Gesellschaft für Informatik: Router-Sicherheitslage in Deutschland beleuchtet

Die Gesellschaft für Informatik e.V. (GI) hat eine Studie vorgelegt, die sich im Auftrag von Fritz (ehemals AVM) mit der Router-Sicherheit und digitalen Souveränität in Deutschland auseinandersetzt. Sie sieht insbesondere Heimnetz-Router als unterschätztes Risiko. Die IT-Fachleute haben auch Handlungsempfehlungen abgeleitet.

In der Studie analysierten die Autoren 2190 Sicherheitslücken mit CVE-Einträgen aus den Jahren 2020 bis 2025, die die größten Router-Anbieter in Deutschland betreffen. Diese dienen Angreifern als Einfallstor, um Internetrouter zu kapern und etwa Passwörter für E-Mail-Konten oder andere Online-Dienste abzugreifen, wie zuletzt im April des Jahres bekannt wurde. Der Betrachtungszeitraum blendet die Fritz-Router betreffende, größere Wellen schlagende Sicherheitslücke aus dem Jahr 2014 aus. Die Router in Deutschland verteilen sich laut Studie auf Fritz mit 51 Prozent Marktanteil, unter der Telekom-Marke segelnde Geräte mit 19 Prozent, mit Vodafone-Branding versehene Router (12 Prozent) und schließlich TP-Link (2 Prozent), D-Link (2 Prozent) und Netgear mit einem Prozent Marktanteil im Jahr 2025.

Die Schwachstellenanalyse lässt OEM-Hersteller wie Arcadyan oder ZTE aus, die sich etwa hinter einigen Telekom- oder Vodafone-Routern verbergen, da sie sich nicht korrekt zuordnen lassen. Netgear wies demnach mit 1016 CVE-Einträgen die höchste absolute Zahl an Schwachstellen auf, was 46 Prozent der untersuchten CVEs entspricht. D-Link folgte mit 955 CVEs (44 Prozent). TP-Link steuerte noch 218 CVEs bei (10 Prozent) und Fritz wies in dem Zeitraum einen CVE-Eintrag auf. Bei der Berücksichtigung des Schweregrads der Schwachstellen sieht die Verteilung etwas anders aus: D-Link hatte 280 CVEs mit kritischem Risiko, Netgear 149, TP-Link noch 60 und Fritz keine.

Unterschiede in der Firmware-Qualität

Die GI schließt aus diesem Verhältnis auf unterschiedliche Qualität der Firmwares der Geräte. Zur Bewertung der Zahlen ist weiterhin die Disclosure-Politik der Unternehmen zu berücksichtigen. Netgear betreibt etwa ein öffentliches Bug-Bounty-Programm, bei dem IT-Sicherheitsforscher Geldprämien erhalten können. Außerdem geht der Hersteller als CNA (CVE Numbering Authority), die eigene CVE-Einträge erstellen kann, sehr transparent mit Schwachstellen um. Zwar dokumentiert Fritz Schwachstellen auf einer Security-Seite, allerdings erfolgt keine CVE-Vergabe. Das erklärt auch die geringe Anzahl an CVE-Einträgen.

Die GI weist weiter auf die unterschiedlichen Support-Zeiträume hin. Billigere Geräte fallen üblicherweise früher aus der Herstellerunterstützung heraus. Hier greift in absehbarer Zeit immerhin der Cyber Resilience Act (CRA), mit Mindestsupportzeiträumen und weiteren Herstellerpflichten. Aufgrund der langen Umsetzungsfristen könnten aber noch Jahre vergehen, bis alle Anbieter das umsetzen. Eines der aktuellen Probleme ist demnach, dass viele Geräte das Ende ihres Supportzeitraums bereits erreicht haben und keine Sicherheitsupdates mehr erhalten, ohne dass Verbraucher davon erfahren.

In der Studie gibt die Gesellschaft für Informatik e.V. auch Handlungsempfehlungen für die Bundesregierung. Sie soll „die Logik des EU Cybersecurity Act 2 auf den Heimnetzbereich“ übertragen und „Transparenzpflichten für Hersteller und Lieferketten bei Consumer-Routern“ einführen. Dahinter steckt die Idee, etwa Anbieter aus China, die potenziell eine Gefahr darstellen können, aus europäischer Infrastruktur zu verdrängen und europäische Produkte vorzuziehen, um externe Abhängigkeiten zu reduzieren.

Der Co-Autor der Studie und Referent für Politik und Wissenschaft bei der GI, Niklas Sax, ordnet das so ein: „Deutschland ist im internationalen Vergleich [hinsichtlich der Router-Sicherheit] gut aufgestellt, denn der hohe Marktanteil europäischer Hersteller ist ein echter Standortvorteil. Aber diese Ausgangslage ist kein Selbstläufer. Die Dynamiken in den USA zeigen, dass sich Marktanteile schnell zugunsten nicht-europäischer Hersteller verschieben können. Das ist nicht nur eine Frage der Marktsouveränität, sondern schafft neue Angriffsflächen für gezielte Einflussnahme von Drittstaaten.“

(dmk)