USA erweitern das Router-Verbot | heise online

Seit März verbieten die USA nicht im Inland hergestellte, neue Routermodelle für den Verbrauchermarkt. Weil das gar keine wären, gibt es Ausnahmegenehmigungen. Einige wurden so flott erteilt, dass kaum vorstellbar ist, dass die offiziellen Voraussetzungen eingehalten wurden. Unterdessen weitet die Regulierungsbehörde FCC (Federal Communications Commission) den Umfang des Verbotes aus, schafft aber neue Unklarheiten.

Im Zentrum des US-Verbots steht eine geheime Feststellung nicht namentlich genannter US-Geheimdienste, wonach „consumer-grade routers” ein inakzeptables Risiko für die Nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Personen darstellten. In einer veröffentlichten Zusammenfassung wird auf IT-Angriffe verwiesen, die über Router gelaufen sind – allesamt über ausländische Router, da es inländische laut Definition ja nicht gibt. Bereits zugelassene Modelle dürfen weiter genutzt und verkauft werden. Ihre Software und Firmware darf nur noch bis 1. März aktualisiert werden, und das auch nur zu Sicherheits- oder Kompatibilitätszwecken.

Der Teufel steckt im Detail, und die FCC hat zentrale Fragen unbeantwortet gelassen. Vergangene Woche hat die Behörde Antworten auf bestimmte häufig gestellte Fragen (FAQ) veröffentlicht. Mehrfach geht es dabei um des Pudels Kern: Was genau ist ein „consumer-grade router”, und was nicht? Denn eine Liste gibt es ausdrücklich nicht.

Ausweitung auf Router für KMU

Eine kleine Tabelle bei der 24. von 25 FAQ überrascht mit der Angabe, dass sowohl „consumer” als auch „small and medium-sized business routers” erfasst sind. Das ist neu und widerspricht der Antwort auf Frage 8 „How are routers defined?”. Denn dort verweist die Behörde, so wie bisher, auf Sicherheitsvorschläge des Normierungsinstituts NIST (National Institute of Standards and Technology’s Internal Report 8425A), die sich auf „consumer-grade networking devices that are primarily intended for residential use and can be installed by the customer” beziehen – also „Vernetzungsgeräte für den Verbrauchermarkt, die in erster Linie für den Einsatz in Haushalten gedacht sind und vom Verbraucher installiert werden können.”

Solche Geräte werden durchaus auch von kleinen Unternehmen genutzt; doch sind „business routers” eben etwas anderes als „consumer” Router, die auch von Nicht-Verbrauchern verwendet werden. Sollte man meinen.

Wenigstens stellt die Tabelle klar, dass Handys mit WLAN-Hotspots nicht vom Verbot erfasst sind – reine Datenmodems für Mobilfunk aber sehr wohl, seien sie stationär oder mobil (beispielsweise mit WLAN-Hotspot). Ein technischer Grund für diese Differenzierung ist nicht ersichtlich. Kabelmodems mit Router fallen ebenso unter das Verbot wie vom ISP oder einem Profi in Haushalten installierte Router. Ausgenommen sind jedoch winzige Mobilfunkzellen (femtocells), Glasfaserterminals, und analoge Telefonadapter mit Ethernet-Buchse.

Was ist erfasst?

Wohl händeringend hat der Autor der 25. Frage nach einer Richtschnur gesucht: Gibt es eine Liste von Indikatoren, einen Test aller Umstände, oder Ebenen-basierte Kriterien unabhängig von NIST IR 8425A, die festlegen, ob ein Gerät ein consumer-grade router” ist? Antwort: „Nein.” Wieder verweist die FCC auf NIST IR 8425A, diesmal auf dessen Anhang C. Damit sind alle Klarheiten beseitigt.

Denn Anhang C befasst sich vorwiegend damit, wie Router in Verkehr gelangen (Spoiler: Kauf oder Miete!). Ansonsten erzählt er wenig Neues, wenn er ausführt, dass „consumer-grade” Geräte in Haushalten gefunden werden können, und dass ihr primärer Zweck der Einsatz dortselbst ist, nicht für „enterprise, industrial, etc.”, aber dass auch kleine Unternehmen consumer-grade Geräte verwenden könnten. Dazu kommt die Anmerkung, dass Hersteller von consumer-grade Geräten nicht annehmen können, dass der Nutzer über Expertise im Bereich IT-Sicherheit verfügt, oder in der Lage ist, signifikante Maßnahmen zur Absicherung des Produkts zu treffen.

Es folgen Verweise auf vier Dokumente Dritter: Zwei von Branchenverbänden und je eines der Regulierungsbehörde Singapurs und des deutschen Bundesamts für Sicherheits in der Informationstechnik (BSI TR-03148). Von diesen Vieren schließt nur Singapur vom Internet Provider gemietete Router von den Sicherheitsvorschlägen aus. Die Sicherheitsvorschläge dieser vier Gremien spielen für die FCC oder die Ausnahmegenehmigungen aber wiederum keine Rolle.