Breitband-Router: BSI veröffentlicht Testkonzept für Sicherheit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach der Einbeziehung der Kommentare und Anregungen von Internet Service Providern und Router-Herstellern die finale Version des letzten Oktober angekündigten Testkonzepts für Breitband-Router veröffentlicht, wobei der Fokus auf Geräten für Privatkunden liegt.
Auf Basis dieses Konzepts plant das BSI in Zukunft die Sicherheit von Breitband-Routern mit xDSL- oder Kabelmodem zu testen, um ein einheitliches Sicherheitsniveau zu erreichen, bevor der Routerzwang im August endet. Dazu werden grundlegende sicherheitsrelevante Funktionen sowie die Unterstützung und Einhaltung etablierter Sicherheitsstandards überprüft. Zudem erfolgt ein exemplarischer Test gegen bekannte Sicherheitsrisiken und Angriffsszenarien.
Sichtprüfungen und technische Prüfungen
Das Testprogramm umfasst auf der einen Seite Sichtprüfungen, die (in der Weboberfläche) das Vorhandensein und den Umfang von bestimmten Funktionen feststellen sollen. Hierzu zählen unter anderem Firmware-Updates, das WLAN, die Firewall und die Weboberfläche des Routers.
Auf der anderen Seite werden aber auch Versuchsaufbauten für technische Prüfungen beschrieben, die insbesondere die sicherheitsrelevanten Funktionen wie beispielsweise die WLAN-Verschlüsselung und Sperrlisten für VoIP-Nummern überprüfen. Darüber hinaus wird explizit überprüft, ob die Router gegen bekannte Schwachstellen und Angriffsmuster geschützt sind.
Anforderungen, Empfehlungen und Optionen
Nicht alle Prüfungspunkte sind allerdings gleich gewichtet. Das BSI unterscheidet bei den Funktionen zwischen Anforderungen, die ein Router zwingend erfüllen muss, Empfehlungen, die zwar nicht erfüllt werden müssen, aber möglichst sollen, sowie Optionen. Letztere müssen nicht ab Werk aktiviert sein und seien in Routern teils eher selten zu finden und daher nicht zuletzt als Anreiz für die Hersteller zu sehen, in künftigen Produkten weitere Verbesserungen vorzunehmen.
Ein Beispiel für eine Anforderung ist die ab Werk aktivierte WPA2-Verschlüsselung des WLANs, während eine VPN-Unterstützung empfohlen wird. Lediglich als Option vorgesehen sind wiederum eine physische Taste zum Deaktivieren des WLANs und die Möglichkeit, das Funknetzwerk zeitgesteuert zu deaktivieren.
Um ein klareres Bild davon zu erhalten, wie gut ein Router die Testanforderungen erfüllt, werden die Punktzahlen für Anforderungen (8 bis 10 Punkte), Empfehlungen (4 bis 7 Punkte) und Optionen (1 bis 3 Punkte) einzeln ausgegeben. So soll verhindert werden, dass das Fehlen von Anforderungen in der Gesamtpunktzahl durch viele Optionen kaschiert wird.
Unabhängig von der Gesamtpunktzahl kann das Durchfallen bei bestimmten Tests automatisch zur Nicht-Empfehlung eines Routers führen. Dies ist unter anderem dann der Fall, wenn ein Router Firmware-Updates über die Weboberfläche und das TR-069-Protokoll nicht unterstützt oder die WAN-Schnittstelle auf UPnP-Abfragen antwortet.
Usability und Support werden ebenfalls getestet
Zusätzlich zum Vorhandensein bestimmter Funktionen fließen auch die nutzerfreundliche Umsetzung und der Produktsupport in die Gesamtbewertung der Router ein. Merkmale wie eine optisch klar aufgebaute Weboberfläche, die dem Nutzer das Vornehmen der Einstellungen erleichtert, sowie deutschsprachiger Support per Telefon und E-Mail zahlen sich für die Hersteller und ISPs folglich aus.
Testkonzept in Teilen nicht öffentlich
Teile des Testkonzepts hat das BSI nicht öffentlich zugänglich gemacht. Dabei handelt es sich um zwei Kapitel zur Erkennung potentieller Schwachstellen, die gemäß Traffic Light Protocol (TLP) zum Austausch schutzwürdiger Dokumente als TLP:Amber gekennzeichnet sind und nur nach dem Need-to-Know-Prinzip weitergegeben werden. Das BSI stellt diese Kapitel Vertretern von ISPs und Router-Herstellern nach Abgabe einer Vertraulichkeitserklärung sowie der Zusicherung, Informationen nicht für unerlaubte Angriffe zu nutzen, zur Verfügung.
ISPs und Hersteller können sich noch bis 31. Mai beim BSI melden, wenn sie Interesse an einer Zusammenarbeit bei den Tests haben. Die gekürzte Fassung des Testkonzepts kann ohne Anmeldung als PDF von der BSI-Webseite heruntergeladen werden.