Sie sind überall im Einsatz und stehen doch selten im Fokus: Home Router. Spätestens seitdem das Homeoffice in der Corona-Pandemie zum Standard geworden ist, läuft über die Geräte nicht nur der private, sondern auch der berufliche Datenverkehr. Grund genug also, dass sich nach 2020 Wissenschaftler des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE nun erneut anschauten, wie es um die Sicherheit der Home Router bestellt ist. Ihr Fazit: Der Trend zeigt im Vergleich zu 2020 eine Besserung, aber es ist trotzdem noch Luft nach oben.
122 Router-Modelle, die sich zum Stichtag 31. März 2022 im Vertrieb befanden, haben sich die Wissenschaftler der FKIE-Abteilung »Cyber Analysis & Defense« angeschaut. Für diese Stichprobe fiel ihre Auswahl auf sieben Hersteller, die ihre Geräte in Europa und auch international verkaufen. Für ihre Analyse haben die Security-Experten, wie bereits für den Home Router Security Report 2020, die frei verfügbare Software aller 122 untersuchten Modelle, die sogenannte Firmware, heruntergeladen und auf die Umsetzung von in der Fachwelt anerkannten Security Best Practices untersucht.
»Unser Ziel war es, mit dem Report dafür zu sensibilisieren, dass Sicherheitsaspekte auch bzw. gerade bei so häufig eingesetzten Geräten wie Home Routern berücksichtigt werden müssen. Sie sind einerseits direkt aus dem Internet erreichbar und dienen andererseits als Gatekeeper für die anderen Geräte im lokalen Netzwerk«, erklärt Forschungsgruppenleiter Johannes vom Dorp die Motivation. FKIE-Wissenschaftler René Helmke ergänzt: »Die Hersteller erhalten unsere Ergebnisse vor Veröffentlichung des Reports. Uns geht es darum, Probleme aufzuzeigen, damit sie behoben werden können, und so die Sicherheit der Geräte nachhaltig zu verbessern.«
Zweistufige Methodik
Die Analyse erfolgte in zwei Schritten: Zunächst wurde die Firmware automatisch entpackt und nach vorher definierten Fragestellungen ausgewertet. Wann hat das Gerät beispielsweise zuletzt ein Update erhalten? Gibt es für das verwendete Betriebssystem bekannte Sicherheitslücken? Werden die Zugangsdaten hartkodiert hinterlegt? Diese automatische Analyse führten die Wissenschaftler mithilfe des am Fraunhofer FKIE entwickelten »Firmware Analysis and Comparison Tool« (FACT) durch, das quelloffen zur Verfügung steht.
Bereits im ersten Schritt, einer vollautomatisierten Analyse, wurden im Vergleich zum Bericht von 2020 neue Methoden ergänzt, welche die Aussagekraft der Ergebnisse weiter verbessern. Der zweite Schritt, der sich insbesondere auf die Auswertung potenzieller Schwachstellen im Betriebssystem bezieht, wurde im Vergleich zu 2020 neu entwickelt und in der Zwischenzeit publiziert. Dieser gibt weitere Einblicke, wie die Ergebnisse aus der vorhergehenden Analyse zu verstehen sind, und hilft, die Rate der falsch-positiven Ergebnisse zu senken.
Die Ergebnisse
Die Analyse zeigte, dass das Thema Sicherheit von den sieben Herstellern sehr unterschiedlich adressiert wird und das Feld entsprechend breit gestreut ist: So gab es Geräte mit nur wenigen potenziellen Sicherheitslücken, jedoch auch solche mit Verbesserungsbedarf hinsichtlich aller untersuchten Fragestellungen. Patches, also das Schließen erkannter Sicherheitslücken, werden im Vergleich schneller eingespielt und die Betriebssystemversionen in etwas kürzeren Abständen aktualisiert – nach nach Ansicht der Sicherheitsexperten allerdings noch nicht in ausreichendem Maße. Interessant sei auch ein deutlicher Rückgang der hartcodierten Anmeldedaten. Das größere Sicherheitsproblem sehen die Security-Experten jedoch in leicht zu erratenden Passwörtern, deren Zahl sich nicht wesentlich verändert habe. Zudem werden verfügbare Schutzmaßnahmen für ausführbare Dateien, sogenannte »Binary Hardening«-Methoden, in vielen Fällen nicht konsequent genutzt. Die für Router eingesetzten Linux-Versionen wurden schließlich mit einer öffentlichen Datenbank abgeglichen, die bekannte Sicherheitslücken dokumentiert. Die Resultate filterten die Wissenschaftler im Anschluss wiederum mit einer neuen Methode, um nur jene potenziellen Sicherheitslücken zu betrachten, die auf die vorliegenden Router auch angewendet werden können. Helmke stellt klar: »Aufgrund dieser veränderten Heuristik ist unter diesem Aspekt kein Vergleich zwischen den Ergebnissen von 2020 und 2022 möglich.«
Empfehlungen an Router-Hersteller
Die Empfehlungen der Wissenschaftler an die Hersteller lauten daher, Betriebssystem-Versionen, die keine Sicherheitsupdates mehr erhalten, zu ersetzen. Zudem ist es sinnvoll, Build-Prozesse zu modernisieren, um sicherheitsrelevante Compiler-Features zu aktivieren. Alle hartcodierten Zugangsdaten sollten auf ihre Notwendigkeit hin überprüft werden. Und schließlich sollten Passwörter verwendet werden, die nicht leicht zu knacken sind. »Das sind zum Teil einfache Änderungen, die aber die Sicherheit erheblich steigern können«, bilanziert vom Dorp.
Zum Bericht: