Kommentar zum Streit um Heimrouter: Das BSI hat recht – der CCC aber auch
Im Streit um sicherere Heimrouter helfen Maximalforderungen nicht. Der CCC merkt nicht, dass das BSI einen wichtigen Anfang gemacht hat.
(Bild: Gerd Altmann)
Dass die von Aktivisten so genannten "Plasterouter", also günstige Geräte für den Heimgebrauch, ein millionenfaches Sicherheitsrisiko darstellen, ist unbestritten. Spätestens seit dem Ausfall von 900.000 Telekom-Routern durch eine Schadsoftware Ende 2016 dürfte das Problem auch auf der politischen Agenda stehen – immerhin ist der Konzern noch zu einem großen Teil in Staatsbesitz.
Und genau darum geht es: um politische Handlungen, Regularien, Vorschriften – alles furchtbar dröge, wie auch die im schlimmsten Beamtenenglisch verfasste technische Richtlinie belegt, die auch TR Router genannt wird. Sie war nach monatelangen Verhandlungen aller Seiten vom BSI veröffentlicht worden, auch der CCC wurde zu mehreren Sitzungen eingeladen, wie er selbst angibt. Maßgeblich beteiligt waren die Provider, die noch immer einen Großteil der Geräte in die Netze bringen. Und natürlich findet dabei Lobbyarbeit statt, welche die Hacker gerne auch als "Sabotage" diffamieren.
"Mindesthaltbarkeitsdatum"
Dabei ist das der völlig normale erste Teil eines politischen Prozesses: Ein Problem mit einer Klasse von Konsumprodukten wird erkannt, die Verursacher sollen es beheben und wollen dabei natürlich möglichst wenig Geld ausgeben. Wer jetzt an den Dieselskandal denkt, hat recht – nur ist dabei nach nun drei Jahren brodelnder Diskussion noch nicht einmal eine Richtlinie des Kraftfahrtbundesamtes herausgekommen, bei den Routern nach nicht einmal zwei Jahren aber schon. Es geht hier also schneller, und die Lösungsvorschläge des BSI sind durchaus konkret.
So soll es das "Mindesthaltbarkeitsdatum", also eine Angabe des Supportzeitraums, immerhin geben. Der CCC beharrt seit Anfang der Diskussion auf einem Aufkleber auf der Packung, als wäre der Router ein leicht verderbliches Lebensmittel. Das BSI schlägt andere Wege wie Einträge auf der Website des Herstellers vor. Natürlich erreicht die Information dann nicht alle Nutzer – gerade die Verwender eines Provider-Routers in der Standardkonfiguration dürften selten auf der Homepage des Anbieters nachschauen. Meist verstauben die "WLAN-Kästchen" irgendwo hinter dem Sofa, zusammen mit dem Wissen, dass die Dinger recht wichtige Geräte und oft der einzige Schutz vor Bedrohungen aus dem Internet sind. Ein Warnhinweis wie "dieser Router ist ab dem 1. 12. 2020 garantiert unsicher" auf der Schachtel ist auch illusorisch – das gibt es bei keinem anderen Gerät. Schon allein deswegen könnten die Hersteller gegen eine solche Vorschrift auch recht leicht klagen und vermutlich recht bekommen.
Alternative Firmware
Der zweite große Streitpunkt ist die Möglichkeit, eine andere Firmware zu installieren. Das BSI unterstützt das, legt aber in der TR Router Wert darauf, dass der Router sie verifizieren kann. Freilich hat der Hersteller, der beispielsweise die nötigen Zertifikate für die Installation verwaltet, damit noch etwas Kontrolle über das Gerät. Aber das BSI weist richtigerweise darauf hin, dass solche Mechanismen die Installation von Schadsoftware zumindest erschweren. Dass gerade das nicht immer ein echter Schutz ist, hat der Fall der Telekom-Router gezeigt, auch wenn die Geräte nur abstürzten und die Malware gar nicht im Router landete. Sichere Techniken vorzuschlagen, wie alternative Firmware den Weg ins Gerät findet, hat der CCC in seiner öffentlichen Kritik aber versäumt. Dass jeder mit seinem Router alles machen kann – was ja bei offenen Geräten schon der Fall ist – stellt im Falle von unbedarften Anwendern derzeit eher ein Risiko als einen Nutzen dar.
Bei all dem Streit darf auch nicht vergessen werden, dass das BSI eine Bundesbehörde ist und kein freigeistiger Verein wie der CCC. Die Politik muss sich darauf verlassen können, dass Richtlinien wie die TR Router auch rechtlich Bestand haben. Und mehr als deutlich hat das BSI auch darauf hingewiesen, dass das Papier so wörtlich "ein erster Schritt zu mehr IT-Sicherheit für die Anwender" sein soll. Dem Amt ist also bewusst, dass es sich wie bei aller Entwicklung von Technik um einen fortlaufenden Prozess handelt. Zudem lädt die Behörde den CCC ausdrücklich ein, dabei weiter mitzumachen. Dass nicht alle Wünsche des Clubs in der ersten Runde berücksichtigt wurden, sollte kein Grund sein, die Richtlinie in Gänze zu verdammen. Die Forderungen nach einem klar ersichtlichen Supportzeitraum sowie der Möglichkeit, offene Firmware zu verwenden, sind ja durchaus sinnvoll – es geht nur noch um das Wie. (nie)
