Fragen? Antworten! Siehe auch: Alternativlos
Grandiose Idee! Alles, was wir jetzt noch brauchen, ist ein Weg, wie wir erkennen, ob ein Router sicher ist!
Oh ich habe eine Idee! Freiwillige Selbstkontrolle! Wie beim CE-Logo! Die Hersteller verpflichten sich einfach, das ab jetzt alles richtig zu machen, und dann dürfen sie das Logo aufdrucken. Fuck yeah! Ein weiterer erfolgreicher Arbeitstag für BSI-Chef Arne Schönbohm!
Update: Mehr Details zu der Router-TR gibt es bei Golem. Erster Punkt: Die Hersteller müssen das Mindesthaltbarkeitsdatum (bis wann es garantiert Updates gibt) nicht auf die Verpackung drucken. Weil, äh, wo kämen wir da hin. Wir wollen ja hier nichts wirklich verbessern. Wir wollen nur sagen können, wir hätten uns gekümmert.
Ja gut, denkt ihr euch jetzt bestimmt, das muss man ja auch nicht auf die Verpackung drucken, wenn eh 5 Jahre vorgeschrieben sind oder so.
Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport.
Natürlich nicht! Das wäre zu einfach! Sie müssen nicht mal alle Sicherheitslücken schließen, nur die mit CVSS-Wert größer 6. Das heißt, dass sich Hersteller in der Praxis mit Diskussionen über die Schwere und Exploitbarkeit von Bugs jahrelang aus der Verantwortung stehlen können und dann ist verjährt. Tolle Wurst, liebes BSI! Oder, wie mein Kumpel Frank das formuliert hat:
Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."
JA DANN BAUT LIEBER GAR KEINE ROUTER! Die Verbraucherzentralen hatten übrigens kostenfreie Sicherheitsupdates für die gesamte tatsächliche Nutzungsdauer digitaler Produkte gefordert. Daraus ist natürlich nichts geworden. Wir machen hier schließlich Wirtschaftsförderung und in der Politik geht es um Arbeitsplätze. Und nichts schafft so sicher Arbeitsplätze wie wenn die Kunden alle paar Monate alles neukaufen müssen, weil die Hersteller keine Updates zur Verfügung stellen. Gut, die Arbeitsplätze schafft das in China, nicht hier, aber wollen wir mal nicht päpstlicher als der Papst sein!
Der CCC hatte noch gefordert, dass man als Kunde auch eine eigene Firmware einspielen können muss. Das ist natürlich auch ignoriert worden.
Besonders peinlich für das BSI:
Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen.
Da werden alle Vorurteile vollumfänglich bestätigt.