Routerzwang – Vom Systemwechsel, der DDR, Trabanten und falscher Sicherheit

Das Thema Routerzwang brennt mir schon eine Weile unter den Fingernägeln, deshalb greife ich es jetzt mal auf. Im Zusammenhang mit der Fritzbox-Lücke hatte ich mir einige Notizen dazu gemacht. Aufgefangen in Gesprächen, Artikeln oder eMails.

In der Regel nutzen die deutschen Haushalte Internetrouter, die direkt von Ihrem Internetprovider gestellt werden. Bei der Telekom ist der Speedport-Router nicht unbekannt, EWE stellt bspw. Fritzboxen und und und. Zwar lassen bspw. die Telekom andere Router zu, aber ich habe schon Freunde kämpfen sehen.

Die Nachteile für Anwender sind umfangreich: Keine Kontrolle über das Updatemanagement der Firmware, Fernzugriffe der Provider können nicht unterbunden werden, es fehlen oft mittlerweile wichtige Funktionen oder müssen extra bezahlt werden. Durch diese vorkonfigurierten Geräte benötigt der Kunde auch keine Zugangsdaten zum DSL-Netz. Um einen eigenen Router anzuschließen, um in das Netz seines Providers zu gelangen, benötigt der Nutzer diese Zugangsdaten und muss sie erst erbetteln. Die einzigen Internetnutzer, denen diese Politik gelegen kommt, sind Leute, die sich mit der Technik nicht auseinandersetzen wollen. Erinnert mich irgendwie immer an AppleUser auf die ich treffe! Leser natürlich ausgenommen! :) Manche können sich aber auch nicht damit auseinandersetzen, weil sie schlicht nur im Internet surfen wollen und der Rest ihnen egal ist. Das ist dann so. Wir können beim Thema Routerzwang also den Providern keine Alleinschuld geben. Kunden, die sich mit dem Thema nicht beschäftigen, sind genauso Schuld, wenn etwas schief geht.

Profiteure sind aber erstmal die Provider selbst. Einmal den Kontrollfaktor, aber auch Kostenersparnis durch Vereinheitlichung. Wir sind damit irgendwie DDR! Alle bekommen einen Trabant, aber wer einen schnelleren Schlitten haben will, muss erstmal einen Antrag stellen.

Es gibt aber auch (kleine bis mittlere) Unternehmen, die sich mit den Internetroutern Ihres DSL-Providers zufriedengeben. Diese Ahnungslosen müsste man alle vor Gericht stellen, da weder deren eigene Betriebsgeheimnisse, noch die Daten von Kunden oder Geschäftspartnern sicher sind. Sparsamkeit an der falschen Stelle führt irgendwann ins Aus. Ignoranz sowieso. Den Schaden tragen Mitarbeiter und Kunden.

Welche Gefahren könnte man durch den Routerzwang bzw. das Desinteresse sich mit dem Thema zu beschäftigen noch sehen? Aus meiner eigenen Position und meinem eigenen Sicherheitsbedürfnis heraus wäre ein Zwangsrouter folgende Gedanken wert:

  • Der Trabant, den ich zum Fahren auf der Datenautobahn nutze, wird von einer anderen mir nicht bekannten Person gesteuert.
  • Die Motorhaube und alle wichtigen Zugangspunkte zum Kraftfahrzeug sind mir verschlossen.
  • Ich kenne keine Schäden, weil man sie mir nicht sagt, außer es steht als Skandal in der Zeitung.
  • Ich muss einem Trabant trauen, obwohl ich nicht weiß, ob er defekt ist/war, oder funktionstüchtig ist, Macken hat oder jemals eine Werkstatt zur Prüfung gesehen hat (Anmerkung: Firmwareupdate).
  • Wenn ich auf der Datenautobahn einkaufen gehe, mein Geld und meine Kreditkarten durch das Fenster im Trabant reiche, um zu bezahlen (Drive In), vertraue ich darauf, dass die unbekannte Person meine Zahldaten nicht abgreift, oder der Trabant von anderen Personen nicht infiltriert wurde, um meine Zahldaten umzuleiten, oder eben auch direkt abzugreifen. (Diebstahl)
  • Wenn ich Post von einem Anwalt bekomme, weil mein Trabant, von dem ich nicht weiß, was er eigentlich tut, geblitzt / beobachtet / identifiziert wurde, wie er im Einsatz war, um  illegale West-Schlager zu importieren, dann kann ich dazu nichts sagen, weil ich das ja gar nicht weiß! Wurde der Trabant von anderen Personen zweckentfremdet? Möglich! Wurde eine Sicherheitslücke in einem mir verschlossenen Bereich für Schmuggeleien genutzt? Möglich! Keine Ahnung, denn ich kontrolliere das Gerät nicht.
Vielleicht interessiert Dich noch:   Xiaomi-Smartphones mit Backdoor

