Mehr Sicherheit im Netz: BSI veröffentlicht Technische Richtlinie für Breitband-Router

Veröffentlicht am: 19. November 2018 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Technologie 2 Kommentare

Fast genau zwei Jahre ist es her, da tauchte das Thema zum ersten Mal offiziell in einem politischen Papier auf: Im Rahmen ihrer im November 2016 vorgestellten „Cybersicherheits-Strategie für Deutschland“ stellte die Bundesregierung ihre Pläne für ein neues Sicherheits-Gütesiegel für IT-Produkte vor. Dieses Siegel sollte es Anwendern erleichtern, „bei der Kaufentscheidung für neue IT-Produkte […] leicht und schnell fest[zu]stellen […], welches Angebot sicher ausgestaltet ist und hierdurch zum Schutz der Daten beiträgt“.

Vergangenen Freitag hat das BSI nach zwei Jahren intensiver Zusammenarbeit mit Herstellern, Verbraucherschützern und Netzbetreibern die erste Grundlage für dieses neue Gütesiegel in Bonn vorgestellt: die Technische Richtlinie für Breitband-Router (BSI TR-03148).

Wichtiger Baustein für mehr IT-Sicherheit

Um die Bedeutung der „TR“ zu unterstreichen, waren neben BSI-Präsident Arne Schönbohm auch hochrangige Vertreter aus dem Bundesinnen- und Bundeswirtschaftsministerium angereist, um die Richtlinie vorzustellen. Sie alle betonten, wie wichtig Technische Richtlinien und ein entsprechendes Siegel für mehr Sicherheit im Netz wären. Wer allerdings gehofft hatte, dass mit der TR auch gleich das sowohl in der Cyber-Sicherheitsstrategie von 2016 als auch im Koalitionsvertrag von 2018 angekündigte Siegel vorgestellt würde, muss sich noch gedulden. Offenbar müssen vor dessen Einführung erst noch die rechtlichen Rahmenbedingungen angepasst werden.

Die Verantwortlichen beim BSI rechnen daher damit, dass Hersteller ihre Produkte erst gegen Ende 2019 mit dem neuen IT-Sicherheits-Gütesiegel werden versehen können. Dann soll es Anwendern dabei helfen, das Sicherheitsniveau eines Produktes tatsächlich beurteilen zu können. Außerdem hofft man, dass mit dem freiwilligen Gütesiegel ein gewisser Druck auf diejenigen Hersteller ausgeübt wird, für die das Label aufgrund mangelnder Sicherheit in weiter Ferne ist. Durch mehr Transparenz für die Verbraucher sollen sie animiert werden, zukünftig doch mehr in die Sicherheitseigenschaften ihrer Produkte zu investieren. Schließlich ist der deutsche Markt beileibe kein kleiner.

Herstellerselbsterklärung

Unabhängig davon können wir als Hersteller per sofort die Konformität mit der Technischen Richtlinie erklären. Ein Siegel gibt es dafür zwar nicht – der Verbraucher profitiert aber dennoch von einem gehörigen Mehr an Transparenz. Die Konformitätserklärung erfolgt in Eigenregie durch den Hersteller. Ganz so, wie wir es beispielsweise vom CE-Kennzeichen her kennen.

Unabhängig davon können wir als Hersteller per sofort die Konformität mit der Technischen Richtlinie erklären. Ein Siegel gibt es dafür zwar nicht – der Verbraucher profitiert aber dennoch von einem gehörigen Mehr an Transparenz. Die Konformitätserklärung erfolgt in Eigenregie durch den Hersteller.

Dies wird sich auch mit der Einführung des Gütesiegels nicht ändern. Denn dieser Weg wurde bewusst gewählt, um in möglichst kurzer Zeit möglichst viele Produkte gegen die Kriterien testen zu können, ohne im Flaschenhals der Zertifizierungsstellen stecken zu bleiben. Die Grundlage für die Bewertung bildet stets eine Technische Richtlinie, wie sie nun erstmals für die Breitband-Router präsentiert wurde.

Technische Richtlinie für Breitband-Router als Blaupause

Die TR Router wieder dient nur als Blaupause für andere internetfähige Produkte. Unter dem Eindruck wiederholter, breit angelegter Cyber-Attacken auf Internet-Router (Stichwort: Botnetze) – und nicht zuletzt dem dadurch entstandenen öffentlichen Druck – boten sich die Geräte aus Sicht der Politik als „Pilotkunde“ für die Technische Richtlinie geradezu an.

