Routerzwang: FSFEs Schreiben zur Konsultation der Bundesnetzagentur

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Die Free Software Foundation Europe hat zusammen mit Mirko Vogt von OpenWrt schon mal vorab folgendes Schreiben an die Bundesnetzagentur geschickt:

Sehr geehrte Damen und Herren,

das Ziel der FSFE ist es, sicherzustellen, dass Benutzer selbstbestimmt Computer einsetzen können. Dieses grundlegende Prinzip wird von den Maßnahmen der ISPs in Frage gestellt.

ISPs bündeln Router mit ihren Angeboten und streben danach, dauerhaft diese IT-Geräte zu kontrollieren. Daher sind die Router dafür ausgerichtet das zu machen was der ISP möchte, aber nicht zwangsläufig an den Interessen der Benutzer. Durch die Kontrolle der Router haben ISPs und Hersteller die Möglichkeit auf die privaten Netzwerke hinter den Routern zuzugreifen. Dies ist kein theoretisches Problem: Die Router sind meist so konfiguriert, dass nur noch der Hersteller/ISP diese konfigurieren kann. Damit hat dieser auch uneingeschränkten Zugriff in das eigentlich private Heimnetzwerk (LAN) des Kunden.

Die derzeitige Rechtsprechung nimmt den Kunden in die Pflicht, seinen Internetanschluss abzusichern. Der Kunde haftet an seinem Anschluss für alle Aktivitäten, die über seinen Anschluss passieren (Prinzip der Störerhaftung, siehe BGH-Urteil “Sommer unseres Lebens”). Kontrolle kann effektiv nur am Router erfolgen. Durch die Zwangsverwaltung und Vorschrift der zu verwendenden Hardware der ISPs verliert der Kunde jedoch die volle Kontrolle über seinen Internetanschluss.

Daher müsste der Provider auch im Fall einer unerlaubten Handlung nachweisen, dass der Router – beispielsweise durch unbemerkten Einbruch von außerhalb in die Firmware – nicht Teil des Problems war: Dem Kunden soll dieser Beweis ja in Zukunft verwehrt werden. Ohne die volle und alleinige Verfügungsgewalt über den Router, kann der Anschlussinhaber nicht verantwortlich gemacht werden. Die Haftung für eventuelle Schäden kann daher nur noch der ISP verantworten.

Auf Grund von sich deckenden Interessen der ISPs, beziehen diese Hard- und Software von identischen Herstellern. Die dadurch entstehende Monokultur ist ein Problem: Das Beispiel der im Juni 2012 bekannt gewordene WLAN-Sicherheitslücke bei von Arcadyan gerfertigen Geräten, welche unter anderem als “Telekom Speedport” oder “Vodafone Easybox” von den jeweiligen ISPs vertrieben werden, zeigt, dass diese Problematik real existiert. Der Zugang zum Internet sowie zum privaten Heimnetzwerk stand jedem offen. Benutzer waren hilflos und mussten auf ein Update hoffen (siehe dazu Heise “Wlan Hintertür in Telekom Routern” und “Wlan Lücke – Weitere Speedport Modelle betroffen”.) Ähnliche Vorfälle gab es auch bei anderen Herstellern wie z.B. Asus und D-Link.

Naturbedingt liegt der Angriffsvektor auf der breiten Masse. Nicht zuletzt aus diesem Grund besteht eines der größten Botnetze aus Routern. Router stellen das Tor zum Internet dar, da sie die Interneteinwahl vornehmen und entsprechend die einzige öffentliche, von außen erreichbare IP-Adresser erhalten, und müssen dementsprechend abgesichert und gepflegt werden.

