Todo-Liste heute: Bitte endlich Fernzugänge sicher machen

Jedes IT-Gerät hat irgendeine Form des Managementzugangs. Heute wird dafür in der Regel der Web-Browser oder eine App verwendet. Solange der Zugang nur aus dem heimischen Netz erfolgt ist das auch kein Problem. Doch leider sind viele Geräte, vor allem Router und - ganz neu - Smart Home-Gateways, auch aus dem Internet erreichbar. Und damit fangen die Probleme an. Genau genommen haben sie nie aufgehört. Ein offener Remote-Zugang gehört zu den größten (leider unvermeidlichen) Bedrohungen, die ein IT-Gerät haben kann. Wer das Admin-Interface übernehmen kann, kontrolliert das Gerät und in der Regel wird es der Besitzer nicht merken. Im Internet sichtbare Geräte werden konstant gescannt und auf Schwachstellen abgeklopft. Darum sollte ein solcher Zugang behandelt werden wie das digitale Äquivalent einer geladenen Schusswaffe. Man kann so etwas benutzen, aber man muss genau wissen was man tut und jede nur erdenkliche Vorsichtmaßnahme treffen. Dabei ist es ganz egal, ob der Router oder das Gateway nichts Wichtigeres mit dem Internet verbindet, als einen alten Laptop und einen Tintenstrahldrucker. Für eine DDoS-Attacke und Ransomware-Erpresser sind auch solche Komponenten brauchbar. Noch dazu weiß der Hersteller natürlich nicht, wo sein Router eingesetzt werden wird. Er kann auch durchaus eine kleine Zweigstelle eines Mittelständlers oder eine Praxis, Kanzlei oder ein Home-Office mit dem Internet verbinden.

Nachdem all diese Fakten weder neu noch komplex noch strittig sind, dürfte es solche Meldungen wie die folgenden nicht geben:

Cisco Prime Home Authentication Bypass Vulnerability

Stack buffer overflow vulnerability in NETGEAR WNR2000 route

Multiple Netgear routers are vulnerable to arbitrary command injection

Wohl gemerkt, das sind Vorkommnisse aus den letzten vier Wochen und bei Weitem nicht alle. Und es handelt sich dabei nur um Schwachstellen. Dass die große Mehrzahl der Router für den SoHo-Bereich ab Werk nicht einmal über die rudimentärsten Sicherheitsmerkmale verfügt, mit denen Fernzugänge abgesichert werden sollten, ist noch schlimmer. So sind Default-Passwörter für den Admin-Account bei allen Geräten identisch und nicht wenigstens an die MAC gekoppelt. Online Brute-Force Angriffe sind möglich, weil die Konsole nicht nach drei Versuchen geblockt wird. Support-Zugänge sind fest eingebaut und mit allgemein bekannten Passwörtern versehen. Die Liste lässt sich noch eine Weile fortsetzen, nicht umsonst bezeichnen viele Sicherheitsanalysten die Lage bei SoHo-Routern als „hoffnungslos“. John Matherly, Entwickler der Shodan-Suchmaschine, die Schwachstellen in Internet-Geräten aufspürt, sagt, nur halb im Spaß, dass die Zahl der Schwachstellen in Routern lediglich durch die Zeit der Sicherheitsanalysten begrenzt wird, die nach solchen Fehlern suchen.

Warum solche Fehler nach wie vor an der Tageordnung sind und warum grundlegende Sicherheitsmaßnahmen immer noch nicht eingebaut werden, ist schlicht unbegreiflich. Vermutlich wird sich die Situation erst verbessern, wenn die Hersteller für Schäden, die durch solche Lücken entstehen, haftbar gemacht werden. Schon ein verpflichtendes VPN für den Remote-Zugang würde helfen, die Probleme zu minimieren. Zu kompliziert? Wohl kaum, wenn man die Zielgruppe bedenkt. Technisch unbedarfte nutzen den Fernzugang nicht, weder mit noch ohne VPN. Und wer aus der Ferne auf die Managementoberfläche seines Routers zugreifen will, ist auch in der Lage, ein VPN zu konfigurieren. Natürlich müssten im gleichen Zug Softwarefehler ausgemerzt, regelmäßige Sicherheitsupdates verpflichtend und fest eingebaute Wartungszugänge aus der Firmware gestrichen werden. Aber so schwer kann das doch nicht sein, wenn man bedenkt, dass Autos mittlerweile Abstände automatisch einhalten, rückwärts einparken und Verkehrszeichen erkennen können.