Fast alle getesteten Router mit Sicherheitsmängeln

„Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

[datensicherheit.de, 27.06.2020] Laut einer aktuellen Stellungnahme vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) sind es „alarmierende Ergebnisse“, welche am 26. Juni 2020 im eigenen aktuellen „Home Router Security Report 2020“ veröffentlicht wurden: Bei fast allen Geräten von insgesamt 127 getesteten Routern für Privatnutzer von sieben großen Herstellern seien Sicherheitsmängel festgestellt worden – „teilweise sogar ganz erhebliche“.

Abbildung: Fraunhofer FKIE

Alarmierende Ergebnisse im „Home Router Security Report 2020“

Router mit fehlenden Sicherheitsupdates, hartcodierten Passwörtern…

Diese Sicherheitsmängel reichten von fehlenden Sicherheitsupdates, über einfach zu entschlüsselnde, hartcodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten.
In dem gerade veröffentlichten „Home Router Security Report 2020“ vom Fraunhofer FKIE machen nach eigenen Angaben IT-Experten aus der Abteilung „Cyber Analysis & Defense“ auf zum Teil ganz erhebliche Sicherheitsmängel bei Home-Routern aufmerksam.
Mithilfe des vom Fraunhofer FKIE entwickelten „Firmware Analysis and Comparison Tools“ (FACT) seien diese Mängel entschlüsselt und aufgezeigt worden – mit dem Ergebnis: „Sämtliche der 127 getesteten Home Router wiesen Schwachstellen auf.“

Auswertung ergab, dass kein einziger Router ohne Fehler war

Per Stichtag 27. März 2020 hatte sich demnach das Team von Peter Weidenbach und Johannes vom Dorp aus der Abteilung „Cyber Analysis & Defense“ des Fraunhofer FKIE die neueste verfügbare Software heruntergeladen – diese werde auch seitens der Hersteller den Kunden angeboten, die einen dieser 127 Router zu Hause als Privatnutzer verwenden.
„Die Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zwölf Monaten kein Sicherheitsupdate erhalten“, erläutert IT-Security-Experte und FKIE-Wissenschaftler Weidenbach. Der Extremfall unter den geprüften Geräten habe „sogar 2.000 Tage lang kein Sicherheitsupdate mehr erhalten“.
Verschiedene Sicherheitsaspekte hätten für die FKIE-Wissenschaftler für ihren Bericht im Fokus gestanden, darunter neben den Sicherheitsupdates auch die Frage, welche Betriebssystemversionen verwendet werden und inwieweit kritische Sicherheitslücken diese Versionen beeinflussen.

Mehr als 90 Prozent der getesteten Router nutzten alte Versionen von Linux

Mehr als 90 Prozent der getesteten Home-Router setzten „Linux“ als Betriebssystem ein – allerdings würden oftmals sehr alte Versionen genutzt.
An dieser Stelle macht vom Dorp den Herstellern auch den größten Vorwurf: „,Linux‘ arbeitet permanent daran, Sicherheitslücken in seinem Betriebssystem zu schließen und neue Funktionalitäten zu erarbeiten. Die Hersteller müssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Maße, wie sie es könnten und müssten.“
Auch der Umgang mit dem Thema Passwörter habe die FKIE-Wissenschaftler erstaunt: „Etliche Router haben einfach zu knackende oder bekannte Passwörter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht geändert werden können.“ Gleichzeitig hätten sie zahlreiche Sicherheitslücken entdeckt, „die schon lange bekannt sind und die Hersteller längst hätten beseitigen müssen“.

Router-Hersteller müssten mehr Anstrengungen unternehmen

Für Weidenbach völlig unverständlich ist demnach, dass seitens der Hersteller von Home-Routern die von ihm und seinem Team behandelten Sicherheitsaspekte nicht deutlich mehr im Fokus stehen. „Man erkennt sofort, dass die Anbieter völlig unterschiedlich mit vorhandenen Sicherheitslücken und deren Beseitigung umgehen.“
So lege z.B. AVM mehr Wert auf Sicherheitsaspekte als die anderen Anbieter, auch wenn AVM-Router ebenfalls nicht ohne Sicherheitsmängel seien. Gleichzeitig seien ASUS und Netgear in einigen Punkten zuverlässiger als D-Link, Linksys, TP-Link und Zyxel.
„Unser Test hat gezeigt, dass eine groß angelegte automatisierte Sicherheitsanalyse von Home-Routern durchaus möglich ist. Und die Vielzahl der aufgeführten Schwachstellen zeigt, dass die Hersteller noch viel mehr Anstrengungen unternehmen müssen, um die Geräte deutlich sicherer zu machen“, unterstreicht vom Dorp.

Weitere Informationen zum Thema:

Fraunhofer FKIE, 26.06.2020
Home Router Security Report 2020

datensicherheit.de, 16.11.2018
Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

datensicherheit.de, 04.09.2017
Studie: Bedrohungslage durch Hardware-Trojaner