Editorial: Sicherheitslücken überall
Unsichere Router
Bild: teltarif.de
Nun ausgerechnet das Protokoll TR-069 zur Fernwartung von DSL- und
Kabel-Routern durch die Internet-Provider: Was dazu gedacht war, um durch
zentrale Administration die Sicherheit zu erhöhen, stellt sich nun als
Sicherheitslücke heraus. Sowohl die
Fernwartungs-Server, die die Verteilung von Firmware-Updates und
neuen Konfigurationen an die Router koordinieren, als auch die Router
selber sind verwundbar. Kunden, die einen Zwangsrouter vom Provider
einsetzen, haben meist keine Chance, dieser Lücke zu entkommen, denn
viele Provider sperren die Funktion zur Deaktivierung von TR-069
im Routermenü. Sie müssen also warten, bis die Sicherheitslücke sowohl
auf den Fernwartungsservern der Provider, als auch in den Routern
geschlossen ist.
Die einzige Alternative für Zwangsrouter-Nutzer - nämlich die Router vom Netz zu trennen - scheidet auch aus, denn dann hat man keinen Internetzugang mehr. Die neue Lücke ist daher Wasser auf die Mühlen der Zwangsrouter-Gegner: Wer sich seinen Router selber gekauft hat, und dort die vom Provider per Brief übermittelten Zugangsdaten eingetragen hat, braucht kein TR-069, und kann das Protokoll samt der Sicherheitsgefahren deaktivieren, sollte es überhaupt aktiv sein. In den Werkseinstellungen von "freien" Routern ist dieses Protokoll aber ohnehin meist ausgeschaltet.
Leider sind die Router auch ein lohnendes Angriffsziel für die Internet-Mafia (zum Geldverdienen) und Geheimdienste (zum Sammeln von Informationen). Da die Router meist auch die Telefonie abwickeln, können sie leicht zum Schaden der Nutzer gefälschte Anrufe zu teuren Service-Rufnummern auslösen. Ebenso sind die Router ein Einfallstor zum lokalen Netz, in dem so einiges an Inhalten unverschlüsselt übertragen wird: Gerasterte Seiten zum Drucker, gestreamte Mediendateien zum Fernseher oder das Backup vom Smartphone zum PC. Darunter finden sich auch zahllose vertrauliche Inhalte.
Reicht dem Angreifer das alles, was er schon direkt vom Router aus erreichen kann, noch nicht aus, ist es ein leichtes, mit einem manipulierten Router den Internet-Verkehr der im lokalen Netz eingebuchten PCs, Laptops oder Smartphones umzulenken. Wenn der Router den Datenstrom geeignet manipuliert, könnte man sich zum Beispiel auch beim Surfen auf vertrauenswürdigen Sites einen Trojaner einfangen.
Verantwortung der Anbieter
Unsichere Router
Bild: teltarif.de
Es ist nur eine Frage der Zeit, bis sich alle Geräte, die einen
Stecker haben, auch ins Internet einbuchen. Der "intelligente
Kühlschrank" könnte beispielweise Eis nachbestellen, wenn es alle ist,
oder zu Zeiten eines Strom-Überangebots schon mal für die kommenden
ein, zwei Stunden "vorkühlen", indem er die Innenraumtemperatur etwas
weiter absenkt als nötig. Eine vernetzte Kaffeemaschine
fragt wiederum von einem online-Server das optimale Brühprofil für
die gerade eingelegte Kaffeekapsel ab, in Abhängigkeit von den
Geschmacksvorgaben des Nutzers.
In einer total vernetzten Welt aber künftig hunderte Geräte regelmäßig updaten zu müssen, damit sich nicht doch eines Tages ausgehend vom Toaster ein Wurm über die Waschmaschine bis zur Zentralheizung vorarbeitet, und man dann im Winter plötzlich mit kalten Füßen dasteht, wenn man nicht ein vierstelliges "Lösegeld" für die eigene Heizung an einen Cyberkriminellen überweist, ist die blanke Horrorvorstellung!
Damit die Sicherheit von vernetzten Geräten künftig ernster genommen wird, ist eine Stärkung der Verbraucherrechte dringend nötig. Die Auslieferung von Betriebssystemen oder Firmware mit kritischen Sicherheitslücken muss schmerzhafte Folgen für die Hersteller haben. Und die Nicht-Beseitigung bekannter Sicherheitslücken binnen angemessener Fristen müsste den Software-Produzenten gar noch teurer zu stehen kommen. Vielleicht wird so das eine oder andere neue Feature etwas ausgebremst. Aber im Gegenzug bleiben die Konsumenten die Herren ihrer eigenen Netze und Geräte!