- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,323
- Punkte für Reaktionen
- 1,769
- Punkte
- 113
Heute geht es ja durch die (spezialisierten) Medien:
https://www.heise.de/security/meldu...schen-Richtlinie-sicherer-machen-4222689.html (Kurzlink: https://heise.de/-4222689)
https://www.golem.de/news/bsi-richt...nde-nicht-auf-geraet-drucken-1811-137119.html
zur Historie und zum Tauziehen über die Inhalte gehört auch das:
https://www.golem.de/news/bsi-richt...t-ueber-die-routersicherheit-1801-132363.html
https://www.golem.de/news/bsi-richtlinie-zu-routersicherheit-kommt-anfang-november-1810-137069.html
, daß das BSI nunmehr eine "Technische Richtlinie" (ganz genau die "BSI TR-03148 Secure Broadband Router") veröffentlicht hat, mit der unser aller (Home-)Router sicherer werden sollen - auch wenn wohl niemand weiß, wie das genau gehen soll für die Geräte, die heute schon in den Haushalten stehen und noch ein paar Jahre ihren Dienst tun werden.
Vieles von dem, was darin steht, kann man aber auch schon heute als "best practice" in vielen Routern sehen und auch die AVM-Geräte machen da (weil es hier ja ein AVM-Forum ist) nicht die schlechteste Figur - auch wenn sie lange nicht alle Forderungen erfüllen, besonders im Hinblick auf die automatisch vorhandenen oder vom Besitzer erst zu startenden/konfigurierenden Dienste:
Ob sie sich dafür interessieren oder nicht, ist dann wieder eine andere Frage ... aber das "Wer sich dafür interessiert, hätte es wissen können." wird damit als Argument nicht länger ziehen, wenn ein Hersteller solche Möglichkeiten für "fremdbestimmte Geräte" im Netz des Kunden einfach unterschlägt. Da reicht jetzt wohl auch kein Verweis auf Seite 2158 im Handbuch, wo diese Möglichkeit mal am Rande erwähnt wurde ... ein "MUST be visible to the end-user" ist damit wohl kaum "befriedigt".
Was das jetzt für den Media-Server heißt und ob AVM den weiterhin in den Werkseinstellungen aktiviert läßt (wo er dann auch gleich den Inhalt des eingebauten NAS-Flashs und aller angesteckten USB-Volumes automatisch für (unauthentifizierten) Lesezugriff für jedes Gerät im LAN zur Verfügung stellt), wird die Zukunft hoffentlich zeigen. Vielleicht liest AVM ja auch den Abschnitt 2.3 und darin besonders die Ausführungen im letzten Absatz.
-------------------------------------------------------------------------------------
Trotzdem ist die TR (neben der Kritik am Inhalt, die auch in diversen Quellen nachzulesen ist) irgendwie ein zahnloser Tiger und stellt am Ende auch nicht mehr als eine "Empfehlung" dar. Wenn ich nichts verpaßt habe, ist es eben auch künftig erlaubt, Geräte als Broadband-Router zu betreiben (und auch in D zu vertreiben), die den in der TR niedergelegten Vorstellungen nicht mal im Ansatz gerecht werden und damit landet der schwarze Peter dann doch wieder beim Kunden/Verbraucher.
Weiterhin kann jeder Provider seinen Kunden Geräte "überlassen", die diesen Anforderungen nicht entsprechen und jeder Kunde kann weiterhin die unsicherste Büchse von allen für seinen Anschluß verwenden, selbst wenn die 10 Sekunden nach dem Herstellen der Verbindung zum Provider schon auf einen "anderen Herrn und Meister" hört.
Irgendwelche Konsequenzen für einen der Beteiligten gibt es wohl nicht ... weder beim Hersteller, noch beim Provider oder gar beim Kunden. Vielleicht wird das irgendwann in der Zukunft mal eine Rolle spielen in irgendwelchen Prozessen, was denn nun "Stand der Technik" ist (bzw. war) und wieviel Sicherheit man von einem solchen Router als Kunde (oder Provider, denn irgendwann kommen auch mal Prozesse wegen "Fremdnutzung" zustande, wo der Kunde in Anspruch genommene Leistungen des Providers dann nicht zahlen will) wohl erwarten darf, wenn es von einem Händler nach D eingeführt und hier verkauft wird.
Aber auch da spielt dann eher wieder der EU-Binnenmarkt eine Rolle ... denn solange solche "Vorgaben" nicht in allen Mitgliedsstaaten gelten, darf wohl kein Staat alleine irgendwelche Verkaufs- oder Nutzungsverbote für (bekannt) unsichere Router verhängen.
