. Sie sind Vorbild für die geplanten allgemeinen Restriktionen. Neue Modelle von WLAN-Geräten dürften vorerst nur mit DRM (Digital Restrictions Management) auf den Markt kommen, sodass die Eigentümer keine Verbesserungen vornehmen können. In neun Monaten tritt zusätzlich ein Vertriebsverbot für früher genehmigte Modelle in Kraft. Es hat den Anschein, dass für diese dann sogar einfache Software-Updates, etwa gegen Sicherheitslücken, illegal werden.

Auffällig ist, dass die Behörde ihren Unterlagen zu den 5-GHz-Geräten nur eine Software namentlich nennt: Die verbreitete Router-Firmware DD-WRT. "Beschreiben Sie im Detail, wie das Gerät gegen 'flashen' und die Installation von Drittanbieter-Firmware wie DD-WRT geschützt ist", heißt es in den Anweisungen an Gerätehersteller oder -importeure (siehe Download unten).

DD-WRT steht aber offenkundig nur als Beispiel für beliebige Betriebssysteme da, die Nutzer bisher in Eigenregie auf ihre Geräte aufspielen können. Diese rigide Haltung leuchtet nicht ein. Beispielsweise arbeitet DD-WRT mit Linksys und Marvell, dem Zulieferer des WLAN-Bausteins zusammen, um die Linksys-Router WRT1900AC und WRT1200AC mit seiner eigenen Firmware ausstatten zu können [4] – und den entscheidenden Treiber dafür, entwickelt DD-WRT nicht selbst, sondern bezieht ihn von Linksys und Marvell.

Marktabschottung

Die Hersteller müssen außerdem die Installation freier Software, die für andere Regionen als die USA konzipiert ist, unterbinden. Das dürfte manchen Anbietern gelegen kommen: Weil die US-Version andernorts illegal sein kann, verhindert diese Einschränkungen den rechtskonformen Betrieb vieler Geräte in anderen Ländern. Somit sind abgeschottete Märkte zwischen Kontinenten und Ländern vorstellbar und damit auch größere Preisunterschiede.

Wie alternative Software konkret draußen gehalten werden soll, schreibt die FCC indes nicht vor. Sie empfiehlt allgemein die Anwendung von "Industriestandards für starke Sicherheit und Authentifizierung." Dann möchte die Behörde aber schon wissen, welche Sicherheitsmaßnahmen und -systeme es gibt, die sicherstellen, dass "nur ordentlich authentifizierte Software vom Gerät geladen und betrieben" wird.

Ungeahnte Folgen

Das geplante Verbot hätte weitreichende Folgen für IT-Sicherheit und Wettbewerb. Für freie Software gibt es oft auch dann noch Sicherheits-Updates, wenn sich der Hersteller nicht mehr schert, nicht mehr existiert oder aufgrund von undurchsichtigen Importwegen im Dunkeln bleibt. Zudem wird Netz-Hardware in sicherheitskritischen Einrichtungen häufig mit modifizierter Firmware versehen, die ein Sicherheits-Audit durchlaufen hat und nur ein Minimum an Funktionen aufweist. Denn weniger Funktionen reduzieren das Risiko.

Indes wünschen sich Verbraucher meist zusätzliche Funktionen. Die derzeit bestehende Konkurrenz durch DD-WRT im Routermarkt, CyanogenMod bei Smartphones, Linux bei Laptops und PC sowie durch andere alternative Systeme, hält die Hersteller auf Trab und gleichzeitig die Preise im Zaum. Fällt diese Konkurrenz weg, könnte es für Verbraucher teuerer werden.

Lösung denkbar, aber schwierig

Zwar könnte ein Teil des Problems durch entsprechende System-Designs gelöst werden, bei denen die Funkparameter komplett von anderen Treiber- und Systemfunktionen abgeschottet sind. Dann müsste nur die Manipulation der Funk-Parameter verhindert werden. Mit guter Dokumentation könnten unabhängige Fachleute dann wieder kompatible Alternativsoftware schreiben.

Doch haben die meisten Hersteller wenig Interesse daran, neue System-Designs zu forcieren. Schon jetzt fehlen zu oft offene Treiber. Und auch die freie Software schreibt sich nicht von selbst. Sollten die Funk-Parameter einmal geändert werden müssen, etwa weil sich Vorschriften ändern, eine Sicherheitslücke entdeckt wurde, oder der Nutzer mit seinem Gerät in ein Land mit anderen Funkvorschriften umzieht, würde das Gerät plötzlich nutzlos.

Das Nachsehen hätten auch lizenzierte Funkamateure: Sie verwenden heute gerne günstige handelsübliche Geräte mit veränderten Einstellungen. Dazu sind diese Betreiber qua ihrer Lizenz berechtigt. Sobald das technisch unterbunden ist, müssen sie weitaus teurere Spezialprodukte kaufen, oder aufs Funken verzichten.

[Update]: 03.9.2015, 18:15, Frist für Eingaben bei der FCC korrigiert [/Update]

[Update]: 03.9.2015, 19:58, Verlängerung der Eingabefrist nachgetragen [/Update]

• Software Security Requirements für WLAN-Geräte im 5-GHz-Band [5] (FCC-Dokument als PDF)
  

(ds [6])

URL dieses Artikels:
https://www.heise.de/-2803189

Links in diesem Artikel:
[1] https://www.federalregister.gov/articles/2015/08/06/2015-18402/equipment-authorization-and-electronic-labeling-for-wireless-devices#
[2] http://www.ic.gc.ca/eic/site/smt-gst.nsf/eng/sf10971.html#s2.1
[3] http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A32014L0053&from=EN
[4] https://www.heise.de/news/WRT-Betriebssysteme-fuer-neue-WLAN-Router-oder-auch-nicht-2188821.html
[5] https://www.heise.de/downloads/18/1/5/7/9/4/3/6/GetAttachment.pdf
[6] mailto:ds@heise.de

Copyright © 2015 Heise Medien