gekapert

Editorial: Sicherheitslücken überall

Heute gibt es unsichere Router. Folgen demnächst auch unsichere Toaster? Immer mehr Updates werden zur Qual für die Verbraucher. Was kann man dagegen tun?
AAA
Teilen (1)

Nun ausgerechnet das Protokoll TR-069 zur Fernwartung von DSL- und Kabel-Routern durch die Internet-Provider: Was dazu gedacht war, um durch zentrale Administration die Sicherheit zu erhöhen, stellt sich nun als Sicherheitslücke heraus. Sowohl die Fernwartungs-Server, die die Verteilung von Firmware-Updates und neuen Konfigurationen an die Router koordinieren, als auch die Router selber sind verwundbar. Kunden, die einen Zwangsrouter vom Provider einsetzen, haben meist keine Chance, dieser Lücke zu entkommen, denn viele Provider sperren die Funktion zur Deaktivierung von TR-069 im Routermenü. Sie müssen also warten, bis die Sicherheitslücke sowohl auf den Fernwartungsservern der Provider, als auch in den Routern geschlossen ist.

Die einzige Alternative für Zwangsrouter-Nutzer - nämlich die Router vom Netz zu trennen - scheidet auch aus, denn dann hat man keinen Internetzugang mehr. Die neue Lücke ist daher Wasser auf die Mühlen der Zwangsrouter-Gegner: Wer sich seinen Router selber gekauft hat, und dort die vom Provider per Brief übermittelten Zugangsdaten eingetragen hat, braucht kein TR-069, und kann das Protokoll samt der Sicherheitsgefahren deaktivieren, sollte es überhaupt aktiv sein. In den Werkseinstellungen von "freien" Routern ist dieses Protokoll aber ohnehin meist ausgeschaltet.

Leider sind die Router auch ein lohnendes Angriffsziel für die Internet-Mafia (zum Geldverdienen) und Geheimdienste (zum Sammeln von Informationen). Da die Router meist auch die Telefonie abwickeln, können sie leicht zum Schaden der Nutzer gefälschte Anrufe zu teuren Service-Rufnummern auslösen. Ebenso sind die Router ein Einfallstor zum lokalen Netz, in dem so einiges an Inhalten unverschlüsselt übertragen wird: Gerasterte Seiten zum Drucker, gestreamte Mediendateien zum Fernseher oder das Backup vom Smartphone zum PC. Darunter finden sich auch zahllose vertrauliche Inhalte.

Reicht dem Angreifer das alles, was er schon direkt vom Router aus erreichen kann, noch nicht aus, ist es ein leichtes, mit einem manipulierten Router den Internet-Verkehr der im lokalen Netz eingebuchten PCs, Laptops oder Smartphones umzulenken. Wenn der Router den Datenstrom geeignet manipuliert, könnte man sich zum Beispiel auch beim Surfen auf vertrauenswürdigen Sites einen Trojaner einfangen.

Verantwortung der Anbieter

Unsichere RouterUnsichere Router Es ist nur eine Frage der Zeit, bis sich alle Geräte, die einen Stecker haben, auch ins Internet einbuchen. Der "intelligente Kühlschrank" könnte beispielweise Eis nachbestellen, wenn es alle ist, oder zu Zeiten eines Strom-Überangebots schon mal für die kommenden ein, zwei Stunden "vorkühlen", indem er die Innenraumtemperatur etwas weiter absenkt als nötig. Eine vernetzte Kaffeemaschine fragt wiederum von einem online-Server das optimale Brühprofil für die gerade eingelegte Kaffeekapsel ab, in Abhängigkeit von den Geschmacksvorgaben des Nutzers.

In einer total vernetzten Welt aber künftig hunderte Geräte regelmäßig updaten zu müssen, damit sich nicht doch eines Tages ausgehend vom Toaster ein Wurm über die Waschmaschine bis zur Zentralheizung vorarbeitet, und man dann im Winter plötzlich mit kalten Füßen dasteht, wenn man nicht ein vierstelliges "Lösegeld" für die eigene Heizung an einen Cyberkriminellen überweist, ist die blanke Horrorvorstellung!

Damit die Sicherheit von vernetzten Geräten künftig ernster genommen wird, ist eine Stärkung der Verbraucherrechte dringend nötig. Die Auslieferung von Betriebssystemen oder Firmware mit kritischen Sicherheitslücken muss schmerzhafte Folgen für die Hersteller haben. Und die Nicht-Beseitigung bekannter Sicherheitslücken binnen angemessener Fristen müsste den Software-Produzenten gar noch teurer zu stehen kommen. Vielleicht wird so das eine oder andere neue Feature etwas ausgebremst. Aber im Gegenzug bleiben die Konsumenten die Herren ihrer eigenen Netze und Geräte!

Teilen (1)

Weitere Editorials