Router-Richtlinie des BSI: Zusätzliche Sicherheit oder zahnloser Tiger?

Die Sicherheit von Internet-Routern ist ein grundsätzliches Problem. Nicht nur, weil viele Nutzer die Geräte softwareseitig nicht auf aktuellem Stand halten, sondern oft auch, weil die Hersteller oft mit Schwachstellen behaftete Software ausliefern und fehlerbehebende Updates teils zu lange auf sich warten lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will die Situation auf Basis einer „technischen Richtlinie für Breitband-Router“ verbessern, sieht sich diesbezüglich aber massiver Kritik ausgesetzt.

Der Chaos Computer Club hat den Vorstoß des BSI in einer Stellungnahme als Farce bezeichnet. Die Richtlinie lasse ein Engagement für den Verbraucherschutz vermissen, sondern sei das Produkt erfolgreicher Lobby-Arbeit der Hardware-Hersteller. Weder würden damit zukünftige technische Störungen noch Sicherheitsprobleme verhindert.

Der Chaos Computer Club fordert zum einen ein „Mindesthaltbarkeitsdatum für Router“. Die Hersteller sollen einen mehrjährigen Zeitraum garantieren, in dem die Software der Geräte gepflegt und insbesondere sicherheitsrelevante Probleme zeitnah behoben werden. Zudem sollen die Hersteller dazu verpflichtet werden, dem Verbraucher das Aufspielen einer alternativen Software zu ermöglichen, unter anderem, um einen Betrieb der Geräte auch dann noch zu ermöglichen, wenn herstellerseitig keine Updates mehr bereitgestellt werden. Der Chaos Computer Club nennt hier die als sehr sicher geltende Open-Source-Lösung OpenWrt als Beispiel.

Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller versagt.

In einer aktuell veröffentlichten Pressemitteilung nimmt das BSI nun zu den Vorwürfen Stellung. Der Text dürfte jene Kritiker bestätigen, die einen Einfluss der Hersteller auf die Richtlinie unterstellen. So argumentier die Behörde, dass ein fest vorgeschriebenes „Mindesthaltbarkeitsdatum“ nicht automatisch die Sicherheit der Geräte erhöhe und man es daher lieber den Hersteller überlasse, einen Zeitraum für Sicherheitsupdates und Support zu bestimmen. Auch bei der Installation alternativer Software will das BSI den Herstellern die Möglichkeit überlassen, eine Art Zertifizierung auszugeben. Mit Blick darauf darf man sich natürlich fragen, warum das BSI hier überhaupt Zeit und Mühen für das Erstellen einer Richtlinie verschwendet, wenn die Hersteller ohnehin weiter entscheiden, wie sie es für gut und richtig befinden.