Internet-Router gibt es wie Sand am Meer. Doch die kleinen Kisten, die daheim oder im Büro die Verbindung ins Internet herstellen, sorgen immer wieder für Aufsehen. Denn allzu oft zeichnen sich vor allem günstige Exemplare durch grauenhaft schlechte Sicherheit aus. Erst vor einigen Tagen riet ein Sicherheitsforscher, den Router eines Herstellers am besten wegzuschmeißen. Das Gerät habe einfach zu viele Sicherheitslücken, die nur aufwändig zu schließen seien.
Sicherheit von Anfang an dagegen stand bei der Entwicklung des Turris Omnia im Fokus. Das ist ein Internet-Router, der seine Anwender mit zahlreichen Features versucht zu schützen, erklärt Entwicklungsleiter Bedrich Kosata, Spitzname Beda, von der Domain-Registrierung cz.nic:
"Router kommen meist mit einem voreingestellten Passwort. Das ist höchst unsicher. Bei uns startet die Inbetriebnahme mit einem Dialog, der den Nutzer zu sicheren Passwörtern anhält. Dazu kommen noch einige weitere einfach zu nutzende Sicherheitsmaßnahmen. Zum Beispiel automatische kurzfristige Updates der Software. Außerdem haben wir ein paar hochentwickelte Features eingebaut wie eine verteilte Firewall."
Störungen in Netzen und Angriffe auf sie werden ständig analysiert
Die Organisation cz.nic ist vergleichbar mit der Denic: Der Top-Level-Registrar ist zuständig für die entsprechende Länderdomain und cz.nic verwaltet die tschechische Domain .cz. Damit nicht genug: Das Non-Profit-Unternehmen ist auch in Forschung und Entwicklung aktiv.
So werden Störungen in Netzen und Angriffe auf sie ständig analysiert. Bis vor einiger Zeit beispielsweise verteilte dafür die cz.nic an Privatpersonen spezielle Router, die sowohl den Netzverkehr als auch Angriffe aus dem Netz analysierten. Die Erkenntnisse daraus nutze sie für eine verteilte Firewall, die auch den Turris Omina schützt:
"Sie arbeitet so, dass sie Daten über den Verkehr zwischen Kunde und Internet sammelt. Dadurch, dass wir den Verkehr vieler für uns anonymer Kunden kennen, haben wir eine große Datenbasis, die wiederum den Kunden zu Gute kommt. Die Daten analysieren wir auf ungewöhnliches Verhalten, vergleichen Adress-Aufrufe mit einer Greylist und warnen den Kunden, wenn wir verdächtiges oder auffälliges Verhalten entdecken, das von der Box ausgeht. Dann kann der Kunde das beobachten."
Beda von cz.nik erklärt, die Firewall sei im Auslieferungszustand deaktiviert und müsse erst eingeschaltet werden. Man nutze die gesammelten Daten dann auch nur zur Analyse des Verkehrs und unterliege dabei sehr strengen Regeln zum Datenschutz. Das soll für Vertrauen sorgen.
"Ich bin sehr, sehr skeptisch an dieser Informationssammelstelle, ob das wirklich so die gute Idee ist"
Ein Router, von dem man weiß, dass er Informationen über den Datenverkehr weiterleitet? Das klingt für einige Spezialisten wie den Hacker und Security Architekt Andreas Bogk nicht ideal. Er findet das Konzept des Turris Omnia an sich sehr gut. Aber eine verteilte Firewall?
"Da hätte ich schon die Befürchtung, dass zu viele Informationen nach außen getragen werden, die Rückschlüsse zulassen, die man nicht unbedingt in einer Datenbank haben will. Also ich glaube ihnen, dass sie diese Informationen nicht auswerten, aber wenn diese Information einmal angefallen ist, dann kann es ja passieren, dass sie durch eine Sicherheitslücke abhanden kommt, dass staatliche Stellen sich für die Datenbanken interessieren. Also da bin ich sehr, sehr skeptisch an dieser Informationssammelstelle, ob das wirklich so die gute Idee ist."
Die verteilte Firewall muss der Anwender nicht nutzen. Dafür aber will er vielleicht die Offenheit der Router-Box ausnutzen. Sowohl Hard- als auch Software liegen komplett offen. So können Nutzer beispielsweise die Firewall im Quellcode überprüfen. Das ganze Gerät ist auf das populäre GNU/Linux-basierte Router-System OpenWRT abgestimmt. Im Zweifel können sich Interessierte sogar das ganze Gerät selbst fertigen. Für Andreas Bogk ein Novum auf dem Markt:
"Die verbauten Chips sind schon mal gut dokumentiert. Das heißt, man kann da erwarten, dass man da gut dran herumbasteln kann und das komplette Schaltbild wird auch mitgeliefert. Und mehr kann man eigentlich gar nicht erwarten bei einer offenen Hardware. Sie liefern sogar die entsprechenden Dateien aus, um sich im Zweifelsfall den Router nachzubauen, sich die Platine selber anzufertigen. Und es gibt eine Open Source-Software, die mit all diesen Komponenten redet. Also: Besser kann man es eigentlich gar nicht machen."