Bundesamt für Sicherheit in der Informationstechnik vergibt IT-Sicherheitskennzeichen für Router

Fagus schrieb:
Nur weil man nicht blind alles und jedem vertraut, heißt das nicht gleichzeitig, dass man blind allem 100% misstrauen muss. Für viele scheint es nur Extreme zu geben: Behörden haben schon Mist gebaut, also sind sind alle Behörden überwiegend böse. Eine gewisse Vorsicht und Beobachtung von Außen ist immer zu empfehlen, aber man muss dabei nicht gleichzeitig zwingend in Allem das Schlechte sehen und Worte und Argumentationen verwenden, die keinen sachlichen Fakten entsprechen, sondern durch Befindlichkeiten und Halbwahrheiten ausgelöst werden.
Zum Vergrößern anklicken....
Typische Argumente der Demokratiefeinde... Nur nicht dem Staat vertrauen... Dabei sollten wir Stolz sein, so einen transparenten Staat zu haben.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Xeroxxx schrieb:
Nur mal eine Frage, vielleicht hab ich es auch immer falsch verstanden.

Der BSI ist eine Behörde, welche dem Bundesministerium des Inneren unterstellt ist? Ich sehe da hin- und wieder mal einen möglichen Interessenskonflikt. (In DE bisher nichts bekannt, aber ich denke da an z.B. NIST +
Dual_EC_DRBG)
Zum Vergrößern anklicken....
Ja das ist definitiv ein Interessenskonflikt: Denn es liegt ja mitunter im Interesse von Polizei und Geheimdiensten, eine ihnen bekannte Sicherheitslücke nicht bekannt zu geben bzw diese möglichst lange offen zu halten.
Deshalb sollte das BSI mMn so unabhängig wie möglich sein, um sich von solchen Überlegungen abzukapseln. Das fordern auch viele Sicherheitsforscher, Aktivisten und kleinere Parteien.
 
nebulus1 schrieb:
Öhhhm, ein guter Router updatet sich von alleine... Das ist halt der Unterschied zu einem China-Router und einer Fritzbox.
Zum Vergrößern anklicken....

Und das ist für viele wirklich das Beste.
Für einige wäre es ein Grund auf die Barrikaden zu gehen.
Automatische Onlineupdates sind sowohl Fluch als auch Segen.
 
Xeroxxx schrieb:
Nur mal eine Frage, vielleicht hab ich es auch immer falsch verstanden.

Der BSI ist eine Behörde, welche dem Bundesministerium des Inneren unterstellt ist? Ich sehe da hin- und wieder mal einen möglichen Interessenskonflikt. (In DE bisher nichts bekannt, aber ich denke da an z.B. NIST +
Dual_EC_DRBG)
Zum Vergrößern anklicken....
Das stimmt, der Innenmister ist Chef vom BSI. Leider schlugen immer alle Bemühungen fehl, das BSI als eigenes Ministerium umzugestalten und vom Innenministerium zu lösen. Der Bundestag entschied immer dagegen.
Da das Innenministerium ebenfalls eine zivile Behörde ist, sehe ich da kein Problem. Das BSI hat keine Polizeivollmacht und kann keine Online Durchsuchungen machen oder veranlassen. Das BSI is sogar extrem Zahnlos, weil es nur Empfehlungen aussprechen kann.

NIST ist wie der IT-Grundschutz oder ITIL... Hier werden einfach grundlegende IT Standards festgelegt. Auch
Sicherheitsstandards. Dabei sind diese Standards aber so allgemein gehalten, dass Sie leicht umsetzbar sind. Bei den ITIl Prozessen hingegen, versucht man den IT Betrieb zu standarisieren. Das BSI arbeitet z.B. mit am IT-Grundschutz, damit Rechenzentren und Administratoren eine Grundlage haben, womit sie Arbeiten können. Das hat viel mit Rechtssicherheit zu tun und erhöht am Ende die Sicherheit der Daten bei allen Unternehmen.
 
