16. Nov. 2018
BSI veröffentlicht Richtlinie für Breitband-Router
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die technische Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht. Sie richte sich vor allem an die Hersteller von Breitband-Routern und definiere ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten, so das Amt. Ziel der Richtlinie sei es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Das können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit sei die Veröffentlichung der technischen Richtlinie ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber- Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat.
Die Richtlinie ist das Ergebnis einer intensiven und konstruktiven Diskussion mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden und Zivilgesellschaft. Als Schnittstelle zwischen dem öffentlichen Internet und dem privaten Netzwerk kommt den Routern eine besondere Rolle zu. Sie sind nicht nur Schutzschild für Angriffe gegen Komponenten innerhalb des privaten Netzes, sondern auch ein potenzielles Einfallstor für Cyberangriffe. So gab es etwa im November 2016 einen breit angelegten Cyberangriff, der auch Router eines deutschen Telekommunikationsanbieters betraf und dazu führte, dass rund 900 000 Router ausfielen und die Besitzer teils über mehrere Tage nicht telefonieren oder das Internet nutzen konnten.
Die technische Richtlinie konkretisiere schon jetzt in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionen des Routers über dessen gesamte Betriebszeit. So werde etwa die Fähigkeit gefordert, dass Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange der Router mit (sicherheitsrelevanten) Updates versorgt wird. Zur Einhaltung der technischen Richtlinie ist der Hersteller angehalten, schwere Sicherheitslücken durch die Bereitstellung eines entsprechenden Updates zu schließen oder aber die Pflege des Routers transparent aufzukündigen. Hierdurch werde Angreifern die systematische Ausnutzung von Sicherheitslücken in Routern zumindest erschwert, wenn nicht sogar verhindert. Weitere Anforderungen seien eine Minimierung der auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionen, eine zwingend auf dem Router zu implementierende Firewall sowie Anforderungen an initiale Passwörter und Verschlüsselung. So werden etwa Anforderungen an die für den Zugriff auf die Konfigurationsoberfläche des Routers notwendige Authentisierung definiert. Die technische Richtlinie steht auf der Webseite des BSI unter www.bsi. bund.de/router-tr zum Download zur Verfügung.
