BSI plant Mindestanforderungen an die Sicherheit von Heim-Routern
Der erste Entwurf mit Kriterien, die Breitbandrouter erfüllen sollen, wurde jetzt vorgelegt. Damit sollen einheitliche Kriterien eingeführt werden, anhand derer die Sicherheit der Geräte geprüft wird. Verbraucher sollen auf dieser Grundlage besser vergleichen können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte das Sicherheitsniveau von Breitband-Routern messbar und damit vergleichbar machen. Es hat dazu jetzt den Entwurf eines Konzepts vorgelegt, in dem beschrieben wird, welche Anforderungen so ein Gerät aus seiner Sicht zu erfüllen hat und wie überprüft werden kann, ob es die erfüllt. Außerdem enthält es eine Liste mit neun Punkten, die auf jeden Fall erfüllt werden müssen, damit das Gerät überhaupt die Aussicht darauf hat, eine Empfehlung zu erhalten.
Das BSI begründet den Schritt mit der Abschaffung des Routerzwangs. Dadurch erhielten Nutzer mehr Möglichkeiten bei der Auswahl ihres Routers. Die Sicherheit eines solchen Gerätes sei daher ein wichtiges Entscheidungskriterium beim Kauf. Hersteller können den Entwurf nun bis 30. November kommentieren und gegebenenfalls Änderungs- oder Ergänzungsvorschläge einreichen.
Im Rahmen der geplanten Tests werden zahlreiche Sicherheitsaspekte überprüft. Je nachdem, wie gut diese erfüllt werden, wird das Gerät dann mit einer bestimmten Anzahl an Punkten bewertet. Deren Summe ergibt dann einen Gesamtwert, den Verbraucher bei ihrer Kaufentscheidung einfach und ohne technisches Verständnis vergleichen können. Kriterien sind zum Beispiel die Aktualität der Firmware und die Versorgung mit Updates, die Umsetzung der WLAN- und der WPS-Verschlüsselung, die Anforderungen an das Passwort für die Verwaltungsoberfläche sowie die Funktionen der Router-Firewall.
Außerdem werden in dem Entwurf auch neun Aspekte aufgeführt, die immer erfüllt sein müssen, damit der Router überhaupt in die Bewertung aufgenommen wird. Dazu gehört ein über die Weboberfläche auslösbares Firmware-Update, dass die Firewall eingehende Verbindungen auf Clients im LAN oder WLAN blockiert, dass keine undokumentierten, geöffneten Ports an der WAN-Schnittstelle existieren und die WAN-Schnittstelle nicht auf DNS- oder UPnP-Abfragen antwortet.
Außerdem darf der Router keine bekannten Schwachstellen aufweisen. Konkret nennt das BSI hier Heartbleed als Beispiel. Des weiteren darf die Weboberfläche ab Werk nicht von außen erreichbar sein und muss HTTPS unterstützen sofern der Fernzugriff möglich ist. Außerdem darf die VoIP-Implementierung nach außen keine Extension anbieten, die sich ohne Authentifizierung nutzen lässt.
Das BSI argumentiert damit, dass die Sicherheitsfunktionen der Breitbandrouter oft der einzige Schutz für das Heimnetzwerk sind. Das ist in den meisten Fällen sicher richtig. Außerdem hat es sich gezeigt, dass auf die meisten Anbieter in Bezug auf die regelmäßige Aktualisierung der Firmware älterer Gerät kaum Verlass ist – und wenn sie doch ein Update anbieten, erfahren das die Nutzer nur selten und spielen es noch seltener ein. AVM hat daher bereits im vergangenen Jahr in seiner Firmware eine automatische Aktualisierungsfunktion eingeführt. Andere Anbieter sperren sich dagegen aber noch.
Die Lücke haben – nachdem sie die Verantwortung dafür erst lange zurückgewiesen haben – inzwischen auch einige Anbieter von gängigen Security-Suiten für Heimanwender aufgegriffen. F-Secure bietet mit seiner Software Internet Security 2016 auch Sicherheitsfunktionen für Router und Heimnetzwerke. Es tritt damit in die Fußstapfen von Avast, dass ähnliche Funktionen bereits im vergangenen Jahr eingeführt hatte.