Über eine Schwachstelle in der Serversoftware ist es möglich, die Router von unzähligen Endkunden zu manipulieren und Daten auszulesen. Ermöglicht wird der Zugriff über das seit einigen Jahren weltweit verbreitete Protokoll TR-069, mit dessen Hilfe der Router im heimischen Wohnzimmer und der Server des Providers kommunizieren.
Der Inhalt im Überblick
Sicherheitslücke TR-069
Das Protokoll TR-069 (Technical Report 069) kommt bei einer Vielzahl von Routern für den Heimgebrauch zum Einsatz. Im Jahr 2011 war das Protokoll in geschätzt 150 Millionen Breitband-Router integriert. Kommuniziert der Router über TR-069 mit den sogenannten Auto Configuration Servern (ACS) des Telekommunikations-Providers, so können Angreifer Sicherheitslücken in mehreren ACS-Softwareversionen ausnutzen und in die Endgeräte beispielsweise mit Schadsoftware infizierte Updates einspielen.
Schutzmaßnahmen der Nutzer nicht möglich bei Zwangsroutern
Experten empfehlen dringend, das Protokoll TR-069 in den Endgeräten abschalten, wenn dies in der Konfiguration möglich ist.
Ein großes Problem stellen in diesem Zusammenhang jedoch die sogenannten Zwangsrouter dar, die in immer größerer Zahl von den Providern an ihre Kunden ausgegeben werden. Nur mit dem vom Provider gelieferten Gerät lassen sich die Internet- und Telefonie-Funktionen dann nutzen.
Diese Zwangsrouter stehen bereits seit einiger Zeit in der Kritik, da ihr Einsatz wahrscheinlich gegen europäisches Recht verstößt und sich zudem viele Kunden in ihren Rechten eingeschränkt fühlen.
Kunden haben bei einem vom Provider vorgegeben Router in alle Regel selbst keine Möglichkeit, Einstellungen und Konfigurationen zu ändern und beispielsweise das kritische TR-069-Protokoll zu deaktivieren.
Weitere Informationen zum Routerzwang
Wer sich näher mit dem Komplex das Routerzwangs auseinandersetzen möchte, findet unter anderem auf den Seiten des Heise-Verlages weitere Informationen: „Providers Freud“ aus dem letzten Jahr und ganz aktuell auch ein Artikel zur Stellungnahme der Bundesnetzagentur.
Man könnte hinter den Zwangsrouter des Providers einen eigenen Router schalten und den Datenverkehr verschlüsselt durch den Zwangsrouter leiten. Dadurch würden Angreifer, die sich des Zwangsrouters bemächtigt haben, trotzdem mehr oder weniger ausgesperrt.
Eine andere Möglichkeit ist, sich über Mobilfunk mit dem Internet zu verbinden. Dann hat man diese Problematik mit den Zwangsroutern nicht.
Die Lösung ist eigentlich recht simpel und frisst nur 10-15 Watt Strom (30EUR/a – das, was der ISP- oder Zwangsrouter verbraucht):
Einen 2., eigenen, Router (Firewall, ISG, …) hinter den Zwangsrouter stellen*.
Das hat neben der Sicherheit auch die Vorteile, den Wunschrouter mit allen seinen Features zu betreiben und bei Abrechnungsproblemen (Telefonrechnung) z.B. das Log der Fritz!Box zu haben (mag es auch nicht „gerichtsfest“ sein, so gibt es -mir- aber die Gewissheit, dass kein Mitglied oder Besucher des Haushaltes „Mist gebaut“ hat. Ich kann dann ganz anders „verhandeln“).
*Technischer Nachteil: Doppeltes NAT (wird im Internet als „problematisch“ z.B. im Zusammenhang mit VPN oder VoIP beschrieben), ich habe aber selbst bei Tripple-NAT (Zwangsrouter hat nur private IP (z.B. bei UMTS-DialUp))-nach-Double-NAT-VPN-Verbindungen (sowohl PPTP als auch L2TP/IPSec) nie Probleme gehabt.