Springe zum Hauptinhalt

DSL-Fernkonfiguration ist kritisch für den Datenschutz

Vor­letz­te Wo­che gab es et­was Auf­re­gung um TR-­069, weil Si­cher­heits­for­scher ent­deckt ha­ben, dass vie­le Pro­vi­der es un­si­cher im­ple­men­tie­ren. Sie­he hier­zu auch mein Blo­g­-­Post. Nun stellt sich na­tür­lich die Fra­ge nach der Trag­wei­te von TR-­069: Man­che Da­ten­schüt­zer be­fürch­ten Über­grif­fe von Straf­ver­fol­gungs­be­hör­den auf die Pri­vat­sphä­re.

Hier mei­ne Ein­schät­zung:

Auf der einen Sei­te ent­las­tet es tech­nisch we­ni­ger be­da­rf­te Nut­zer, weil sie sich um nichts küm­mern müs­sen. Auf der an­de­ren Sei­te ent­mün­digt es Nut­zer – ins­be­son­de­re dann, wenn es kei­ne Mög­lich­keit gib­t, TR-­069 aus­zu­schal­ten. Und die Be­nut­zer wer­den auch nicht dar­über auf­ge­klär­t, dass es ei­ne sol­che Funk­ti­on gibt und was man da­mit tun kann. Da­mit ver­stärkt es den Tren­d, Kun­dIn­nen völ­lig von der Mög­lich­keit aus­zu­schlie­ßen, die Ge­rä­te zu kon­fi­gu­rie­ren – ein ge­fähr­li­cher Trend durch die ach so be­que­me neue Tech­ni­k.

Das Pro­blem an die­ser Stel­le ist mei­nes Er­ach­tens das man­geln­de Ver­trau­en: Als Bür­ger ha­be ich nicht mehr das Ver­trau­en, dass die Tel­kos un­d/o­der staat­li­che Stel­len mich hier vor Miss­brauch schüt­zen. Sie tun nichts, um mir die­ses Ver­trau­en zu ge­ben. Aber sie tun viel, um das Ver­trau­en zu zer­stö­ren. Ich muss da­mit rech­nen, dass ge­ra­de von staat­li­cher Sei­te die­se tech­ni­schen Mög­lich­kei­ten ge­nutzt wer­den, um mich aus­zu­spio­nie­ren und mich zu über­wa­chen.

Der Stan­dard ist 230 Sei­ten lang und be­zieht sich teil­wei­se ein­fach auf an­de­re Stan­dards. Da­her kann ich mo­men­tan nur ers­te Er­kennt­nis­se wie­der­ge­ben.

TR-­069 kennt Kom­man­dos, um Da­tei­en auf den Rou­ter hoch­zu­la­den, um­zu­be­nen­nen und zu lö­schen so­wie ei­ne re­boot zu ver­an­las­sen (TR-­069 Amend­ment 5, Sei­te 144). Da­ne­ben sind of­fi­zi­ell "her­stel­ler­-­s­pe­zi­fi­sche" Kom­man­dos mög­lich. Da­ne­ben schei­nen noch RP­Cs (Re­mo­te Pro­ce­du­re Calls) mög­lich zu sein, die noch we­sent­lich mehr kön­nen.

Da­mit kön­ne ein An­grei­fer (in die­sem Fall: ein staat­li­cher Dienst) ei­ni­ge Da­tei­en auf den Rou­ter hoch la­den und den Rou­ter re­boo­ten. Da­mit könn­te ei­ne sau­be­re Hin­ter­tür in­stal­liert wer­den, über die das LAN aus­spio­niert wer­den könn­te. Der Be­nut­zer wür­de da­von al­len­falls den Re­boot mit­be­kom­men.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de