WLAN-Router von etablierten Herstellern wurden unter Laborbedingungen auf ihre Sicherheitsausstattung getestet – mit verheerenden Ergebnissen. Auf den millionenfach verbreiteten Geräten wurden insgesamt 226 potenzielle Sicherheitslücken entdeckt.
Der Test wurde von der Redaktion des Fachmagazins CHIP initiiert und gemeinsam mit Experten von IoT Inspector durchgeführt, die ihre Sicherheitsplattform zur automatisierten Firmware-Prüfung zur Verfügung gestellt haben.
Typische Probleme
Am Start waren WLAN-Router von Asus, AVM, D-Link, Netgear, Edimax, TP Link, Synology und Linksys. Manche der erkannten Sicherheitslücken traten gleich bei mehreren Herstellern auf. So ist häufig ist ein veralteter Linux Kernel im Einsatz und da die Integration eines neuen Betriebssystemkerns in die Firmware aufwendig ist, befindet sich hier kein Hersteller auf dem neuesten Stand. Auch die eingesetzte Geräte-Software, die oft auf Standard-Tools wie BusyBox basiert, ist zumeist veraltet; ebenso Dienste, welche die Router als Ergänzung bieten (z.B. Multimedia-Funktionen oder VPN). Zudem nutzen etliche Hersteller im Auslieferungszustand banale Standardpasswörter (z.B. admin), die sich oftmals sogar im Klartext auslesen lassen. Der Wechsel des Passworts bei der ersten Nutzung und die Aktivierung der automatischen Update-Funktion müssen bei allen IoT-Geräten zum Standard gehören.
Wenngleich nicht jede Lücke gleich kritisch einzustufen ist, wiesen sämtliche Geräte zum Testzeitpunkt gravierende Sicherheitsmängel auf. Insofern wurden alle Erwartungen an sichere Small-Business- und Heim-Router im negativen Sinne übertroffen.
Hersteller und Politik reagieren
Die betroffenen Hersteller wurden im Anschluss kontaktiert und bekamen die Gelegenheit zu einer Stellungnahme. Alle reagierten mit vorbereiteten Firmware Patches, die von den Nutzern der jeweils betroffenen Router dringend eingespielt werden sollten, sofern die automatische Update-Funktion nicht aktiviert ist. Durch die Tests haben die Hersteller schon eine Reihe der ermittelten Sicherheitslücken in ihren Geräten geschlossen. Doch WLAN-Router sind weiterhin nicht fehlerlos und seitens der Hersteller gibt es weiterhin Nachholbedarf.
Parallel dazu zeigt der Koalitionsvertrag der neuen Bundesregierung, dass Hersteller künftig stärker zur Verantwortung gezogen werden sollen. Dort heißt es: „Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.” Somit erhöht sich der Druck auf die Industrie, Produkte laufend optimal abzusichern, um teure Schadenersatzforderungen zu vermeiden.
Der Firmware-Sicherheitscheck von IoT Inspector nimmt diesen Analyseschritt automatisch vor. Dazu muss lediglich die Firmware des Gerätes auf iot-inspector.com hochgeladen werden und in wenigen Minuten liegt ein ausführliches Ergebnis der gefundenen Sicherheitslücken mit Risikoeinstufung vor, die dann gezielt geschlossen werden können.
13.01.2022
