CCC: Richtlinie zur Router-Sicherheit ist eine Farce

26.11.2018

Das BSI hat seine Richtlinie zur Router-Sicherheit veröffentlicht, die der Chaos Computer Club für wenig gelungen hält.

Unter dem Aktenzeichen "BSITR-03148" hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Richtlinie für "Sichere Breitband Router" veröffentlicht. Sie definiert grundlegende Sicherheitsanforderungen an gängige Breitband-Router, die von Endkunden in den Bereichen Small Office und Home Office (SOHO), also in privaten Haushalten oder Kleinstunternehmen, zum Einsatz kommen. Sie richtet sich als Empfehlung primär an die Hersteller dieser Router, soll aber auch für AnbieterInnen und NutzerInnen nützen, wenn sie sich über den Stand der Technik informieren möchten. Die BSI-Richtlinien müssen von Herstellern nicht übernommen werden, sie können aber mit einem Logo darauf hinweisen, wenn ein Produkt den Richtlinien des BSI entspricht.

Wenig Gefallen findet der Chaos Computer Club an der BSI-Publikation. Die Richtlinie sei eine "Farce", so der CCC in einer Stellungnahme:

"Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren Mehrwert für den Verbraucher als sicher."

Zwei wesentliche Forderungen des CCC sowie des OpenWRT-Projekts wurden nicht umgesetzt. Das ist einmal ein transparentes "Mindesthaltbarkeitsdatum", das dem Kunden mitteilt, wie lange der Hersteller ein Gerät mit Updates versorgen wird. Das andere ist die Garantie des Herstellers, auf einen Router nach Ablauf dieses Datums eine offene Firmeware wie OpenWRT einspielen zu können.

Zwar heißt es in der Richtlinie, dass der Hersteller verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen Sicherheitsupdates zu machen. Diese Angaben müssen aber nicht, wie vom CCC gefordert, schon auf der Verpackung oder in der Werbung gemacht werden.

„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018