Der nächste Bereich, für den eine Technische Richtlinie kommen soll, sind „Smart Home“ Produkte. Dass hier eine Kennzeichnung dringend erforderlich ist, darin sind sich Experten einig. Denn bis heute ist es so, dass tonnenweise höchst unsicherer Smart Home-Produkte über Aktionsangebote im Handel oder Plattformen im Internet direkt aus China in unsere Häuser gelangen und dort ein immenses Cybersicherheitsrisiko darstellen. Eine Chance für die Nutzer, sichere von unsicheren Produkten zu unterscheiden? Bislang Fehlanzeige.

Gütesiegel & Zertifizierungen gehen Hand in Hand

Ziehen Verbraucher und Hersteller mit, haben die Technischen Richtlinien und das zukünftige Gütesiegel tatsächlich das Potential, die Spreu vom Weizen zu trennen und nach und nach in immer mehr Bereichen für ein höheres IT-Sicherheitsniveau zu sorgen. Allerdings zielen beide auf internetfähige Produkte ab, wie sie im Privathaushalt, im Home-Office oder in kleineren Firmen und Gewerben zum Einsatz kommen. Die Schicht darüber – die Wirtschaft – steht nicht im Fokus.

Doch auch hier tut sich was. Derzeit sammelt das BSI im Rahmen eines Pilotverfahrens Erfahrung mit einem weiteren, neuen Sicherheitskennzeichen. Die „Beschleunigte Sicherheitszertifizierung” – kurz BSZ –  hat zum Ziel, B2B-Lösungen auszuzeichnen, die ein sehr hohes Sicherheitsniveau aufweisen. Sie orientiert sich an den bewährten Common Criteria, visiert aber eine deutlich schnellere, praxistauglichere Zertifizierung an. Falls alles nach Plan läuft, könnten die ersten zertifizierten Produkte ebenfalls 2019 verfügbar sein.

Teil des EU Cybersecurity Act

Übrigens setzt die deutsche Politik sowohl mit dem Gütesiegel als auch mit der BSZ einen wesentlichen Baustein des kommenden EU Cybersecurity Acts um.  Dieser sieht vor, dass ab 2019 in ganz Europa ein einheitlicher Rahmen für IT-Sicherheitszertifizierungen gelten soll, der es Verbrauchern wie Wirtschaft ermöglicht, das tatsächliche Sicherheitsniveau internetfähiger Produkte und Dienste tatsächlich zu beurteilen und eine fundierte Kauf- und Investitionsentscheidung zu fällen.

Alles in allem sind die Technischen Richtlinien und perspektivisch das Sicherheitssiegel sowie die Zertifikate ein guter, erster Schritt zu mehr Cybersicherheit. Was wir außerdem noch brauchen, sind verpflichtende IT-Sicherheits-Mindeststandards für alle internetfähigen Geräte sowie eine gesetzliche Pflicht für Hersteller, bekannte Sicherheitslücken über Updates zu schließen. Kämen diese auch noch, hätten wir sehr, sehr viel geschafft.

LANCOM Router sind TR-konform

Die Technische Richtlinie für Breitband-Router steht übrigens trotz der jetzigen Veröffentlichung noch ganz am Anfang. Sie wird kontinuierlich weiterentwickelt, um neue Trends und die schnellen Innovationszyklen in der Branche abzubilden.

Dennoch war es uns natürlich auch jetzt schon wichtig, festzustellen, ob LANCOM Router den Lackmustest gegen die TR bestehen. Dies ist nach eingehender Prüfung für alle aktuellen Router-Modelle der Fall. Einzige Voraussetzung: Sie nutzen LCOS 10.20 oder höher.

PS: In vielen Bereichen gehen wir mit unseren Sicherheitsfunktionen weit über die Vorgaben der TR hinaus, die eher grundlegende Anforderungen definiert. Dazu zählen beispielsweise unsere sehr weitgehende Update-Politik, besonders sichere Verfahren beim Aufbau von VPN-Verbindungen oder auch die neueste WLAN-Verschlüsselung WPA3.

