Die Sicherheit im World Wide Web darf sich nicht nur auf Websites und Clouds erstrecken. Sie beginnt schon viel fr\u00fcher: Beim Router, beim Zugangspunkt der Ger\u00e4te zum Internet. Wie die Netzwerk-Sicherheit untersch\u00e4tzt wird, zeigt ein Sicherheitstest des Fraunhofer-Instituts f\u00fcr Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Lesen Sie die erschreckenden Ergebnisse des Tests sowie Tipps, die Ihre Netzwerksicherheit erh\u00f6hen.<\/p>\n
<\/p>\n
Das Fraunhofer FKIE hat seinen aktuellen \u201eHome Router Security Report 2020\u201c ver\u00f6ffentlicht und spricht von \u201ealarmierenden Ergebnissen\u201c. Insgesamt wurden 127 Router f\u00fcr Privatnutzer getestet, die von sieben namhaften Herstellern stammen. Das FKIE stellte Sicherheitsm\u00e4ngel fest, \u201eteilweise sogar ganz erhebliche. Diese reichen von fehlenden Sicherheitsupdates, \u00fcber einfach zu entschl\u00fcsselnde, hartcodierte Passw\u00f6rter bis hin zu bereits bekannten Schwachstellen, die eigentlich l\u00e4ngst behoben sein m\u00fcssten\u201c, erkl\u00e4rt das FKIE.<\/p>\n
Die M\u00e4ngel, die die Forscher um Peter Weidenbach und Johannes vom Dorp, jeweils aus der Abteilung \u201eCyber Analysis & Defense\u201c des FKIE, feststellen mussten, sind gravierend: \u201eDie Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zw\u00f6lf Monaten kein Sicherheitsupdate erhalten\u201c, so Weidenbach. Tats\u00e4chlich gibt es sogar einen Extremfall, der 2.000 Tage \u2013 das hei\u00dft: mehr als 5 Jahre – kein Sicherheitsupdate erhalten hat!<\/p>\n
\u00dcber 90 Prozent der getesteten Router setzten auf Linux als Betriebssystem, jedoch oftmals in veralteten Versionen. Vom Dorp sieht hier ganz klar die Router Hersteller in der Pflicht: \u201eLinux arbeitet permanent daran, Sicherheitsl\u00fccken in seinem Betriebssystem zu schlie\u00dfen und neue Funktionalit\u00e4ten zu erarbeiten. Die Hersteller m\u00fcssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Ma\u00dfe, wie sie es k\u00f6nnten und m\u00fcssten.\u201c<\/p>\n
Neben langj\u00e4hrig bekannten Sicherheitsl\u00fccken, die die Hersteller l\u00e4ngst h\u00e4tten beseitigen k\u00f6nnen und m\u00fcssen, erstaunte die FKIE-Wissenschaftler auch der laxe Umgang mit Passw\u00f6rtern: \u201eEtliche Router haben einfach zu knackende oder bekannte Passw\u00f6rter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht ge\u00e4ndert werden k\u00f6nnen.\u201c<\/p>\n
Zum Zeitpunkt der Testungen des FKIE wurden s\u00e4mtliche Ger\u00e4te aktiv von den Herstellern beworben. Daraus schlossen die Forscher, dass alle Router neu genug sind, um aktiv Updates zu erhalten. Insgesamt konnten die Forscher feststellen, dass der Hersteller AVM \u201emehr Wert auf die Sicherheitsaspekte als die anderen Anbieter\u201c legte, \u201eauch wenn AVM Router ebenfalls nicht ohne Sicherheitsm\u00e4ngel\u201c seien. ASUS und Netgear zeigten sich in den Tests in diversen Punkten \u201ezuverl\u00e4ssiger als D-Link, Linksys, TP-Link und Zyxel\u201c.<\/p>\n
Es war zum Auffinden der Schwachstellen nicht notwendig, dass die FKIE-Mitarbeiter die Router m\u00fchsam manuell untersuchten. Es gen\u00fcgte, das eigens vom FKIE entwickelte Open Source-Tool \u201eFirmware Analysis and Comparison Tool\u201c (FACT) zu nutzen und die Router-Software so auf f\u00fcnf Sicherheitsaspekte hin zu untersuchen:<\/p>\n
Konkret untersuchte man mithilfe des Tools automatisiert 127 Firmware-Images der sieben Router-Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link sowie Zyxel.<\/p>\n
Die Forscher luden mittels FACT die Firmware-Images herunter. Das Router-Betriebssystem wurde extrahiert; wie bereits erw\u00e4hnt, setzen die meisten auf Linux. Anschlie\u00dfend stand das Pr\u00fcfen der Software auf die oben genannten Sicherheitsaspekte an. Die Ergebnisse, die die Tests zeigten, k\u00f6nnen in der Tat nur als alarmierend bezeichnet werden:<\/p>\n
22 der Router wurden in den letzten zwei Jahren \u00fcberhaupt nicht mit Firmware-Updates versorgt. \u00dcber ein Drittel der getesteten Router basieren auf deutlich veralteten Linux-Kernelversionen (mind. 9 Jahre kein Sicherheitsupdate). Den traurigen Rekord diesbez\u00fcglich h\u00e4lt ein Linksys-Ger\u00e4t, welches auf einem fast 18 Jahre alten Linux-Kernel basiert. AVM ist laut der Studie der einzige Hersteller, der durchg\u00e4ngig neuere Kernelversionen einsetzt.<\/p>\n
