TR-069: Sicherheitslücke ermöglicht Angriff auf Millionen Router

router 02
News

Über eine Schwachstelle in der Serversoftware ist es möglich, die Router von unzähligen Endkunden zu manipulieren und Daten auszulesen. Ermöglicht wird der Zugriff über das seit einigen Jahren weltweit verbreitete Protokoll TR-069, mit dessen Hilfe der Router im heimischen Wohnzimmer und der Server des Providers kommunizieren.

Sicherheitslücke TR-069

Das Protokoll TR-069 (Technical Report 069) kommt bei einer Vielzahl von Routern für den Heimgebrauch zum Einsatz. Im Jahr 2011 war das Protokoll in geschätzt 150 Millionen Breitband-Router integriert. Kommuniziert der Router über TR-069 mit den sogenannten Auto Configuration Servern (ACS) des Telekommunikations-Providers, so können Angreifer Sicherheitslücken in mehreren ACS-Softwareversionen ausnutzen und in die Endgeräte beispielsweise mit Schadsoftware infizierte Updates einspielen.

Schutzmaßnahmen der Nutzer nicht möglich bei Zwangsroutern

Experten empfehlen dringend, das Protokoll TR-069 in den Endgeräten abschalten, wenn dies in der Konfiguration möglich ist.

Ein großes Problem stellen in diesem Zusammenhang jedoch die sogenannten Zwangsrouter dar, die in immer größerer Zahl von den Providern an ihre Kunden ausgegeben werden. Nur mit dem vom Provider gelieferten Gerät lassen sich die Internet- und Telefonie-Funktionen dann nutzen.

Diese Zwangsrouter stehen bereits seit einiger Zeit in der Kritik, da ihr Einsatz wahrscheinlich gegen europäisches Recht verstößt und sich zudem viele Kunden in ihren Rechten eingeschränkt fühlen.

Kunden haben bei einem vom Provider vorgegeben Router in alle Regel selbst keine Möglichkeit, Einstellungen und Konfigurationen zu ändern und beispielsweise das kritische TR-069-Protokoll zu deaktivieren.

Weitere Informationen zum Routerzwang

Wer sich näher mit dem Komplex das Routerzwangs auseinandersetzen möchte, findet unter anderem auf den Seiten des Heise-Verlages weitere Informationen: „Providers Freud“ aus dem letzten Jahr und ganz aktuell auch ein Artikel zur Stellungnahme der Bundesnetzagentur.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

2 Kommentare zu diesem Beitrag

  1. Man könnte hinter den Zwangsrouter des Providers einen eigenen Router schalten und den Datenverkehr verschlüsselt durch den Zwangsrouter leiten. Dadurch würden Angreifer, die sich des Zwangsrouters bemächtigt haben, trotzdem mehr oder weniger ausgesperrt.

    Eine andere Möglichkeit ist, sich über Mobilfunk mit dem Internet zu verbinden. Dann hat man diese Problematik mit den Zwangsroutern nicht.

  2. Die Lösung ist eigentlich recht simpel und frisst nur 10-15 Watt Strom (30EUR/a – das, was der ISP- oder Zwangsrouter verbraucht):
    Einen 2., eigenen, Router (Firewall, ISG, …) hinter den Zwangsrouter stellen*.
    Das hat neben der Sicherheit auch die Vorteile, den Wunschrouter mit allen seinen Features zu betreiben und bei Abrechnungsproblemen (Telefonrechnung) z.B. das Log der Fritz!Box zu haben (mag es auch nicht “gerichtsfest” sein, so gibt es -mir- aber die Gewissheit, dass kein Mitglied oder Besucher des Haushaltes “Mist gebaut” hat. Ich kann dann ganz anders “verhandeln”).

    *Technischer Nachteil: Doppeltes NAT (wird im Internet als “problematisch” z.B. im Zusammenhang mit VPN oder VoIP beschrieben), ich habe aber selbst bei Tripple-NAT (Zwangsrouter hat nur private IP (z.B. bei UMTS-DialUp))-nach-Double-NAT-VPN-Verbindungen (sowohl PPTP als auch L2TP/IPSec) nie Probleme gehabt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.