Das könnte man wohl noch eine Weile weiterspinnen. Ich denke, dass die Gefahren für Haushalte (Unternehmen), die vorkonfigurierte Geräte nutzen, klar geworden sind. Wer die Verantwortung abgibt, aufgibt oder ablehnt, begibt sich auf risikoreiches Terrain. Ich will mal einen Vergleich ziehen: Es gibt Menschen, die sagen, dass wir unsere Demokratie verteidigen und immer wieder erkämpfen müssen. Das ist richtig. Und das beginnt bei Dingen, die wir oft nicht wahrnehmen würden. Demokratie heisst aber nichts anderes als Verantwortung zu übernehmen. Wenn wir die Verantwortung freiwillig abgeben, dann setzt man uns erst einen Trabant vor, anschließend sagt man uns wohin wir damit nur noch fahren dürfen.

Wenn wir in diesem Router-Fall die Verantwortung nicht übernehmen, können wir nicht nur Opfer eines Wechsels des (Betriebs)Systems werden, sondern auch Opfer Krimineller, die den Trabanten auf unsere Kosten missbrauchen. Die Verteidigung wird dann aber schwer. Unser Rechtsstaat erlaubt uns Gegenwehr. Die kann aber nur erfolgreich sein, wenn man alles versucht hat und der Provider trotzdem seinen Routerzwang durchsetzen konnte, ein Anbieterwechsel ausgeschlossen war und die eigenen Sicherheitsmaßnahmen nachweislich in Ordnung sind (Regelmäßige Passwortwechsel, regelmäßige Softwareupdates, Sicherheitssoftware etc.). Jede Person muss Schaden von sich und seinen Werten abwenden, wenn möglich. Wer das unterlässt, wird vor Gericht meist unterliegen, wenn die Gegenseite besser vorbereitet ist. Hat man alles Mögliche getan, kann man als Opfer eines Verbrechens, oder Beschuldigter eines Vergehens (, dass Ihr nicht begangen habt,) darauf hinweisen, dass Ihr aufgrund des Routerzwangs keine Kontrolle über Euren Internetzugang habt. Die Verantwortung trägt als verantwortlicher Routerverwalter dann eher der Provider.

Meine Schlussfolgerungen gefallen mir. :c)

Was gibt es zu Routern noch zu sagen? Machen wir es nochmal spannend. Die Standard-Router, auch die Geräte der Provider und natürlich aller anderen Anbieter, die Ihr auch selbst einsetzen könntet, haben in der Regel folgende beworbenen Funktionen:

  • Es werden Geschwindigkeiten für das WLAN zwischen 54 und 800 MB beworben,
  • Man bietet WPS an, um ein schnelles Einbinden von Geräten ins WLAN zu ermöglichen,
  • Man bietet verschiedene Verschlüsselungsmöglichkeiten an (64/128-bit WEP, WPA-PSK, WPA2-PSK, WPA-Enterprise, WPA2-Enterprise),
  • Dann werden Standardfunktionen wie Automatische IP-Vergabe/Annahme, Statische IP, PPPoE, PPTP, L2TP etc. aufgezählt,
  • Und als Firewall wird sehr oft NAT und SPI genannt.

Alles sehr nett. Klingt toll. Damit hat der Trabant dann Fenster und Türen, damit keine Insekten reinkommen, Lenkrad, Radio etc.! Diese ganze Geschichte hat NICHTS mit Sicherheit zu tun. Diese Standard-Router sind der gleiche Käse der Euch im nächstgelegenen Technikshop verkauft wird. Deshalb ist der Routerzwang bzw. das Nicht-Beschäftigen mit dem Thema im Grunde noch viel gefährlicher. Ich bin da ganz ehrlich: Wenn ich lese, dass sich der Chaos Computer Club oder die Free Software Foundation Europe oder sogar die normalen Routerhersteller dafür einsetzen, dass der Routerzwang aufgegeben wird, werde ich sauer. Warum? Weil es nicht um Sicherheit der Internetnutzer geht, auch nicht um Freiheit oder Zensur. Höchsten ums Verkaufen oder Selbstdarstellen. Selbst ein eigener Standard-Router, der über die genannten Funktionen nicht hinausgeht, ist der gleiche Müll, wie die Zwangsrouter. Er schützt Euch nicht! Und in der Regel geht keines der normalen Geräte die Ihr kennt über diese Funktionen hinaus. Sucht doch mal nach den Funktionen eures Gerätes und vergleicht mit dem, was ich noch schreibe.

