Mit <kes>+ lesen

Technische Richtlinie „Secure Broadband Router“ : Mindestanforderungen an die IT-Sicherheit eines Routers

Mit der zunehmenden Digitalisierung des Alltags sind Router ein zentraler Bestandteil der Ausstattung vieler Haushalte auf der ganzen Welt geworden. Sie sind der Türöffner zur digitalen Welt und managen das heimische Netzwerk, bestehend aus unterschiedlichsten Geräten, wie dem Smartphone, dem Drucker, der Spielekonsole, dem Kühlschrank oder der Waschmaschine. Mit einer technischen Richtlinie (TR) definiert das BSI ein Mindestmaß an IT-Sicherheit für Router mit dem Ziel, die IT-Sicherheit der Router und der Internet-Infrastruktur insgesamt zu erhöhen und „Security by Design / by Default“ in der Routerherstellung zu etablieren.

Petra HofmannBSI-Forum
Lesezeit 4 Min.

Die Erstellung der „Technischen Richtlinie Secure Broadband Router“ (BSI-TR 03148 [1]) resultierte aus den Vorkommnissen rund um einen weltweiten Angriff Ende 2016, der auch circa 900 000 Router in Deutschland betraf. Bei dem Angriff wurde versucht, über die Fernwartungsschnittstelle einen Mirai-Schadcode auf die Router aufzuspielen, der die Geräte in ein Botnetz integrieren sollte. Mirai ist eine Schadsoftwarefamilie, von der verschiedene Ableger wie beispielsweise Satori existieren. Grundsätzlich kann Mirai beliebige unzureichend gesicherte Geräte des Internet of Things (IoT) befallen. Oft nutzt die Schadsoftware den Umstand, dass viele IoT-Geräte beispielsweise Standardkennwörter verwenden, die wiederum durch ihre Mehrfachverwendung ein erhöhtes Risiko bergen. Nach der Infektion werden die Geräte in ein Botnetz integriert.

Der Vorfall von 2016 wurde aufgearbeitet und es wurde beschlossen, eine TR für Router zu erstellen. Die Federführung für dieses Vorhaben wurde dabei an das BSI übertragen. Ein im BSI bereits erarbeitetes Testkonzept für Breitbandrouter diente als Grundlage für die Inhalte der TR, die in die erste Sitzung einer vom BSI neu gegründeten Arbeitsgruppe mit Vertretern von Herstellern, Verbänden, Behörden und der Gesellschaft eingebracht wurde.

Im Rahmen dieser Arbeitsgruppe wurde in insgesamt fünf Sitzungen und zwei Kommentierungsrunden kontrovers über die Inhalte der TR diskutiert und schließlich ihre Inhalte festgelegt. Nicht immer konnten Kompromisse gefunden und es mussten verschiedene Interessen abgewogen werden. Letztlich wurde am 16. November 2018 eine erste Version der technischen Richtlinie vom BSI veröffentlicht. Diese erhielt viel Lob aber auch Kritik und markiert den Einstieg in eine fortwährende Diskussion und Fortentwicklung der TR. Ziel der TR ist dabei, die Nachweisbarkeit und Vergleichbarkeit der Sicherheitsleistung von Routern insbesondere für den Endanwender zu ermöglichen.

Die TR formuliert grundlegende Mindestanforderungen an die IT-Sicherheit von Routern. Hierbei bezieht sich die TR zunächst auf Kernfunktionen wie Internetzugang und Netzwerkmanagement. So schreibt die TR grundsätzlich einen Updatemechanismus vor und empfiehlt zusätzlich das automatisierte Empfangen von Sicherheitsupdates, sofern Nutzer diese Funktion nicht abwählen. Diese Anforderung und Empfehlung sorgt dafür, dass auftretende Sicherheitslücken, im Idealfall ohne aktives Handeln des Nutzers, geschlossen werden können.