So nett es also auch sein mag, daß mal jemand beim BSI aus den Empfehlungen, die man ansonsten auch direkt im Internet nachlesen könnte, eine "Technische Richtlinie" zusammengeschrieben hat ... so nutzlos ist sie (zumindest in meinen Augen) aber auch und da kommt dann noch die Frage obendrauf, warum es von dieser TR eigentlich keine deutsche Übersetzung gibt (zumindest finde ich keine: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/traenderungen_node.html).
Denn die Ausführungen im Abschnitt 2.3 (Threat Model) könnten auch als "amtliches Dokument" durchaus ihren Beitrag leisten, entsprechende Argumentationen im Internet zu untermauern ... wenn jemand in einem Blog die potentiellen Gefahren beschreibt, denen ein SOHO-Router (bzw. eigentlich jedes Netz) ausgesetzt ist, dann kann so ein Verweis auf ein Dokument des BSI (zumindest für den "normalen" Entscheider, der nicht ohnehin viele der Aussagen des BSI etwas argwöhnisch betrachtet - und zwar häufig auch zurecht) schon dem Ganzen etwas mehr Gewicht verleihen ... aber dazu sollte es dann auch "ohne Bruch" zu integrieren sein und das ist bei einem englischsprachigen Dokument einer deutschen Behörde (und das "Bundesamt" ist m.W. eine solche) schon irgendwie komisch, solange der/das Blog nicht auch in Englisch verfaßt ist, was es (immer noch) für viele Verbraucher halt weniger interessant macht.
Mein (persönliches) Fazit: Neuer Wein in alten Schläuchen (oder wie das richtig heißt im Volksmund) und der Wille, bloß niemandem weh zu tun und gleichzeitig sagen zu können: "Wir haben doch unsererseits alles Erdenkliche getan.", scheint an viel zu vielen Stellen durch - da bin ich ganz der Meinung der Kommentatoren bei heise.de und golem.de.
https://www.heise.de/security/meldu...schen-Richtlinie-sicherer-machen-4222689.html (Kurzlink: https://heise.de/-4222689)
https://www.golem.de/news/bsi-richt...nde-nicht-auf-geraet-drucken-1811-137119.html
zur Historie und zum Tauziehen über die Inhalte gehört auch das:
https://www.golem.de/news/bsi-richt...t-ueber-die-routersicherheit-1801-132363.html
https://www.golem.de/news/bsi-richtlinie-zu-routersicherheit-kommt-anfang-november-1810-137069.html
, daß das BSI nunmehr eine "Technische Richtlinie" (ganz genau die "BSI TR-03148 Secure Broadband Router") veröffentlicht hat, mit der unser aller (Home-)Router sicherer werden sollen - auch wenn wohl niemand weiß, wie das genau gehen soll für die Geräte, die heute schon in den Haushalten stehen und noch ein paar Jahre ihren Dienst tun werden.
Vieles von dem, was darin steht, kann man aber auch schon heute als "best practice" in vielen Routern sehen und auch die AVM-Geräte machen da (weil es hier ja ein AVM-Forum ist) nicht die schlechteste Figur - auch wenn sie lange nicht alle Forderungen erfüllen, besonders im Hinblick auf die automatisch vorhandenen oder vom Besitzer erst zu startenden/konfigurierenden Dienste:
und dann in Kapitel 4:All functionalities (e.g. NAS or Smart Home) that do not affect the Internet gateway and network management functionality of the router (See Section 2: Scope) and thus do not affect IT-security of the routers for end-users are out of scope, but must be deactivated per default (see Section 4: Functionalities).
und in 4.8 (Remote Configuration) - aka TR-069 - dann noch das:To minimize possible vectors for an attacker it is RECOMMENDED, to only have a minimum set of functionalities activated in factory settings and after initialization. Functionalities, which are deactivated as a
factory setting MUST be made transparent to the end-user IF they become activated during initialization. Functionalities MUST NOT be hidden from the end-user.
Künftig dürfen wir dann auch bei (konformen) FRITZ!Boxen also davon ausgehen, daß die Informationen zu TR-069 wenigstens sichtbar sind (auch bei Provider-Boxen, denn da steht ja ausdrücklich, daß der "end-user" das sehen können muß), selbst wenn man sie bei Mietgeräten wohl nicht abschalten können muß. Bei DOCSIS-Geräten gehört dann vielleicht auch noch der Hinweis auf die Konfigurationsmöglichkeiten über SNMP (das dort im Standard verankert ist) dazu - die wenigsten "end-user" dürften sich damit auskennen.Remote configuration MUST only be allowed with an encrypted and (server-) authenticated connection according to [TR-02102-2] Section 3 Recommendations or other techniques fulfilling the same security requirements. It MUST be visible to the end-user, if remote configuration is currently activated.
