Router und IT-Sicherheit: Probleme mit Passwörter und alten Betriebssystemen

Ohne Router geht zu Hause gar nix: Kein streamen, kein zocken und keine Kommunikation über die eigenen mobilen Endgeräte und schon gar kein Home Office. Über Home Router läuft in vielen Haushalten sowohl der private als auch der berufliche Datenverkehr und der oft nicht perfekt in Sachen IT-Sicherheit, wie der neueste "Home Router Security Report" des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE nun zeigte.

Laut Pressemeldung des Fraunhofer Instituts mit Sitz in Bonn haben sich die Wissenschaftler der Abteilung "Analysis & Defense" 122 Router-Modelle, die sich zum Stichtag 31. März 2022 im Vertrieb befanden angeschaut. Für eine Stichprobe fiel ihre Auswahl auf sieben Hersteller, die ihre Geräte in Europa und auch international verkaufen. Für ihre Analyse haben die Security-Experten, wie bereits für den Home Router Security Report 2020, die frei verfügbare Software aller 122 untersuchten Modelle, die sogenannte Firmware, heruntergeladen und auf die Umsetzung von in der Fachwelt anerkannten Security Best Practices untersucht.

Nach Angaben des Institits erfolgte die Analyse in zwei Schritten: Zunächst wurde die Firmware automatisch entpackt und nach vorher definierten Fragestellungen ausgewertet. Wann hat das Gerät beispielsweise zuletzt ein Update erhalten? Gibt es für das verwendete Betriebssystem bekannte Sicherheitslücken? Werden die Zugangsdaten hartkodiert hinterlegt? Diese automatische Analyse führten die Wissenschaftler mithilfe des am Fraunhofer FKIE entwickelten "Firmware Analysis and Comparison Tool" (FACT) durch, das quelloffen zur Verfügung steht.

Bereits im ersten Schritt, einer vollautomatisierten Analyse, wurden im Vergleich zum Bericht von 2020 neue Methoden ergänzt, welche die Aussagekraft der Ergebnisse weiter verbessern. Der zweite Schritt, der sich insbesondere auf die Auswertung potenzieller Schwachstellen im Betriebssystem bezieht, wurde im Vergleich zu 2020 neu entwickelt und in der Zwischenzeit publiziert. Dieser gibt weitere Einblicke, wie die Ergebnisse aus der vorhergehenden Analyse zu verstehen sind, und hilft, die Rate der falsch-positiven Ergebnisse zu senken.

Die Ergebnisse

Die Analyse zeigte, dass das Thema Sicherheit von den sieben Herstellern sehr unterschiedlich adressiert wird und das Feld entsprechend breit gestreut ist: So gab es Geräte mit nur wenigen potenziellen Sicherheitslücken, jedoch auch solche mit Verbesserungsbedarf hinsichtlich aller untersuchten Fragestellungen. Patches, also das Schließen erkannter Sicherheitslücken, werden im Vergleich schneller eingespielt und die Betriebssystemversionen in etwas kürzeren Abständen aktualisiert – nach Ansicht der Sicherheitsexperten allerdings noch nicht in ausreichendem Maße. Interessant sei auch ein deutlicher Rückgang der hartcodierten Anmeldedaten.

Das größere Sicherheitsproblem sehen die Security-Experten jedoch in leicht zu erratenden Passwörtern, deren Zahl sich nicht wesentlich verändert habe. Zudem werden verfügbare Schutzmaßnahmen für ausführbare Dateien, sogenannte "Binary Hardening"-Methoden, in vielen Fällen nicht konsequent genutzt. Die für Router eingesetzten Linux-Versionen wurden schließlich mit einer öffentlichen Datenbank abgeglichen, die bekannte Sicherheitslücken dokumentiert. Die Resultate filterten die Wissenschaftler im Anschluss wiederum mit einer neuen Methode, um nur jene potenziellen Sicherheitslücken zu betrachten, die auf die vorliegenden Router auch angewendet werden können.

Empfehlungen an Router-Hersteller

Die Empfehlungen der Wissenschaftler an die Hersteller lauten daher, Betriebssystem-Versionen, die keine Sicherheitsupdates mehr erhalten, zu ersetzen. Zudem ist es sinnvoll, Build-Prozesse zu modernisieren, um sicherheitsrelevante Compiler-Features zu aktivieren. Alle hartcodierten Zugangsdaten sollten auf ihre Notwendigkeit hin überprüft werden. Und schließlich sollten Passwörter verwendet werden, die nicht leicht zu knacken sind.

Der Report kann auf der Webseite des FKIE heruntergeladen werden: Externer Link