DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Firmware-Updates und der Netz­ab­schluss­punkt

Auch in 2014 finden wieder umfang­reiche Angriffe auf Router statt. Es setzt hohes Ver­trauen voraus, sich bei Ein­stel­lungen und Sicher­heits­up­dates blind auf seinen Pro­vider ver­lassen zu müssen. Welche, auch recht­lichen, Kon­se­quenzen hat dies?

Es ist wieder einmal bezeichnend: Nach über einem Jahr Dis­kussion über Vor und Nach­teile von Routern als Netz­ab­schluss­punkt ist mit der Trans­pa­renz­ver­ordnung  der Bun­des­netz­agentur wieder einmal viel getan – aber wohl ele­mentare Pro­bleme nach wie vor nicht gelöst worden.

Eine für den unbe­le­senen Betrachter eher phi­lo­so­phische Dis­kussion birgt für Sicher­heits­be­wusste genügend Brisanz, um sich damit aus­ein­an­der­zu­setzen.

Zum einen: Die bevor­zugten Router der Pro­vider sind bei Funk­tionen ein­ge­schränkt. Dies liegt eigentlich auf der Hand. Sie sind durch geringere Kom­ple­xität weniger feh­ler­an­fällig und erzeugen dadurch gerin­geren Sup­port­aufwand. Die benö­tigten Hot­lines können damit schlank und kos­ten­günstig gehalten werden. Vorteil für den Kunden: Ein­stel­lungen und Updates werden vom Pro­vider durch­ge­führt.

Zum anderen: Es fehlen mit­unter eben sinn­volle Funk­tionen wie „etwa für IPv6, VPN, Media-Server oder DynDNS-Dienste“ – und eben die Mög­lichkeit, selbst zu kon­fi­gu­rieren.  Gerade für den sicher­heits­be­wussten Nutzer bedeutet diese funk­tionale Ein­schränkung mehr Aufwand: Es müssen feh­lende betriebs- und sicher­heits­re­le­vante Funk­tionen nach­ge­rüstet werden. Bei­spiels­weise muss zusätzlich eine eigen­ständige Netz­werk­ar­chi­tektur mit Ser­ver­funk­tio­na­li­täten (eigener Router oder Server), Hardware-Firewall oder auch Medi­a­server und WLAN etc. ein­ge­richtet werden.

Wer würde bei feh­lender zen­traler Firewall bei­spiels­weise mit­be­kommen, dass der Fernseher/Monitor mit der ein­ge­bauten Kamera die Bilder um die Welt schickt (s. blog-Beitrag) , der Router gehackt wurde  oder sich Fremde im eigenen Netz tummeln. Diese ist umso wich­tiger, da Symantec bereits ver­kündet hat, „ein wirk­samer Schutz sei nicht mehr auf­recht zu halten und sich weg von der Prä­vention hin zur Scha­dens­mi­ni­mierung ori­en­tiert“  .
 
Inter­essant finde ich beim aktu­ellen Fall von Cisco besonders fol­gende For­mu­lierung: „Die Firma hat ent­spre­chende Firmware-Aktua­­li­­sie­­rungen zur Ver­fügung gestellt und emp­fiehlt Kunden mit betrof­fenen Geräten bei ihrem Pro­vider das Update anzu­fordern“. Die Pro­vider scheinen also dieses Update nicht auto­ma­tisch zur Ver­fügung zu stellen.

Wer zudem mit dem Gedanken spielt, einen Anbieter mit „Zwangs-Router“ zu wählen, sollte zudem vorab klären, ob bei­spiels­weise nütz­liche Funk­tionen wie eine Fern­wartung noch möglich ist, bzw. klären welche der erwar­teten bzw. benö­tigten Funk­tio­na­li­täten ent­halten sind!

Recht­liche Folgen

„Schreibt der Pro­vider dem Kunden das Gerät vor, kann sich dieser nicht oder nur unzu­länglich um die Sicherung kümmern. Damit steht die Frage im Raum, wer für Schäden haften muss, die etwa durch einen Miss­brauch des Kun­den­zu­gangs, eine feh­ler­hafte Kon­fi­gu­ration oder Sicher­heits­mängel ent­stehen. Unzählige Urteile nehmen bislang dafür den WLAN-Betreiber in die Pflicht. Mit einem fern­kon­fi­gu­rier­baren Zwangs­router greift der Pro­vider jedoch in dessen Hoheits­rechte ein – er hält prak­tisch den Router-Haupt­­schlüssel in der Hand. Fehler beim Fern­kon­fi­gu­rieren können unbe­merkt das WLAN für unge­betene Gäste öffnen, die den Inter­net­zugang für Straf­taten miss­brauchen. Und bei Sicher­heits­lücken muss man warten, bis der Pro­vider seine Pflicht erfüllt. Das ist sogar nur eine mora­lische Ver­pflichtung, eine gesetz­liche fehlt. Gerade der letzte Satz spricht für sich!

Fazit:
Wer mit kleinem Budget in Zeiten von NSA & Co (aktuell: „Pro­vider hilft BND angeblich beim Zugriff am Internet-Knoten DE-CIX“), bereits resi­gniert hat, kann bei einem kleinen Netz getrost auch auf die so genannten „Zwangs-Router“ zugreifen – Sicherheit gilt dann eher als Glück­spiel. Und: Wer einen bestimmten Funk­ti­ons­umfang benötigt, ist gut beraten, diesen vorher zu prüfen.

Wem Sicherheit nicht egal ist, sollte grund­sätzlich auf der­artige Provider/Geräte ver­zichten. Gerade durch den Poli­tik­wechsel großer Anti­­viren-Her­steller, weg von der Pro­phylaxe und mehr hin zu Scha­dens­mi­ni­mierung wird sichtbar, dass mit Anti-Viren­­pro­­grammen alleine und „Billig“ keine Sicherheit mehr zu leisten ist. „Nur noch durch­schnittlich 45 Prozent aller Angriffe werde von Anti­vi­ren­software erkannt. Anti­vi­ren­software sei zwar wei­terhin not­wendig, aber inef­fi­zient.“ Die erfor­der­liche Sicherheit muss mit einem not­wen­digen Mehr an Aufwand und Know-How erkauft werden.

Bild: © H.P.Reichartz / pixelio.de  

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.