Zuletzt bearbeitet:
Chaoz schrieb:
Also Regierungsfreundliche Router mit Backdoors die es zu meiden gibt letzlich.
Zum Vergrößern anklicken....
Was soll der vermutete Schwachsinn? Was ist denn "Die Regierung?"
Wir sind nicht in Ungarn, Weissrussland oder der Türkei, wo starke, einflussreiche Präsidentenämter dazu missbraucht werden, sich auf Lebenszeit einzurichten.

Ich bin schon froh, wenn unsere Regierung sich zusammenfindet und an einem Strang zieht.
Hier mit einer "Verschwörung zugunsten einer Regierung" zu spekulieren ist absolut lächerlich, wenn Grüne und FDP einander nicht einmal den Dreck unter dem Fingernagel gönnen. Wer soll denn da alles dicht halten, damit so eine Backdoor nicht an die Öffentlichkeit kommuniziert wird? Die pissen sich doch liebend gerne gegenseitig ans Bein, wenn dafür eine Möglichkeit besteht, Hauptsache eigener Vorteil.

"Regierungsfreundlich" ist so wie "Staatsmedien". Da gibt es keinen Zusammenhalt (z.B. konkurrierende Sendeanstalten der ARD), dafür ist das viel zu sehr auf Konkurrenz ausgelegt.
Da hält niemand zusammen und verheimlicht etwas. Der Vorteil etwas aufzudecken ist viel zu groß gegenüber dem vermeintlichen Vorteil, etwas zu verschweigen.
Beitrag automatisch zusammengeführt:

Xeroxxx schrieb:
Der BSI ist eine Behörde, welche dem Bundesministerium des Inneren unterstellt ist? Ich sehe da hin- und wieder mal einen möglichen Interessenskonflikt.
Zum Vergrößern anklicken....
Meines Wissens nur organisatorisch zugeordnet, nicht fachlich weisungsberechtigt.
 
Wird sehr Politisch das ganze dabei sollte es nur um dieses Sicherheitskennzeichen gehen.Ich persöhnlich halte nur bedingt etwas davon denn dieses Kennzeichen kann bei auftretenden Sicherheitslücken schon obsolet sein, will man dann dieses kennzeichnen wieder entfernen von den verkauften Geräten? Oder andere Frage ist man als Behörde haftbar wenn man dieses Kennzeichen vergibt und Plötzlich eine massive Sicherheitslücke entdeckt wird und dadurch Schäden entstehen? "Hätte man als Behörde sehen müssen......" solche Fragen werden dann kommen.
 
Chris1975 schrieb:
Ich persöhnlich halte nur bedingt etwas davon denn dieses Kennzeichen kann bei auftretenden Sicherheitslücken schon obsolet sein, will man dann dieses kennzeichnen wieder entfernen von den verkauften Geräten?
Zum Vergrößern anklicken....
Ich denke, du siehst das zu starr.

Wie bei einer Qualifikation, Audit o.ä. werden mit einem Siegel, einer Auszeichnung auch nur Rahmendaten festgelegt.

Ich blicke jetzt nicht genau da in die Tiefe des Themas, aber zur Erklärung.

Das Siegel legt z.B. fest, dass der Hersteller einen Ablauf etabliert hat, dass systemkritische Lücken bei allen Geräten der letzten (evtl 5 Jahre Verkaufsware) Updates anbieten muss, bzw bereitstellen muss. (d.h. heißt nicht, dass diese automatisch installiert werden,
Das Siegel könnte festlegen, dass ein Gerät entsprechend Updates automatisch annehmen kann.
Das siegel könnte festlegen, dass eine Programmierung vorhanden sein muss, die gewisse Attacken abwehrt.

Ja, einiges ist Standard, anderes nicht.
D.h. das man im Siegel auflistet, das das Gerät frei von Sicherheitslücke XY ist, sondern dass sich der Hersteller verpflichtet, eine neu auftretende SL schnellstmöglich zu schließen und im Fall, dass es technisch nicht geht (Hardwarebeschränkung etc.), den User über diesen Umstand zu informieren muss etc.

