(Bild: gemeinfrei)

Eine Technische Richtlinie für Router des BSI soll Hersteller dazu bringen, einige verpflichtende sicherheitstechnische Mindestanforderungen einzuhalten.

Um den Verbraucherschutz zu verbessern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie (TR) "Secure Broadband Router" (BSI TR-03148) veröffentlicht. Sie richtet sich vor allem an Hersteller von Breitband-Routern und definiert ein Mindestmaß an verpflichtenden und optionalen IT-Sicherheitsmaßnahmen, die zum Schutz von Endkunden umgesetzt werden sollten.

Ein weiteres Ziel der TR ist es, die Sicherheit für Verbraucher transparent zu machen. Das können Router-Hersteller durch eine Kennzeichnung am Gerät unterstützen. Die Veröffentlichung der TR Router ist damit ein Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. In diesen Zusammenhang gehört auch das angekündigte IT-Sicherheits-Gesetz 2.0.

Security by Design

"Das smarte Zuhause steht längst im Fokus von Internet-Kriminellen, die täglich neue Methoden und Angriffsmittel entwickeln, um ins Heimnetz einzudringen, Daten zu stehlen oder Web-Transaktionen zu manipulieren. Im Sinne des digitalen Verbraucherschutzes ermöglichen wir mit der Technischen Richtlinie für Router einen besseren Schutz des Heimnetzwerks, damit die Anwender die Vorteile der Digitalisierung und des smarten Zuhauses genießen können", sagt BSI-Präsident Arne Schönbohm.

"Wir appellieren an die Hersteller, dieses Angebot anzunehmen und per Security by Design ein Mindestmaß an Sicherheit in die Router einzubauen." Die Sicherheits-Features sollen sowohl per Design als auch per Voreinstellung eingerichtet werden.

Zu den Endnutzern, auf die das Regelwerk abzielt, gehören Verbraucher, aber auch Angehörige von freien Berufen, Kleinstunternehmen und Handwerksbetriebe. Die TR ist das Ergebnis einer intensiven Diskussion des BSI mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden wie dem Innen- und dem Wirtschaftsministerium und der Zivilgesellschaft. Router sind ein potenzielles Einfallstor für Cyber-Angriffe wie beispielsweise im November 2016, als durch eine Attacke rund 900.000 Router vor allem der Deutschen Telekom ausfielen. Eine vom American Consumer Institute (ACI) veröffentlichte Studie weist darauf hin, dass es auf vielen Routern seit langem bekannte Sicherheitslücken gibt.

Router-Sicherheit durch Updates

Mit der Richtlinie will das BSI die Router deshalb widerstandsfähiger machen und so besser gegen Standardangriffe schützen. Sie konkretisiert in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionen des Routers über dessen gesamte Betriebszeit. Besonders wichtig ist die Möglichkeit, dass sicherheitsrelevante Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange ein Router mit Updates versorgt wird.

Zur Einhaltung der TR ist der Hersteller verpflichtet, schwere Sicherheitslücken durch die Bereitstellung eines Updates zu schließen oder aber die Pflege des Routers transparent aufzukündigen. Die Firmware-Updates müssen dann signiert oder über einen sicheren Kanal erfolgen. Durch diese Maßnahmen soll Angreifern die systematische Ausnutzung von Schwachstellen in Routern erschwert werden.

Weitere Sicherheitsanforderungen

Nach einer weiteren Anforderung der TR müssen die auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionen minimiert werden. Somit dürfen nur die Dienste ausgeführt werden, die für den Betrieb unbedingt notwendig sind. Der Hersteller muss diese Liste von Kerndiensten transparent machen.

Services wie VoIP und die Fernwartung müssen standardmäßig deaktiviert sein. Ferner muss auf dem Router eine Firewall mit Paket-Filter und zustandsorientierter Paketüberprüfung implementiert sein. Auch ihre Aktivierung muss für den Verbraucher transparent sein.

Zudem sieht das Regelwerk Anforderungen an initiale Passwörter und Verschlüsselung vor. So dürfen Passwörter keine Herstellerinfos enthalten, müssen mindestens acht Zeichen lang sein und aus einer Kombination von Buchstaben und Zahlen bestehen. Zudem schreibt das BSI mindestens den Einsatz des WPA2-Protokolls vor, um einen unberechtigten Zugriff aus der Nähe auf das WLAN zu verhindern.

Diskussion im Vorfeld der TR

Die meisten aktuellen Router erfüllen bereits die beschriebenen Kriterien. Dennoch verliefen die Diskussionen im Vorfeld der Veröffentlichung der TR kontrovers, da die beteiligten Organisationen unterschiedliche Prioritäten hatten.

Zu den Befürwortern gehörten Vertreter der Zivilgesellschaft. Sie plädierten für die Routerfreiheit. Die Unternehmen waren dagegen in Befürworter und Gegner gespalten. Kompromisse konnten nicht in allen Fällen geschlossen werden, da die jeweiligen Forderungen nicht immer harmonisierbar waren. So darf nun Open-Source-Software für Router verwendet werden. In diesem Fall müssen die Nutzer aber darauf hingewiesen werden. (Ulrich Hottelet) / (olb)