Vielleicht interessiert Dich noch:   Vtech und die Ehrlichkeit

Was benötigt eigentlich JEDER Internetanschluss? Richtig, und es wird Euch nicht gefallen: Eine Hardware-Firewall (in der Regel ist der Router mit dabei). Ein solches Gerät bietet mittlerweile das, was oben aufgezählt wurde. Zusätzlich prüft es den kompletten Datenverkehr auf Viren, Trojaner und andere Malware. Es untersucht die aufgerufenen Scripte und Webseiten auf Einbruchsversuche durch Schadcode oder manipulierte Seiten, es untersucht ausgehende Verbindungen Eurer Geräte auf Schädlinge oder schlechtes Benehmen, es ermöglicht Inhalte zu filtern (selbst zensieren, selbst freigeben), es ermöglicht eMails auf SPAM, Phishing und Malware zu prüfen, es blockiert infizierte Webseiten und und und.

Ein Hardware-Firewall, die in kleinen Haushalten aber auch kleinen Firmen sinnvoll ist, kostet je nach Anbieter und Angebot im Komplettpaket zwischen 150 und 1.000 Euro. Dazu kommen jährliche Gebühren für Antivirensignaturen etc. zwischen 300 bis zu 400 Euro pro Jahr. Es gibt aber auch die Möglichkeit kostenlose Appliancebetriebssysteme auf eigener Hardware (mit zwei Netzwerkkarten) zu betreiben. Man muss eben nur die Hardware kaufen und hat ein zusätzliches Gerät am Strom hängen. Der Aufwand zur Einrichtung ist durchaus groß. Das System muss regelmäßig kontrolliert und die Log-Dateien geprüft werden. Bei Sicherheitsvorfällen müssen Maßnahmen gegen eine Wiederholung ergriffen werden. Man erhöht damit seine Sicherheit enorm, nie aber 100%. Mit einer lokalen Sicherheitssoftware zusätzlich (die man sowieso haben sollte), hat man als Nutzer zwei gute Bodyguards.

Die wenigsten Privathaushalte tun das. Firmen ist sowieso geraten diese Technik einzusetzen, auch wenn ich weiß, dass es noch immer zu Wenige tun. Ich nutze diese Technik und bin manchmal erstaunt, auf was für Seiten mir Schadcode entgegen springen möchte. Schadcode, den auch mein lokales Sicherheitsprogramm nicht entdeckt.

Der Routerzwang ist Mist, weil es nur um Geräte geht, die im Grunde nur die Tür öffnen, aber keine Sicherheit bieten. Nur gegen Routerzwang zu protestieren bringt nichts, wenn man damit vorgaukelt, dass mit einem eigenen Standard-Gerät alle Probleme gelöst sind. Zu glauben, dass mit einem eigenen Router alles erledigt ist, ist die schlimmste falsche Sicherheit. Wirkliche Sicherheitsmaßnahmen kosten Geld. Ich empfehle immer dieses Geld in die Hand zu nehmen!

 

Ein Beispiel was meine Appliance in den letzten zwei Wochen statistisch gemacht hat. Ich war übrigends die Hälfte der Zeit nicht da.

 

Intrusion Prevention Statistics

Inspected_TCP Packets     801193
Inspected UDP Packets    1441246
Inspected URI Number      182746

Family Protection Statistics
Websites Filtered    746

  • Mehrere Millionen Datenpakete wurden auf “Einbruchsspuren” untersucht. Insgesamt wurden 746 Webseiten aufgrund von bösen Inhalten geblockt (Zensur),

 

Anti-Virus Statistics

Inspected Packets              3630744
Scanned Files                       159095
Infected Files                                1

  • Der Anti-Viren-Schutz hat ebenfalls mehrere Millionen Pakete geprüft. Über 159.000 Dateien gescannt und 1 infizierte Datei gefunden.

 

Web Protection Statistics

Websites Inspected                 384008
Malicious Websites blocked            37

  • Der Code von 384.000 Webseiten wurde auf Probleme geprüft. Auf 37 Webseiten wurde schadhafter Code entdeckt und die Webseiten bzw. die Funktionen wurden geblockt.

 

Das alles passiert auch bei Euch! Also: DatenVerkehr, nur mit Schutz!

 

Ich hoffe, dass war jetzt nicht zu radikal? Meinungen und Kritik wie immer erwünscht! Auch ich irre mich mal, deshalb dürft Ihr mich gerne berichtigen. :c)

4 Kommentare Routerzwang – Vom Systemwechsel, der DDR, Trabanten und falscher Sicherheit

  1. Frank

    Hallo,
    Der Artikel rüttelt wach. Er ist sehr gut geschrieben.
    Was ich mir wünschen würde, wären ggf. Empfehlungen zum Thema AV-Software oder die von Dir angesprochenen Router.

    Leider wäre das dann Werbung ;-)

    Grüße
    Frank

      1. Michael Krause

        Hi,

        welche für den “Home” Anwender passende Appliance setzt Du denn ein, bzw würdest Du empfehlen?
        Natürlich könnte ich einen “IPcop” auf PC-Hardware aufsetzen, allerdings ist bei herkömmlicher Hardware der Stromverbrauch dann nicht unerheblich…..

        Ansonsten….
        Frohe Ostern :-)

Kommentare sind geschlossen.