Verwandte Posts

  1. Guten Tag !
    Sie bezeichnen die “Technische Richtlinie” als “Blaupause” und meinen wohl damit, daß diese quasi als “Muster” für andere Geräte herangezogen werden könnte.
    Der Begriff ist indessen grundfalsch gewählt, die “Blaupause” war früher eine sog. Lichtpause bei der sog. Diazotypie. Die Blaupause war von minderer Qualität, nur bedingt lichtbeständig und wurde verwendet, um großformatige Zeichnungen von den Konstruktionsbüros aus beispielsweise an Schlossereien und Montage weiterzureichen.

    Als Sie den Politikersprech wiederholten, meinten Sie “Mutterpause”, haben aber unfreiwillig mit “Blaupause” voll ins Schwarze getroffen:
    Die “TR” ist ein billiger Abklatsch, nicht dauerhaft haltbar und landet alsbald in der Tonne.

    Einen praktischen Nutzwert für “Verbraucher” kann ich nicht erkennen, der CCC faßt sehr kompetent zusammen:
    https://www.ccc.de/de/updates/2018/risikorouter

    Hat es ausgerechnet LANCOM wirklich nötig, mit den Wölfen zu heulen ?
    Wenn es denn wenigstens Wölfe wären … Das zahnlose “BSI” versagt ununterbrochen und wird unter Fachleuten nicht ernstgenommen.

    Gerade nachdem z.B. CISCO sich mit einer peinlichen Panne nach der anderen präsentiert, eine schlimmer als die andere (hartcodierte Backdoors, durch einfachstes Reverse-Engineering zu finden), gerade nachdem aus der Wartung gefallene D-Link – Billigrouter mit bekannten, nicht mehr zu fixenden Lücken hunderttausendfache Angriffspunkte bieten:
    Was gilt die Wette, daß sich alle Havaristen in Kürze mit dem neuen “Sticker” schmücken?

    Die “TR” macht es für mich deutlich SCHWIERIGER, einen Kunden von der unbestrittenen Qualität der LANCOM – Produkte zu überzeugen, denn in Zukunft wird mir ein Wettbewerber ins Gesicht lachen und sagen, “Was wollen Sie denn, unser chicer D-Link ist doch ‘BSI-zertifiziert’ !!!”

    Eine klare Ansage: “So verarscht das BSI Sie als Verbraucher” hätte ich hier lieber gelesen.

    • Sehr geehrter Herr Bonfigt,

      vielen Dank für Ihren Kommentar. Die Router-TR wurde in einem Konsensprozess mit Herstellern, Providern, IT-Sicherheitsexperten und Verbraucherschützern entwickelt. Eine solche Einbindung verschiedener Interessengruppen findet sich auch bei Normung und Standardisierung wieder.

      Das Ziel der TR: mehr Transparenz hinsichtlich grundlegender Sicherheitseigenschaften heutiger Router-Modelle zu schaffen. Im Fokus stehen Router für den Heimeinsatz, fürs HomeOffice und kleinere Unternehmen.
      Ich gebe zu: Auch wir hätten uns an der einen oder anderen Stelle durchaus striktere Vorgaben gewünscht, konnten uns hier aber (noch) nicht durchsetzen. Insofern kann die aktuelle Fassung der TR sicher nur ein erster Schritt sein, deren Weiterentwicklung wir aktiv weiter begleiten werden.

      Was wir jedoch nicht teilen, ist Ihre Befürchtung, die TR könne BSI-zertifizierte Produkte abwerten. Eine Konformitätserklärung zu der TR – oder auch das Sicherheitssiegel, das später folgen soll – ist keineswegs mit einer „BSI-Zertifizierung“ gleichzusetzen, die typischer Weise Produkte und Lösungen mit herausragenden Sicherheitseigenschaften auszeichnet.

      BSI-Zertifizierungen – wie z. B. die Common Criteria (CC) oder die neue BSZ (Beschleunigte Sicherheitszertifizierung – siehe Blog) – bedürfen stets der unabhängigen Testierung. Diese stellt einen enormen Wert und damit auch ein starkes Differenzierungsmerkmal im Markt dar. Insbesondere im B2B-Markt dürfte dieser Unterschied durchaus verstanden werden.

      Herzliche Grüße,
      Ralf Koenzen

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.