Sicherheit von Home Routern hat noch Luft nach oben

Seitdem das Homeoffice sich zum Standard entwickelt hat, läuft über die Home Router nicht nur der private, sondern auch der berufliche Datenverkehr. Daher haben sich Wissenschaftler des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE angeschaut, wie sicher diese Router sind. Die Hersteller wurden darüber informiert. Im Report werden die Herstellernamen nicht genannt.

Für ihre aktuelle Analyse haben die Security-Experten, wie bereits für den Home Router Security Report 2020, die frei verfügbare Software von 122 untersuchten Modelle, die sogenannte Firmware, heruntergeladen und auf die Umsetzung von in der Fachwelt anerkannten Security Best Practices untersucht. “Unser Ziel war es, mit dem Report dafür zu sensibilisieren, dass Sicherheitsaspekte auch bzw. gerade bei so häufig eingesetzten Geräten wie Home Routern berücksichtigt werden müssen. Sie sind einerseits direkt aus dem Internet erreichbar und dienen andererseits als Gatekeeper für die anderen Geräte im lokalen Netzwerk”, erklärt Forschungsgruppenleiter Johannes vom Dorp.

Zweistufige Methodik

Die Analyse erfolgte in zwei Schritten: Zunächst wurde die Firmware automatisch entpackt und nach vorher definierten Fragestellungen ausgewertet. Wann hat das Gerät beispielsweise zuletzt ein Update erhalten? Gibt es für das verwendete Betriebssystem bekannte Sicherheitslücken? Werden die Zugangsdaten hartkodiert hinterlegt? Diese automatische Analyse führten die Wissenschaftler mithilfe des am Fraunhofer FKIE entwickelten Firmware Analysis and Comparison Tool durch, das quelloffen zur Verfügung steht.

Der zweite Schritt bezieht sich insbesondere auf die Auswertung potenzieller Schwachstellen im Betriebssystem. Dieses Tool wurde neu entwickelt und in der Zwischenzeit publiziert. Dies gibt weitere Einblicke, wie die Ergebnisse aus der vorhergehenden Analyse zu verstehen sind, und hilft, die Rate der falsch-positiven Ergebnisse zu senken.

Die Ergebnisse

Auf Basis einer Stichprobe haben die Wissenschaftler sieben Router genauer untersucht. Die Hersteller adressieren das Thema Sicherheit sehr unterschiedlich. So gab es Geräte mit nur wenigen potenziellen Sicherheitslücken, jedoch auch solche mit Verbesserungsbedarf hinsichtlich aller untersuchten Fragestellungen. Patches, also das Schließen erkannter Sicherheitslücken, werden im Vergleich schneller eingespielt und die Betriebssystemversionen in etwas kürzeren Abständen aktualisiert – nach Ansicht der Sicherheitsexperten allerdings noch nicht in ausreichendem Maße. Interessant sei auch ein deutlicher Rückgang der hartcodierten Anmeldedaten.

Das größere Sicherheitsproblem sehen die Security-Experten jedoch in leicht zu erratenden Passwörtern, deren Zahl sich nicht wesentlich verändert habe. Zudem werden verfügbare Schutzmaßnahmen für ausführbare Dateien, sogenannte »Binary Hardening«-Methoden, in vielen Fällen nicht konsequent genutzt. Die für Router eingesetzten Linux-Versionen wurden schließlich mit einer öffentlichen Datenbank abgeglichen, die bekannte Sicherheitslücken dokumentiert. Die Resultate filterten die Wissenschaftler im Anschluss wiederum mit einer neuen Methode, um nur jene potenziellen Sicherheitslücken zu betrachten, die auf die vorliegenden Router auch angewendet werden können. Helmke stellt klar: »Aufgrund dieser veränderten Heuristik ist unter diesem Aspekt kein Vergleich zwischen den Ergebnissen von 2020 und 2022 möglich.«

Empfehlungen an Router-Hersteller

Die Empfehlungen der Wissenschaftler an die Hersteller lauten daher, Betriebssystem-Versionen, die keine Sicherheitsupdates mehr erhalten, zu ersetzen. Zudem ist es sinnvoll, Build-Prozesse zu modernisieren, um sicherheitsrelevante Compiler-Features zu aktivieren. Alle hartcodierten Zugangsdaten sollten auf ihre Notwendigkeit hin überprüft werden. Und schließlich sollten Passwörter verwendet werden, die nicht leicht zu knacken sind. “Das sind zum Teil einfache Änderungen, die aber die Sicherheit erheblich steigern können”, bilanziert vom Dorp.