Sicherheit für Heimnetzwerke: BSI und CCC streiten um Router-Richtlinie

Mit einer technischen Richtlinie will das BSI die Sicherheit von Routern verbessern und Verbraucher bei der Produktauswahl unterstützen. Der CCC übt heftig Kritik und sieht vor allem die Interessen der Industrie gewahrt und nicht die der Verbraucher.

(Foto: photosiber - AdobeStock)

In fast jedem deutschen Haushalt werkelt mittlerweile ein Router, doch viele der Geräte sind nicht aktuell, weil sie vom Hersteller nicht mehr mit Sicherheitsupdates versorgt werden oder die Nutzer diese nicht einspielen. Andere stellen ein Risiko dar, weil einfache Default-Zugangsdaten nicht geändert wurden oder auf den Systemen unzählige Dienste laufen, die die meisten Verbraucher nicht benötigen und auch nicht nutzen. Welche Auswirkungen ein Angriff auf diese Heimnetzwerk-Infrastruktur haben kann, wurde etwa vor zwei Jahren deutlich, als rund 900.000 Router von Telekom-Kunden plötzlich den Dienst versagten. Nur eine schlampig programmierte Malware verhinderte damals, dass die Geräte gekapert und zum Teil eines riesigen Botnets wurden – und stattdessen einfach abstürzten.

Mit der neuen technischen Richtlinie »Secure Broadband Router« (TR-03148) will das BSI nun für Sicherheit sorgen, gerade auch in Hinblick auf die zunehmende Vernetzung von Nicht-IT-Geräten in Haushalten, vom Fernseher bis zur Heizungssteuerung. »Mit jedem neuen Smartphone, Laptop oder smarten Haushaltsgerät wird nicht nur das Internet der Dinge ein Stückchen größer, sondern auch die verfügbare Angriffsfläche«, sagt BSI-Präsident Arne Schönbohm. Die Richtlinie definiert daher einige Mindestsicherheitsmaßnahmen, die Router-Hersteller für ihre Consumer-Geräte umsetzen sollten. Gleichzeitig soll eine Art »elektronischer Beipackzettel« die Verbraucher informieren und ihnen Hilfe bei der Kaufentscheidung leisten.

In der Richtlinie werden beispielsweise Anforderungen an das initiale Passwort und die Verschlüsselung festgelegt, ebenso dass eine Firewall an Bord sein muss und dass möglichst wenige Dienste auf dem Gerät laufen. Auch Vorgaben zum Zugriff auf die Konfigurationsoberfläche und zur Absicherung des WLANs werden gemacht. Darüber hinaus müssen Router, die der Richtlinie entsprechen sollen, die Fähigkeit haben, Updates zu erhalten und vom Hersteller bei schweren Sicherheitslücken auch tatsächlich mit Updates versorgt werden. Geht das nicht, muss der Hersteller die Pflege des Gerätes ganz offiziell aufkündigen. Verbraucher sollen klar erkennen können, wie lange ein Router mit Updates beliefert wird.

Übersicht