Weiter sind den Forschern im Schnitt rund f\u00fcnf private Krypto Schl\u00fcssel je untersuchtem Firmware-Image aufgefallen. Auch hier bildet AVM die r\u00fchmliche Ausnahme: Nicht ein einziger Schl\u00fcssel fand sich in der Firmware.<\/p>\n
In sagenhaften 50 der 127 getesteten Images fand das FKIE vor eingestellte Passw\u00f6rter, die in 16 Routern extrem einfach zu knacken waren. Hier hat Asus die Nase vorn: Dies ist tats\u00e4chlich der einzige Hersteller, der auf vor eingestellte Passw\u00f6rter verzichtet.<\/p>\n
Die Fraunhofer-Forscher haben mit ihrem Tool nicht in der Tiefe, sondern eher oberfl\u00e4chlich analysiert \u2013 und schon dabei fielen derartig viele Sicherheitsl\u00fccken auf. Zwar k\u00f6nnten sich einige dieser Sicherheitsl\u00fccken nicht zwangsl\u00e4ufig als angreifbar herausstellen. Dennoch: Die Analyse zeigt, dass in Routern f\u00fcr Heimanwender handfeste Sicherheitsm\u00e4ngel fester Bestandteil sind.<\/p>\n
Tats\u00e4chlich ist es noch immer ein Ding der Unm\u00f6glichkeit, Sicherheitsl\u00fccken an die Router-Hersteller zu melden. Updates kommen entweder versp\u00e4tet oder gar nicht. Details dar\u00fcber in Erfahrung zu bringen, wann welche Schwachstelle geschlossen werden k\u00f6nnte, braucht man gar nicht erst versuchen. Selbst wenn die entdeckten M\u00e4ngel nicht aktiv ausgenutzt werden, sollte doch klar sein, dass das Implementieren zeitgem\u00e4\u00dfer Technologien Angriffe verhindern k\u00f6nnte. Derzeit sind zum Teil Daten aus lesbar, die auch daf\u00fcr sorgen k\u00f6nnen, dass die Verschl\u00fcsselung von Kommunikationen im betroffenen Netzwerk angreifbar ist.<\/p>\n
<\/p>\n
Eines wird deutlich durch den Test der Forscher des FKIE: es besteht dringender Handlungsbedarf! Erst wenn die Hersteller bei ihren Ger\u00e4ten grunds\u00e4tzlich auf effiziente Sicherheitsma\u00dfnahmen setzen, werden auch Anwenderinnen und Anwender in die Lage versetzt, auf mehr Netzwerk-Sicherheit hinzuarbeiten.<\/p>\n
Wie die Forscher rund um Weidenbach festgestellt haben, ist Linux selbst immer auf dem neusten Stand \u2013 nur nutzen die Router-Hersteller das eben nicht. Gegen\u00fcber dem MDR erkl\u00e4rt Weidenbach, warum das so sein k\u00f6nnte: \u201eIrgendjemand muss quasi die Sicherheitsupdates zusammenstellen. Die m\u00fcssen getestet werden, damit nicht eine andere Funktion des Routers nicht mehr l\u00e4uft. Das kostet Geld.\u201c<\/p>\n
Ein weiteres Problem sei das der nicht vorhandenen Haftung: Werden Router und damit Netzwerk von Dritten gekapert, haften die Router-Hersteller nicht. Deshalb fordern Forscher wie Weidenbach verbindliche Sicherheitsrichtlinien, die Hersteller zu Updates und weiteren Sicherheitsma\u00dfnahmen verpflichten.<\/p>\n
Nat\u00fcrlich k\u00f6nnen auch Verbraucherinnen und Verbraucher aktiv werden: Lassen Sie sich nicht einfach irgendeinen Router zusenden. Entscheiden Sie selbst, welchen Sie nutzen m\u00f6chten. Weidenbach r\u00e4t nach der aktuellen Studie zu AVM, denn hier erfolgen Updates immerhin einmal j\u00e4hrlich. Wenngleich auch dies v\u00f6llig unzureichend w\u00e4re, sei das immer noch besser als neun Jahre alte Systeme, erkl\u00e4rt er. Seine Idealvorstellung w\u00e4ren w\u00f6chentliche Updates, die ohne Zutun des Anwenders automatisch ausgef\u00fchrt werden.<\/p>\n
Auf die Hersteller k\u00f6nnen Sie derzeit leider nicht setzen \u2013 solange es keine verbindlichen Richtlinien gibt, gibt es f\u00fcr die Hersteller keinen Grund, etwas zu \u00e4ndern. Sie jedoch k\u00f6nnen Ihre Netzwerk-Sicherheit immer optimieren, beispielsweise mit den folgenden Tipps:<\/p>\n
Wie ist das bei Ihnen: F\u00fcr welchen Router haben Sie sich entschieden und warum? Tun Sie aktiv etwas f\u00fcr Ihre Netzwerksicherheit oder verlassen Sie sich auf die Hersteller? Haben Sie erg\u00e4nzende Sicherheitstipps f\u00fcr unsere Leserinnen und Leser? \u2013 Kommen Sie mit uns ins Gespr\u00e4ch, wir freuen uns auf Ihre Kommentare!<\/p>\n