CCC vs. BSI 26.11.2018, 16:26 Uhr

Umstrittene Routerrichtlinien

In Deutschland streiten sich der Chaos Computer Club (CCC) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) heftig über vom BSI veröffentlichte Routerrichtlinien. Laut CCC handelt es sich bei diesen um eine «Farce». Das BSI hält dagegen.
(Quelle: ranjith ravindran / shutterstock.com )
Vor rund einer Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen Richtlinien-Katalog für Breitband-Router. Damit sollen vor allem Smart-Home-Netzwerke besser gesichert werden, so die Behörde. Nun jedoch muss sich das BSI harte Kritik vom Chaos Computer Club (CCC) anhören. Die Richtlinien seien eine Farce, so die Hacker. Das BSI hingegen verteidigt sich.
Die Technischen Richtlinien «Secure Broadband Router» (TR-03148) sind an die Gerätehersteller adressiert und definieren laut BSI ein Mindestmass an IT-Sicherheitsmassnahmen. Ausserdem sollen damit die Sicherheitseigenschaften für die Verbraucher transparenter und leichter zu verstehen sein.
Das sei laut CCC aber keineswegs der Fall. Vielmehr sollen die Käufer vor dem Erwerb eines Gerätes dank der Richtlinien keine sinnvolle Möglichkeit bekommen, sichere und langlebige Router von risikobehafteten zu unterscheiden. Wesentliche Punkte des Regelwerkes seien der Behörde zudem von Anwälten und Lobbyisten in die Feder diktiert worden, die die Hersteller entsandt hatten.
Vertreter des CCC haben laut eigenen Angaben an zahlreichen Kommentarrunden und Sitzungen zur Entstehung der TR-03148 teilgenommen, wobei aber gerade von der Industrie durchaus realisierbare Anforderungen bewusst durch Lobbyisten attackiert wurden.

Keine Möglichkeit, alternative Software zu nutzen

Konkret nannte der Club etwa das Fehlen eines «Mindesthaltbarkeitsdatums für die Pflege der auf dem Router laufenden Software». In der Stellungnahme des BSI heisst es dazu, dass die Behörde ein solches verpflichtendes Datum als nicht sinnvoll erachte. Vielmehr sollen die Hersteller den Zeitraum für Updates dynamisch gestalten und an die Kunden kommunizieren kann. Entsprechende Informationen stünden auf der jeweiligen Herstellerwebseite bereit. Ausserdem bestehe durchaus eine Pflicht für die Anbieter, innerhalb eines zugesicherten Zeitraums auf etwaige Sicherheitslücken zu reagieren.
Ein weiteres Manko, das der CCC sieht, ist die fehlende Möglichkeit, alternative Software auf die Router aufzuspielen. So habe der Nutzer auch nach Ablaut der offiziellen Produktpflege durch den Hersteller die Möglichkeit, das betreffende Gerät sicher weiterzubetreiben. Doch auch hierzu hat das BSI eine Meinung: Mit der Option, alternative Software installieren zu können, gewinnt der Nutzer keine zusätzliche Sicherheit. Die neuen Richtlinien würden die Installation alternativer Software durchaus erlauben. Das Problem liege vielmehr darin, dass diese von den meisten Herstellern nicht verifiziert wird, so die Behörde. Das wiederum könnte auch kriminellen Angreifern die Türe öffnen.
Im Gegensatz zum CCC ist das BSI offenbar mit seiner Arbeit zufrieden. In einer offiziellen Stellungnahme zur Kritik spricht die Behörde auch von «viel positiver Resonanz». Von Anfang an habe man mit verschiedenen Vertretern, sowohl vom CCC als auch von Herstellern zusammengearbeitet, um möglichst viele Aspekte zu berücksichtigen. Zudem sieht die Behörde die neuen Richtlinien nicht in Stein gemeisselt. Stattdessen ruft das BSI den CCC sowie andere Interessenten in seiner Stellungnahme ausdrücklich dazu auf, sich weiterhin in der entsprechenden Arbeitsgruppe zu engagieren, um die TR--03148 stetig weiterzuentwickeln.