Bundesamt für Sicherheit in der Informationstechnik

Stellungnahme zur Kritik an der Technischen Richtlinie für Breitband-Router

Datum 21.11.2018

Am 16. November 2018 hat das BSI eine Technische Richtlinie für mehr IT-Sicherheit von Breitband-Routern veröffentlicht. Hierzu gab es in den letzten Tagen viel positive Resonanz, aber auch teils harsche Kritik, etwa durch den Chaos Computer Club (CCC). Die Reaktionen zeigen grundsätzlich, wie notwendig es war, Mindestsicherheitsanforderungen für Router – den zentralen Baustein eines sicheren Heimnetzwerks – zu formulieren und diese dem Markt zur Verfügung zu stellen. Mit der Technischen Richtlinie hat das BSI eine valide Grundlage für die Vergleichbarkeit und Nachweisbarkeit der Sicherheitsheitsleistung dieser Geräte geschaffen.

Die TR ist somit ein erster Schritt zu mehr IT-Sicherheit für die Anwender. Sie ist ein Instrument, auf dessen Basis der Stand der Technik fortgeschrieben werden kann und durch das Router und ihre IT-Sicherheitseigenschaften mit den dynamischen Anforderungen der fortschreitenden Digitalisierung weiterentwickelt werden können. Diese kontinuierliche Weiterentwicklung ist notwendig und kann nur kooperativ gelingen – durch die Beteiligung der verschiedenen Interessengruppen und eine offene Diskussionskultur. Diesen Ansatz hat das BSI von Beginn an verfolgt.

Die vom BSI eingerichtete Arbeitsgruppe bildete von Anfang an ein breites Spektrum an Meinungen diverser Interessengruppen ab. Wir rufen den CCC und andere Interessierte ausdrücklich auf, sich weiterhin aktiv in die Arbeitsgruppe einzubringen, die weiterhin besteht und die TR weiterentwickeln wird.

Die Veröffentlichung der TR Router ist ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie vorgesehen hat und dessen Ausprägung das Bundesinnenministerium im Rahmen der Vorstellung der TR am 16.11.2018 skizziert hat.

Zu einigen konkreten Kritikpunkten nehmen wir wie folgt Stellung:

1. "Fehlendes Mindesthaltbarkeitsdatum":

In der Technischen Richtlinie einen bestimmten Zeitraum festzuschreiben, in dem die Hersteller Sicherheitsupdates bereitstellen müssen, erzeugt nicht automatisch mehr IT-Sicherheit. Die TR sieht vielmehr vor, dass die Hersteller für einen frei wählbaren Zeitraum Sicherheitsupdates bereit stellen und diesen zugesicherten Support-Zeitraum für die Nutzer/innen bereits vor dem Kauf nachvollziehbar transparent machen müssen. Aus Sicht des BSI ist es auch für die Verbraucherinnen und Verbraucher sinnvoller, wenn der Hersteller diesen Zeitraum dynamisch kommunizieren kann, statt ihn frühzeitig und zu Lasten der Kunden festzuschreiben. Die Information sollte auf der Webseite des Herstellers zur Verfügung stehen, kann aber auch an anderen Stellen kommuniziert werden. Innerhalb des zugesicherten Zeitraums sind die Hersteller zudem verpflichtet, auf Sicherheitslücken zu reagieren.

Somit kann der Anwender vergleichen und dies in die Kaufentscheidung einfließen lassen. Bisher wurden weder Transparenz noch die Reaktion auf Sicherheitslücken an zentraler Stelle von den Herstellern gefordert. Leider ist der Einsatz von Routern mit bekannten, aber nicht geschlossenen Sicherheitslücken immer noch verbreitet. Dies wurde jüngst durche eine Studie des American Consumer Institutes (ACI) belegt. Durch die Schaffung von Verbindlichkeiten leistet die Technische Richtlinie somit in Zukunft einen wichtigen Beitrag zur Steigerung der IT-Sicherheit.

2. Installation alternativer Software:

Die Möglichkeit zur Installation alternativer Software bietet keinen pauschalen Sicherheitsgewinn. Die Router-TR erlaubt defacto die Installation alternativer Software über geregelte Wege. Der Router kann Software, die nicht vom Hersteller geliefert wird, meist nicht verifizieren. Entsprechend könnte auf diesem Weg auch Schadsoftware eingebracht werden. Daher muss den Anwendern gemäß TR vor der Installation ein entsprechender Warnhinweis angezeigt werden. Unabhängig davon kann auch alternative Software genutzt werden, die vom Hersteller bestätigt wird und damit auch vom Router verifiziert werden kann. Somit sorgt die TR auch hier für mehr Transparenz.