Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Router
Sie sind die Schnittstelle zwischen Zuhause und Internet - und damit ein lohnendes Ziel für Hacker.
Bild: AP
Ist die Software meines Routers noch aktuell? Das BSI hat eine Leitlinie entwickelt, die die Schnittstelle ins Internet sicherer machen soll.
Viele Telekom-Kunden erlebten vor zwei Jahren in der Vorweihnachtszeit ein ungewollt besinnliches Wochenende: Nach einem Hackerangriff fielen mehr als eine Million Router aus – die Telefone blieben still, das Internet war lahmgelegt, und wer über den Anbieter das TV-Programm bekam, blickte auf einen schwarzen Fernseher.
Der Vorfall ging glimpflich aus: Die Geräte liefen bald wieder, größere Schäden blieben aus – wohl auch, weil der Angreifer sich stümperhaft verhalten hatte. Dennoch war es ein Weckruf für Politik und Behörden. So forderte der damalige Innenminister Thomas de Maizière (CDU) eine stärkere Haftung für die Hersteller.
Nun macht das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen ersten Schritt, um die Absicherung von Routern zu verbessern: Die Behörde hat an diesem Freitag eine Richtlinie vorgestellt, die ein Mindestmaß von IT-Sicherheit definiert, beispielsweise mit Vorschlägen für Verschlüsselung und sichere Passwörter.
Die Vorgaben sind nicht verpflichtend. BSI-Präsident Arne Schönbohm appellierte an die Hersteller, „dieses Angebot anzunehmen und per 'Security by Design' ein Mindestmaß an Sicherheit in die Router einzubauen“. Sie sollen das durch eine „Kennzeichnung am Gerät“ zeigen. Ein offizielles Gütesiegel gibt es bislang nicht – das kommt womöglich später.
Der Router ist im Heimnetzwerk das zentrale Gerät. Er verbindet Notebook und Smartphones, aber auch eine wachsende Zahl von Smart-Home-Produkten wie vernetzte Thermostate und Sicherheitskameras mit dem Internet. Mit jedem neuen Gerät wachse „die verfügbare Angriffsfläche“, erklärte Schönbohm.
Die Kriminellen können zum einen vertrauliche Daten abgreifen, zumindest unter bestimmten Umständen – so übertragen Router E-Mails, Passwörter und die besuchten Websites. Zum anderen nutzen sie die Rechenleistung der Geräte, um schädliche E-Mails zu verschicken oder Websites zu attackieren.
Der Täter im Fall Telekom, den das Landgericht Köln inzwischen zu einer Bewährungsstrafe verurteilt hat, bekannte sich schuldig, dass er ein sogenanntes Botnetz aufbauen wollte. Dabei handelt es sich um einen Verbund von Tausenden Computern und anderen Elektronikgeräten, die Kriminelle fernsteuern können.
Der Brite erklärte, im Auftrag eines liberianischen Telekommunikationsanbieters gehandelt zu haben. Dieser habe mit einem Botnetz einen Konkurrenten lahmlegen wollen, erklärte er in der Gerichtsverhandlung. Beim Versuch, die schädliche Software aufzuspielen, stürzten die Router der Telekom-Kunden ab.
Das BSI benennt nun konkrete Sicherheitsanforderungen. So sind die Hersteller angehalten, schwere Sicherheitslücken durch Updates zu schließen – oder aber transparent zu machen, wenn sie die Software nicht mehr aktualisieren. Verbraucher sollen zudem beim Kauf erkennen, wie lange die Geräte sicherheitsrelevante Updates erhalten.
Weitere Vorgaben der Richtlinie betreffen beispielsweise den Umgang mit Passwörtern. So sollen Hersteller kein Standardpasswort für mehrere Geräte verwenden – häufig ein Einfalltor für Hacker. Auch eine Firewall soll standardmäßig zur Ausstattung gehören.
Diese Vorgaben sind aus Sicht von IT-Sicherheitsexperten nicht ungewöhnlich. Einige Hersteller halten diese auch bereits ein. Der deutsche Routerhersteller AVM etwa erklärte auf Handelsblatt-Anfrage, „dass unsere eigenen Sicherheitsrichtlinien tiefgreifender und umfassender sind“. Das dürfte aber nicht bei allen Unternehmen der Fall sein.
Ob Verbraucher künftig besser geschützt sind, hängt davon ab, ob die Hersteller auf breiter Front die Richtlinie umsetzen. Das BSI setzt darauf, dass IT-Sicherheit zu einem Verkaufsargument wird – ähnlich wie man es von Gütesiegeln kennt, die etwa die Stiftung Warentest verleiht. Kontrollen plant die Behörde jedoch nicht.
Langfristig ist eine gesetzliche Verpflichtung denkbar. Die Bundesregierung arbeite an einem Entwurf „für ein IT-Sicherheitsgesetz 2.0, das unter anderem Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen schaffen und auch die Hersteller von Software und Hardware in den Fokus nehmen wird“, sagte Innenminister Horst Seehofer (CSU) kürzlich.
Allerdings dürfte eine Verpflichtung der Hersteller im europäischen Binnenmarkt nicht über rein nationale Vorschriften möglich sein - nach Einschätzung des Bundesinnenministeriums müssen die Regeln innerhalb der EU harmonisiert sein.
Experten halten das Vorgehen für sinnvoll – die Richtlinie des BSI sei ein „guter erster Schritt“, sagt Jan-Peter Kleinhans, Leiter des Projekts IT-Sicherheit im Internet der Dinge bei der Stiftung Neue Verantwortung (SNV). Obwohl die Anwendung freiwillig sei, habe die Vorgabe durchaus Potenzial.
Zum einen werde ein Rahmen vorgegeben, der anderen Akteuren als Referenz diene: „So könnten zukünftig Test-Magazine oder Verbraucherschutzverbände die technische Richtlinie als Referenz für Produkttests nehmen.“ Zudem sei zu erwarten, dass bei möglichen Klagen gegen Routerhersteller die Sachverständigen auf das Papier des BSI zurückgreifen.
Das reicht nach Einschätzung des Kommunikationswissenschaftlers aber nicht aus. So sei wünschenswert, dass Hersteller „regelmäßig Informationen über die Vertrauenswürdigkeit ihrer Produkte veröffentlichen“, die Verbraucher direkt abrufen können – zum Beispiel indem sie einen QR-Code am Gerät scannen.
Hintergrund: Eine Zertifizierung ist nur eine Momentaufnahme, da die Hersteller die Software ständig weiterentwickeln und zudem regelmäßig neue Sicherheitslücken bekannt werden.
Zudem fordert Kleinhans eine Überwachung der Hersteller. Wenn diese selbst die Konformität mit den Regeln erklären können, müsse es Stichproben geben, um diese Aussagen zu überprüfen. „Dass sich Hersteller schon an all das halten, was sie versprechen, ist fragwürdig.“ Das zeige etwa der Umgang mit der CE-Kennzeichnung.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×