Die Situation verschärft sich durch die bisherige Updatepolitik der Provider bei Ihren ausgelieferten Routern. Bedingt durch interne Prozesse sowie maßiven Einsparungen bei Einkauf und Entwicklung werden neue Revisionen der Routerfirmware zumindest mit erheblicher zeitlicher Verzögerung an den Endkunden ausgliefert. Dadurch besteht ein bekanntes und ausnutzbares Sicherheitsloch mehrere Monate, bis ein entsprechende Fehler am Router durch Aufspielen neuer Firmware geschlossen werden. Der Kunde ist in dieser Zeit schutzlos. Durch die Zwangshardware bleibt ihm keine Möglichkeit, das Problem selbsttätig oder mit Hilfe Dritter zu beheben.

Die Anforderungen der ISPs an einen Router unterscheiden sich stark von denen der Nutzer: Der ISP versucht ein möglichst günstiges Gerät zu produzieren, welches ein möglichst an das Angebot vom ISP angepasstes und beschränktes Funktionsset enthält.

Des Weiteren schränken ISPs durch die Bündelung von Routern mit ihren Angeboten den Wettbewerb für den Markt von Routern ein. Schon heute werden Router, welche mittlerweile vollwertige Computer sind, für mehr Aufgaben als das Routing verwendet. So können diese Geräte zusätzlich Dateien im Heimnetzwerk oder im Internet bereitstellen, Musik abspielen, als Druckerserver dienen oder Haushaltsgeräte steuern. Wenn jedoch der ISP bestimmt, welche Funktionen diese Geräte haben und welche verboten sind, schränken sie zukünftige Entwicklungen in diesen Bereichen ein. Da der ISP, aus Kosten- und Supportgründen, das Funktionsset bewusst so klein wie möglich hält, wird der Nutzer stark limitiert. Genannte, bei anderen Herstellern seit Jahren gängige Zusatzfunktionen, findet man bei den Routern der ISPs vergeblich. Nutzer müssen sich Zusatzgeräte kaufen und anschließen — sofern diese überhaupt kompatibel erstellt werden können.

Die Free Software Foundation Europe sieht durch das Bundling die Gefahr, dass Wettbewerber von Router-Hardware und -Software aus dem Markt verdrängt werden, die Preise für Router-Hardware stark steigen und nur wenige Anbieter verbleiben werden.

Prinzipiell kann aber jeder Computer mit Netzwerkschnittstelle die Funktion eines Routers übernehmen. Das Zurückhalten der Nutzerdaten durch den ISP hat schädliche Auswirkungen:

  • Verbraucher können keine Geräte mehr von Herrstellern kaufen, denen sie mehr Vertrauen entgegenbringen. Durch die Presseberichte der letzten Wochen werden Verbraucher ein starkes Bedürfnis haben sich abzusichern und ihre Privatsphäre zu schützen. Dazu zählt vor allem die Verwendung von Hardware und Software von entsprechend erfahrenen und spezialisierten Unternehmen. In den Wahlumfragen der FSFE fordern viele Parteien Privacy by Default bzw. Privacy by Design. Wenn die Internet-Zugangs-Passwörter oder auch die Passwörter für Internettelefonie nicht herausgegeben werden, können Verbraucher keine Geräte von Drittanbietern verwenden.
  • Verbraucher müssen viele unterschiedliche Geräte betreiben, obwohl Hersteller Funktionen, wie oben beschrieben, von Media-Center, über Druckserver bis zum Wlan-Access-Point, etc., mit der Router-Funktion kombinieren könnten. Verbraucher sollten selbst entscheiden können, welche Funktionen und welchen Stromverbrauch sie bei Computer in ihrem Haushalt haben wollen.
  • Verbraucher werden bei Anbieterwechsel zu einem Hardwarewechsel gezwungen während die alte Hardware für sie nutzlos wird und entsorgt werden muss.

Aus diesen Gründen fordert die FSFE, dass ISPs den Verbrauchern die Zugangsdaten standardmäßig zur Verfügung stellen müssen. Es muss für den Verbraucher möglich sein, die alleinige Kontrolle über alle Computer nach der TAE-Dose zu haben.

Comments are closed.