23.11.2018
Chaos Computer Club
BSI wehrt sich gegen Kritik an Routerrichtlinien
Autor: Alexandra Lindner
ranjith ravindran / shutterstock.com
Bei den neu veröffentlichten Routerrichtlinien des BSI handelt es sich laut CCC um eine "Farce". Die optionalen Regeln sei der Behörde von Anwälten und Lobbyisten der Hersteller in die Feder diktiert worden. Das BSI hingegen verteidigt seine Arbeit.
Vor rund einer Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen Richtlinien-Katalog für Breitband-Router. Damit sollen vor allem Smart-Home-Netzwerke besser gesichert werden, so die Behörde. Nun jedoch muss sich das BSI harte Kritik vom Chaos Computer Club (CCC) anhören. Die Richtlinien seien eine Farce, so die Hacker. Das BSI hingegen verteidigt sich.
Die Technischen Richtlinien "Secure Broadband Router" (TR-03148) sind an die Gerätehersteller adressiert und definieren laut BSI ein Mindestmaß an IT-Sicherheitsmaßnahmen. Außerdem sollen damit die Sicherheitseigenschaften für die Verbraucher transparenter und leichter zu verstehen sein.
Das sei laut CCC aber keineswegs der Fall. Vielmehr sollen die Käufer vor dem Erwerb eines Gerätes dank der Richtlinien keine sinnvolle Möglichkeit bekommen, sichere und langlebige Router von risikobehafteten zu unterscheiden. Wesentliche Punkte des Regelwerkes seien der Behörde zudem von Anwälten und Lobbyisten in die Feder diktiert worden, die die Hersteller entsandt hatten.
Vertreter des CCC haben laut eigenen Angaben an zahlreichen Kommentarrunden und Sitzungen zur Entstehung der TR-03148 teilgenommen, wobei aber gerade von der Industrie durchaus realisierbare Anforderungen bewusst durch Lobbyisten attackiert wurden.
Kein MHD und keine Möglichkeit, alternative Software zu nutzen
Konkret nannte der Club etwa das Fehlen eines "Mindesthaltbarkeitsdatums für die Pflege der auf dem Router laufenden Software". In der Stellungnahme des BSI heißt es dazu, dass die Behörde ein solches verpflichtendes Datum als nicht sinnvoll erachte. Vielmehr sollen die Hersteller den Zeitraum für Updates dynamisch gestalten und an die Kunden kommunizieren kann. Entsprechende Informationen stünden auf der jeweiligen Herstellerwebseite bereit. Außerdem bestehe durchaus eine Pflicht für die Anbieter, innerhalb eines zugesicherten Zeitraums auf etwaige Sicherheitslücken zu reagieren.
Ein weiteres Manko, das der CCC sieht, ist die fehlende Möglichkeit, alternative Software auf die Router aufzuspielen. So habe der Nutzer auch nach Ablaut der offiziellen Produktpflege durch den Hersteller die Möglichkeit, das betreffende Gerät sicher weiterzubetreiben. Doch auch hierzu hat das BSI eine Meinung: Mit der Option, alternative Software installieren zu können, gewinnt der Nutzer keine zusätzliche Sicherheit. Die neuen Richtlinien würden die Installation alternativer Software durchaus erlauben. Das Problem liege vielmehr darin, dass diese von den meisten Herstellern nicht verifiziert wird, so die Behörde. Das wiederum könnte auch kriminellen Angreifern die Türe öffnen.
Im Gegensatz zum CCC ist das BSI offenbar mit seiner Arbeit zufrieden. In einer offiziellen Stellungnahme zur Kritik spricht die Behörde auch von "viel positiver Resonanz". Von Anfang an habe man mit verschiedenen Vertretern, sowohl vom CCC als auch von Herstellern zusammengearbeitet, um möglichst viele Aspekte zu berücksichtigen. Zudem sieht die Behörde die neuen Richtlinien nicht in Stein gemeißelt. Stattdessen ruft das BSI den CCC sowie andere Interessenten in seiner Stellungnahme ausdrücklich dazu auf, sich weiterhin in der entsprechenden Arbeitsgruppe zu engagieren, um die TR--03148 stetig weiterzuentwickeln.
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Salzbatterie
Neuer Super-Akku lädt in wenigen Sekunden
Eine neue Batterie des Korea Advanced Institute of Science and Technology (KAIST) lädt binnen Sekunden. Als Basismaterial kommt das auf der Erde in großen Mengen vorkommende Natrium zum Einsatz.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>