Die Fernwartung von Routern über die TR-Protokolle darf als gescheitert angesehen werden. Kriminelle haben die millionenfach vorhandenen Plastikkästchen als Angriffsziel entdeckt, die Attacken galten nicht allein manchen Speedport-Modellen der Telekom. Vielmehr handelt es sich um einen Schrotschuss auf alles, was über den Port 7547 per Internet erreichbar ist.

Ein Kommentar von Nico Ernst Nico Ernst schreibt seit über 20 Jahren über IT-Themen und gelegentlich auch über Musik. Hardware, Wirtschaft und Netzpolitik sind seine bevorzugten Themen. Da er mit ZX81, C64 und Atari VCS aufwuchs kann er sich auch einem gelegentlichen Spiel noch immer nicht entziehen.

Man darf wohl davon ausgehen, dass diese und die zahlreichen weiteren Lücken in den TR-Protokollen der Telekom bekannt waren. Sonst wäre kaum eine so schnelle Abhilfe durch neue Firmware möglich gewesen. Schon weniger als 24 Stunden nach Bekanntwerden der Angriffe verteilte die Telekom die neuen Versionen, dazu müssen die fehlerhaften Router kurz vom Stromnetz getrennt werden. Inzwischen dürften das viele Nutzer getan haben, da die berechtigte Aufregung um den Fehler sogar für den Aufmacher der Tagesthemen gereicht hat. Aber wie viele Router verstauben sonst jahrelang unberührt im Telefonregal oder hinter dem Sofa? Ein Update eines Always-on-Geräts, bei dem der Nutzer auch nur den Stecker ziehen muss, erreicht nie alle Anwender.

Die Bevölkerung muss verunsichert werden

Andere Mechanismen, wie eine Vorschaltseite beim ersten Aufruf einer URL mit einem ungepatchtem Router, trauen sich die Provider nicht zu. Komischerweise nicht einmal, wenn sie mit Zwangsroutern oder Mietgeräten ihren Kunden die Sicherheitslücken gleich mit verkauft haben. Man fühlt sich an das mittlerweile geflügelte Wort von de Maizière erinnert, dass solche Maßnahmen die Bevölkerung verunsichern könnten. Das ist aber dringend nötig, denn das Bewußstsein darüber, was sich mit dem Plasterouter anrichten läßt, ist kaum vorhanden. Darauf zu warten, bis Kriminelle über den Router auch an die Privatfotos aus dem eigenen Netz kommmen und diese öffentlich posten, kann nicht die Lösung sein. Spätestens dann wäre das unmittelbare eigene Problem deutlich sichtbar, aber eben noch mehr Rechner und andere Geräte kompromittiert.

Vielmehr müssen die Hersteller von Routern, die Nutzer, und vor allem die Provider Sicherheitslücken in Routern endlich wirklich ernst nehmen. Das heißt: Bei so gravierenden Fehlern wie dem aktuellen müssen die Nutzer noch vor einem Patch gewarnt werden, und die Reparatur muss schnell erfolgen. Gibt es für ein Gerät über einen längeren Zeitraum – sagen wir bei Routern: sechs Monate – keinerlei Updates, so darf es als veraltet und potenziell gefährlich gelten. Und solche Devices gehören nicht ins Internet.

Kritisches Bewusstsein für Anfälligkeit des Routers

Es muss sich auch bei diesen Geräten, die schon deutlich unter 50 Euro zu haben sind, die Erkenntnis durchsetzen, dass man nicht die Hardware allein kauft, sondern ein System aus Hard- und Software sowie Support. Bei Smartphones ist das längst der Fall, die Kunden bemessen die Qualität eines solchen Geräts auch danach, wie lange es vom Hersteller noch unterstützt wird. Dafür geben sie bereitwillig alle zwei bis drei Jahre mehrere hundert Euro aus. Nur beim Router, der zentralen und oft einzigen Verteidigungslinie gegen alles, was im Internet kreucht und fleucht, wird gnadenlos gespart. Allenfalls mehr WLAN-Reichweite scheint hier meist ein Argument zum Aufrüsten zu sein.

Ein kritisches Bewußtsein für die Anfälligkeit eines Routers kann dafür sorgen, dass ab Werk unsichere Geräte nicht mehr gekauft werden. Die Hersteller und die Provider, welche die Geräte noch immer oft zur Verfügung stellen, können dabei entscheidend mitwirken. Einfache, und stets vorhandene Mechnismen zum Aktualisieren der Firmware – auch das ist inzwischen nicht mehr selbstverständlich – sind ebenso nötig wie eine fortwährende Versorgung mit Updates. Dazu gehört auch eine kontinuierliche und transparente Kommunikation darüber, was denn aktualisiert wurde. Ein Blick in das Changelog des betroffenen Speedport W723V Typ B zeigt vor dem TR-Angriff nur eine geschlossene Lücke – das Gerät wird seit über vier Jahren verkauft. Die Nutzer können nur hoffen, dass still und leise auch andere Fehler behoben wurden.

Sicherheit als Verkaufsargument

Mehr Antennen, mehr Gigabit-Ports, NAS-Funktionalität, ausgefallenes Design – das ist alles, was den Anbietern in den letzten Jahren eingefallen ist, um billige wie teure Router zu bewerben. Eine vielleicht von mehreren unabhängigen Stellen auf Basis des Quellcodes zertifizierte Firmware ist spätestens jetzt ein ebenso gutes Marketingargument. Dass die Kunden sich dennoch nicht einen Pflegefall ins Haus holen, müssen die Hersteller zudem sicherstellen – und zwar zusammen mit den Providern. Sich dabei nur auf eine Fernwartung zu verlassen, die selbst zum Angriffsziel werden kann, reicht nun nicht mehr aus. (axk)