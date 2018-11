Die harsche Kritik des Chaos Computer Clubs (CCC) und von Entwicklern freier Software an der neuen "Technischen Richtlinie" für mehr IT-Sicherheit von Breitband-Routern des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Bonner Behörde zu einer Replik veranlasst. Das Normenwerk sei "ein erster Schritt" für die Anwender, betont das BSI darin. Es handle sich um ein Instrument, auf dessen Basis "der Stand der Technik" fortgeschrieben und Router sicherheitstechnisch weiterentwickelt werden könnten.

Infos auf der Homepage statt auf der Verpackung

Den Kern der Kritikpunkte aus der Hackergemeinde weist die Behörde in ihrer am Mittwoch veröffentlichten Stellungnahme zurück. So halten die dortigen Experten etwa nichts von einem leicht einsehbaren "Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden Software". In der Richtlinie "einen bestimmten Zeitraum festzuschreiben, in dem die Hersteller Sicherheitsupdates bereitstellen müssen, erzeugt nicht automatisch mehr IT-Sicherheit", heißt es in Bonn. Es sei sinnvoller, wenn die Gerätefabrikanten diese Spanne "dynamisch kommunizieren" könnten, statt sich frühzeitig "zu Lasten der Kunden" auf eine Periode festzulegen.

Während der CCC fordert, dass Informationen zu verbindlichen Updates für Käufer etwa schon beim Kauf auf der Verpackung leicht erkennbar sein sollten, reichen laut dem BSI entsprechende Angaben beispielsweise auf der Webseite des Herstellers aus. Auch auf diese Weise könne der Anwender vergleichen und die Informationen "in die Kaufentscheidung einfließen lassen". Auf jeden Fall verbessere sich die Situation im Vergleich zum Status quo, da bisher "weder Transparenz noch die Reaktion auf Sicherheitslücken an zentraler Stelle von den Herstellern gefordert" worden seien. Leider sei daher Einsatz von Routern mit bekannten, aber nicht geschlossenen Angriffsflächen immer noch verbreitet.

Die von den Hackern ins Spiel gebrachte Option, alternative freie Firmware wie OpenWrt auf den Netzwerkgeräten installieren zu können, bietet nach Ansicht der Behörde "keinen pauschalen Sicherheitsgewinn". Faktisch erlaube es die Richtlinie bereits, solche Software "über geregelte Wege" einzuspielen. Router seien meist aber nicht in der Lage, solche nicht vom Hersteller gelieferten Programme aber zu "verifizieren". So würde sich für Übeltäter auch ein Weg öffnen, Schadsoftware einzubringen. Daher müsse den Anwendern gemäß der Vorgaben vor einer Installation von Fremdcode ein entsprechender Warnhinweis angezeigt werden. Unabhängig davon könne alternative Software genutzt werden, nachdem sie vom Hersteller bestätigt worden sei.

Auch viele positive Reaktionen

Zugleich unterstreicht das BSI, in den letzten Tagen auch "viel positive Resonanz" zu den technischen Vorschriften erfahren zu haben. Die Reaktionen hätten grundsätzlich, wie notwendig es gewesen sei, Mindestsicherheitsanforderungen für die zentralen Bausteine eines sicheren Heimnetzwerks zu formulieren. Die vorab eingerichtete Arbeitsgruppe habe "von Anfang an ein breites Spektrum an Meinungen diverser Interessengruppen" abgebildet. An den CCC und andere Beobachter appelliert die Behörde ausdrücklich, sich weiterhin aktiv in das Gremium einzubringen und darüber die Richtlinie fortzuentwickeln. (Stefan Krempl) / (mho)