Ob sie sich dafür interessieren oder nicht, ist dann wieder eine andere Frage ... aber das "Wer sich dafür interessiert, hätte es wissen können." wird damit als Argument nicht länger ziehen, wenn ein Hersteller solche Möglichkeiten für "fremdbestimmte Geräte" im Netz des Kunden einfach unterschlägt. Da reicht jetzt wohl auch kein Verweis auf Seite 2158 im Handbuch, wo diese Möglichkeit mal am Rande erwähnt wurde ... ein "MUST be visible to the end-user" ist damit wohl kaum "befriedigt".
Was das jetzt für den Media-Server heißt und ob AVM den weiterhin in den Werkseinstellungen aktiviert läßt (wo er dann auch gleich den Inhalt des eingebauten NAS-Flashs und aller angesteckten USB-Volumes automatisch für (unauthentifizierten) Lesezugriff für jedes Gerät im LAN zur Verfügung stellt), wird die Zukunft hoffentlich zeigen. Vielleicht liest AVM ja auch den Abschnitt 2.3 und darin besonders die Ausführungen im letzten Absatz.
-------------------------------------------------------------------------------------
Trotzdem ist die TR (neben der Kritik am Inhalt, die auch in diversen Quellen nachzulesen ist) irgendwie ein zahnloser Tiger und stellt am Ende auch nicht mehr als eine "Empfehlung" dar. Wenn ich nichts verpaßt habe, ist es eben auch künftig erlaubt, Geräte als Broadband-Router zu betreiben (und auch in D zu vertreiben), die den in der TR niedergelegten Vorstellungen nicht mal im Ansatz gerecht werden und damit landet der schwarze Peter dann doch wieder beim Kunden/Verbraucher.
Weiterhin kann jeder Provider seinen Kunden Geräte "überlassen", die diesen Anforderungen nicht entsprechen und jeder Kunde kann weiterhin die unsicherste Büchse von allen für seinen Anschluß verwenden, selbst wenn die 10 Sekunden nach dem Herstellen der Verbindung zum Provider schon auf einen "anderen Herrn und Meister" hört.
Irgendwelche Konsequenzen für einen der Beteiligten gibt es wohl nicht ... weder beim Hersteller, noch beim Provider oder gar beim Kunden. Vielleicht wird das irgendwann in der Zukunft mal eine Rolle spielen in irgendwelchen Prozessen, was denn nun "Stand der Technik" ist (bzw. war) und wieviel Sicherheit man von einem solchen Router als Kunde (oder Provider, denn irgendwann kommen auch mal Prozesse wegen "Fremdnutzung" zustande, wo der Kunde in Anspruch genommene Leistungen des Providers dann nicht zahlen will) wohl erwarten darf, wenn es von einem Händler nach D eingeführt und hier verkauft wird.
Aber auch da spielt dann eher wieder der EU-Binnenmarkt eine Rolle ... denn solange solche "Vorgaben" nicht in allen Mitgliedsstaaten gelten, darf wohl kein Staat alleine irgendwelche Verkaufs- oder Nutzungsverbote für (bekannt) unsichere Router verhängen.
So nett es also auch sein mag, daß mal jemand beim BSI aus den Empfehlungen, die man ansonsten auch direkt im Internet nachlesen könnte, eine "Technische Richtlinie" zusammengeschrieben hat ... so nutzlos ist sie (zumindest in meinen Augen) aber auch und da kommt dann noch die Frage obendrauf, warum es von dieser TR eigentlich keine deutsche Übersetzung gibt (zumindest finde ich keine: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/traenderungen_node.html).
Denn die Ausführungen im Abschnitt 2.3 (Threat Model) könnten auch als "amtliches Dokument" durchaus ihren Beitrag leisten, entsprechende Argumentationen im Internet zu untermauern ... wenn jemand in einem Blog die potentiellen Gefahren beschreibt, denen ein SOHO-Router (bzw. eigentlich jedes Netz) ausgesetzt ist, dann kann so ein Verweis auf ein Dokument des BSI (zumindest für den "normalen" Entscheider, der nicht ohnehin viele der Aussagen des BSI etwas argwöhnisch betrachtet - und zwar häufig auch zurecht) schon dem Ganzen etwas mehr Gewicht verleihen ... aber dazu sollte es dann auch "ohne Bruch" zu integrieren sein und das ist bei einem englischsprachigen Dokument einer deutschen Behörde (und das "Bundesamt" ist m.W. eine solche) schon irgendwie komisch, solange der/das Blog nicht auch in Englisch verfaßt ist, was es (immer noch) für viele Verbraucher halt weniger interessant macht.
Mein (persönliches) Fazit: Neuer Wein in alten Schläuchen (oder wie das richtig heißt im Volksmund) und der Wille, bloß niemandem weh zu tun und gleichzeitig sagen zu können: "Wir haben doch unsererseits alles Erdenkliche getan.", scheint an viel zu vielen Stellen durch - da bin ich ganz der Meinung der Kommentatoren bei heise.de und golem.de.