IT-Sicherheit: Router und IoT-Geräte hän­gen ohne Up­dates im Netz

Der 35. Chaos Communication Congress (35C3) zum Jahresende (27.–30. Dezember 2019) ist schon seit einiger Zeit komplett ausverkauft: Über 16.000 Gäste und Aktive werden nach den Weihnachtstagen in Leipzig sein, der Fahrplan ist bereits online. Ein Thema, das dort für Gesprächsstoff sorgen wird, weil es praktisch alle angeht, ist die jüngste BSI-Sicherheitsrichtlinie, die als „Empfehlung“ für Router-Hersteller formuliert ist.

Genau daran knüpft sich auch der erste Kritikpunkt der CCC-Experten: Die Technische Richtlinie „Sichere Breitband-Router“ (BSI TR-03148) biete „nur so viel Sicherheit, wie es den Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu entsprechen“. Dagegen hatte der Chaos Computer Club, der auch in die Beratungen im Vorfeld eingebunden war, eine Art Mindesthaltbarkeitsdatum verlangt – eine strategische Forderung, die bereits seit Längerem vorliegt und mu­ta­tis mu­tan­dis auch für IoT-Geräte gelten soll; dass man sinnvollerweise noch deutlich mehr verlangen könnte (Open nach Lebenszeit, Verpflichtung zur Quelltexthinterlegung bei Treuhändern etc.), hatte Prof. Rüdiger Weis bereits im 33C3-Vortrag „Technologien für und wider digitale Souveränität“ deutlich gemacht. Der zweite Stein des Anstoßes betrifft die Möglichkeit, dem Router alternative Software aufzuspielen, namentlich OpenWrt (auch Entwickler dieser Linux-Distribution für WLAN-Router waren bei den Beratungen vertreten).

Das BSI hat auf diese Kritik bislang so reagiert, dass ein Mindesthaltbarkeitsdatum „nicht automatisch mehr IT-Sicherheit“ bedeute und alternative Software „keinen pauschalen Sicherheitsgewinn“ bringe. Das ist irgendwie wahr, wie das Linux-Magazin konstatiert, dürfte aber die CCC-Vertreter kaum zufriedenstellen, deren Pressemitteilung die Bitterkeit anzumerken ist, dass ihre Anregungen vergebens waren. Vermutlich wird mindestens der Jahresrückblick in Leipzig noch einmal auf das Thema zu sprechen kommen. Interessant könnte hierzu im weiteren Zusammenhang der LoRaWan-Vortrag am 27. Dezember sein: „Hunting the Sigfox: Wireless IoT Network Security“.

Auch bei Heise, wo man das Thema offenbar genau im Auge behält, dürften WLAN-Sicherheit und die Routerrichtlinie zur Sprache kommen, spätestens am 13. und 14. März 2019, wenn in Hannover die SecIT stattfindet. Bereits zur Premiere 2018 hatten es die geladenen Experten ganz gut geschafft, komplexe Security-Themen für Anwenderunternehmen verständlich darzustellen. 2019 wird zum Beispiel Klaus Schmeh von cryptovision Post-Quantum-Kryptografie als Comic erklären.