Überdies fordert die TR, dass der Hersteller angeben muss, wie lange der Router mit sicherheitsrelevanten Updates versorgt wird, um auftretende Sicherheitslücken mit einem kombinierten Common-VulnerabilityScoring-Level (CVSL-Level) höher als 6.0 zu schließen (vgl. [2]). Dies wirkt dem Ausnutzen bekannter Sicherheitslücken entgegen. Veraltete unsichere Software ist im Bereich der Router immer noch ein weit verbreitetes Problem, wie eine Studie des American Consumer Institutes belegt [3]

Ein weiteres Sicherheitsproblem ist die Verwendung von Standardpasswörtern für eine Geräteklasse. Die TR formuliert daher die grundlegende Anforderung, schon bei der Herstellung geräteindividuelle und zufällige Passwörter zu vergeben und liefert somit einen weiteren Baustein zur Vorbeugung einer massenhaften Übernahme von Routern.

In der Diskussion zur Erstellung der TR wurden verschiedene Positionen sichtbar: Viele Netzprovider wollen zum Beispiel ihr Netz auch mit der vollständigen Kontrolle über die Routerfirmware schützen. Dem steht der Anspruch des Nutzers/Bürgers über eine freie Handhabe seines Geräts diametral gegenüber. Dazu zählt zum Beispiel das Interesse einiger Nutzer, herstellerfremde Firmware auf dem Router installieren zu können. Auf diese Weise können zum Beispiel neu bekannt gewordene Schwachstellen geschlossen werden, auch wenn der Hersteller den Support für den Router bereits eingestellt hat.

Diese Vorteile stehen allerdings einem Nachteil gegenüber, da über diese Öffnung auch Schadsoftware auf dem Router installiert werden kann. Das liegt weder im Interesse des Nutzers noch des Netzproviders. Die Öffnung für herstellerfremde Firmware generiert in bestimmten Fällen einen hohen Aufwand für den Provider, da geprüft werden muss, dass die benutzereigene, herstellerfremde Firmware sicher ist. Die TR definiert daher, dass der Router die Möglichkeit bieten kann, herstellereigene und herstellerfremde Software einzuspielen. Beim Einspielen einer herstellerfremden, nicht-signierten Software, deren Quelle ein Router nicht verifizieren kann, muss Nutzern allerdings eine Warnmeldung angezeigt und die Installation explizit bestätigt werden.

Die TR kann als Grundlage für eine Prüfung oder auch Zertifizierung verschiedener Router verwendet werden. In Verbindung mit einem Prüfverfahren kann dadurch eine Vergleichbarkeit hinsichtlich der Sicherheitsleistung verschiedener Router für den Verbrauch erreicht werden – und diesen über den Stand der Technik informieren. Hierdurch können Nutzer ein besseres Verständnis und Bewusstsein für IT-Sicherheit entwickeln.

Letztlich kann festgestellt werden, dass Router die Schwelle zwischen dem öffentlichen und dem privaten Netz bilden. Er ist das Herzstück des digitalen Hauses und zentraler Baustein der Digitalisierung. Auch im Hinblick auf eine vollkommene Vernetzung der Umgebung und der Ausbreitung des Internet of Things wird dieser in absehbarer Zukunft eher an Bedeutung gewinnen. Schon heute existieren Router, die auch die Funktionalität einer Smart-Home-Steuerzentrale umfassen. Die TR bietet für dieses Entwicklungen nicht nur eine Hilfestellung für Hersteller, auch der Verbraucher erhält eine wichtige Orientierungsgrundlage.

Literatur

[1] BSI, Technische Richtlinie Secure Broadband Router, BSI TR-03148, www.bsi.bund.de/router-tr.html

[2] National Institute of Standards and Technology, Vulnerability Metrics, https://nvd.nist.gov/vuln-metrics/cvss

[3] The American Consumer Institute Center for Citizen Research, Securing IoT Devices: How Safe Is Your Wi-Fi Router?, September 2018, www.theamericanconsumer.org/wp-content/uploads/2018/09/FINAL-Wi-Fi-Router-Vulnerabilities.pdf

Diesen Beitrag teilen: