Am 16.11.2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technischen Richtlinie „Secure Broadband Router“ (TR-03148; "TR-Router") für Smart Office & Smart Home (SOHO) veröffentlicht. Die TR-Router richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR-Router ist es damit auch, die Sicherheitseigenschaften für Nutzer durch eine geeignete Kennzeichnung am Gerät transparent zu machen (IT-Sicherheitskennzeichen).

Hintergrund

Die TR-Router ist das Ergebnis einer intensiven und konstruktiven Diskussion mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden und Zivilgesellschaft.

Als Schnittstelle zwischen dem öffentlichen Internet und dem privaten Netzwerk kommt den Routern eine besondere Rolle zu. Sie sind nicht nur Schutzschild für Angriffe gegen Komponenten innerhalb des privaten Netzes, sondern auch ein potentielles Einfallstor für Cyber-Angriffe:

• Im November 2016 gab es einen breit angelegten Cyber-Angriff, der auch Router eines deutschen TK-Anbieters betraf und dazu führte, dass rund 900.000 Router ausfielen und die Besitzer teils über mehrere Tage nicht telefonieren oder das Internet nutzen konnten.
• Im Mai 2018 zeigte eine Studie des American Consumer Institute (ACI), dass auf vielen Routern auch seit langem bekannte Sicherheitslücken vorhanden sind und bis dahin nicht geschlossen wurden.

Grundlage für sichere Router

Mit der TR-Router hat das BSI eine Grundlage geschaffen, um Router widerstandsfähiger zu machen und besser gegen Angriffe zu schützen. Die TR-Router konkretisiert schon jetzt in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionalitäten des Routers über dessen gesamte Betriebszeit. So wird etwa die Fähigkeit gefordert, dass Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange der Router mit (sicherheitsrelevanten) Updates versorgt wird.

Pflichten des Router-Herstellers

Zur Einhaltung der TR-Router ist der Hersteller angehalten,

• schwere Sicherheitslücken durch die Bereitstellung eines entsprechenden Updates zu schließen
  oder
• die Pflege des Routers transparent aufzukündigen.

Hierdurch wird Angreifern die systematische Ausnutzung von Sicherheitslücken in Routern zumindest erschwert, wenn nicht sogar verhindert.

Weitere Anforderungen der TR-Router betreffen:

• eine Minimierung der auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionalitäten,
• eine zwingend auf dem Router zu implementierende Firewall sowie
• Anforderungen an initiale Passworte und Verschlüsselung.

So werden etwa Anforderungen an die für den Zugriff auf die Konfigurationsoberfläche des Routers notwendige Authentisierung definiert. Zudem adressiert das BSI in der TR auch das von vielen Routern angebotene WiFi, um einen unbemerkten und unberechtigten Zugriff auf das private Netzwerk zu verhindern.

Download

Die TR-Router steht auf der Webseite des BSI unter  Download zur Verfügung.