BSI weist Kritik an technischer Richtlinie für Breitband-Router zurück

Das Bundesamt für Sicherheit in der Informationstechnik hat die nach eigenen Angaben teils „harsche Kritik“ an seiner technischen Richtlinie für mehr IT-Sicherheit von Breitband-Routern zurückgewiesen. Den Chaos Computer Club (CCC) forderte das BSI auf, sich trotz seiner ablehnenden Haltung weiterhin an der Arbeitsgruppe zu beteiligen, die die technische Richtlinie weiterentwickeln soll.

Die erste Ausgabe der Richtlinie hatte das BSI Mitte November vorgestellt. Sie soll eine „Vergleichbarkeit und Nachweisbarkeit der Sicherheit“ von Breitbandroutern ermöglichen und auch die Grundlage für ein geplantes freiwilliges IT-Sicherheitskennzeichen sein. Dafür soll sie ein „Mindestmaß an IT-Sicherheitsmaßnahmen“ definieren, die für „Router im Endkundenbereich umgesetzt sein sollten“, teilte das BSI Mitte November mit.

Zu den Mindestanforderungen zählt das BSI die Möglichkeit, Sicherheitsupdates zu installieren. Hersteller sollen ihre Kunden zudem darüber informieren, wie lange ein Router mindestens mit sicherheitsrelevanten Updates versorgt wird. Auch eine Firewall soll in allen Routern enthalten sein. Außerdem fordert das BSI, das bei der Ersteinrichtung ein Passwort für den Router sowie eine Verschlüsselung für die WLAN-Verbindung konfiguriert werden müssen.

Kritisiert wird nun, dass das BSI keinen Mindestzeitraum für die Bereitstellung von Sicherheitsupdates vorschreibt. „Aus Sicht des BSI ist es auch für die Verbraucherinnen und Verbraucher sinnvoller, wenn der Hersteller diesen Zeitraum dynamisch kommunizieren kann, statt ihn frühzeitig und zu Lasten der Kunden festzuschreiben. Die Information sollte auf der Webseite des Herstellers zur Verfügung stehen, kann aber auch an anderen Stellen kommuniziert werden. Innerhalb des zugesicherten Zeitraums sind die Hersteller zudem verpflichtet, auf Sicherheitslücken zu reagieren“, argumentiert nun das BSI.

Der Anwender habe immer noch die Möglichkeit, Produkte zu vergleichen und Support-Zusagen der Hersteller in eine Kaufentscheidung einfließen zu lassen. Bisher gebe es zudem weder Vorgaben zur Transparenz noch für die Reaktion von Herstellern auf Sicherheitslücken, was die technische Richtlinie ändere.

Zudem wehrt sich das BSI gegen die Forderung, Router generell für die Installation von alternativer Software zu öffnen. Router könnten eine nicht vom Hersteller gelieferte Software nicht verifizieren. Sie sei somit ein mögliches Einfallstor für Schadsoftware. Stattdessen spricht sich das BSI dafür aus, dass Hersteller alternative Software bestätigen, die der Router dann auch verifizieren könne. Außerdem erlaube die technische Richtlinie „defacto die Installation alternativer Software über geregelte Wege“.