Ein solches Siegel nimmt immer den Hersteller, nie den Ausgeber des Siegels in die Pflicht und bleibt eher auch allgemein.
Nimm die Forstwirtschaftssiegel FSC oder das Fischfangsiegel MSC als Beispiel. Wenn, dann ist das Unternehmen dran, dass sich nicht an die Vorgaben hält, nicht der Herausgeber des Siegels.

Mit so einem Siegel im Bereich PCs hätten hoffentlich Intel und Microsoft schneller Patches und Updates beim Thema Meltdown und Spectre ausgerollt, so meine Hoffnung. Intel hat es ja für einige ältere Generationen CPUs bis heute nicht geschafft, alle Patchdaten auszurollen, damit die MB Hersteller das in ein Bios implementieren. Waren ggf zu alt und die Arbeit wollte man sich sparen.
 
Habt ihr überhaupt das verlinkte Dokument gelesen?
Das BSI kann sehr wohl das Siegel wieder aberkennen.
Und das Siegel ist keine Pflicht, die Routerhersteller können es beantragen.
Wenn eine Backdoor eingebaut sein müsste, würde wohl kaum ein Routerhersteller dieses Siegel beantragen.
Nach Erteilung des Siegels gefundene Sicherheitslücken sind allerdings kein Grund, das Siegel abzuerkennen.
Denn in den Bedingungen für das Siegel ist auch enthalten, wie ein Routerhersteller mit solchen Sicherheitslücken umgeht.
Schließt er die schnellstmöglich, kommuniziert er so etwas transparent?
Oder verschweigt er die Sicherheitslücken und schließt die nur zögerlich?
In zweitem Fall würde das Siegel wohl aberkannt werden.
Das BSI beobachtet ja, wie die Hersteller so etwas bei Geräten mit Siegel handhaben.
Und auch, wie sie es vor Beantragung des Siegels gehandhabt haben, wird überprüft.
Ein Hersteller, der da bisher eher schlampig unterwegs war, wird wohl Schwierigkeiten haben, das Siegel zu bekommen.
Denn dazu müsste er ja sein Verhalten grundlegend ändern. Und das BSI wird daran berechtigte Zweifel haben.

Geräte mit dem BSI bekannten Backdoors würden wohl das Siegel nicht bekommen, denn die Backdoor ist ja eine erhebliche Sicherheitslücke.
Zumindest für Deutschland müssten die Hersteller solcher Geräte die Backdoor schließen, um das Siegel zu erhalten.
 
www.heise.de

Funkregulierung: Angriff auf alternative Software

Freier Systemsoftware auf Geräten mit Funk-Funktion könnte es bald an den Kragen gehen: In der EU tritt ein Verbot im Juni 2016 in Kraft, in Nordamerika soll es alsbald beschlossen werden. Leidtragende dürften Hersteller wie DD-WRT sein.
www.heise.de www.heise.de

So "Absurd" ist es meiner Ansicht nach nicht das die ganze Richtung hier mit Vorsatz in Richtung Zentralistisch, Kommunistisch geht mit besagten Backdoors wenn man wahre Alternativen Aktiv bekämpft
 
Allerdings geht es bei dem verlinkten Artikel darum das dort die "böse freie Firmware" verantwortlich gemacht wurde dafür das Router mit zu starker Sendeleistung betrieben werden könnten.

Was aus dem Papier wurde, weiß ich nicht.
Tatsache ist die Einstellmöglichkeiten sind evtl. etwas eingedampft worden, aber es geht immer noch viel viel mehr als mit nem Router mit Werksfirmware.
 
Ein freiwilliges Zertifikat bringt garnix. Wer die aktuelle c't gelesen hat und/oder selbst mit TI-Konnektoren zu tun hat, weiß, was ich meine. Am Ende schauen die Leute nicht nach dem Inhalt des Zertifikats oder Siegels sondern nur, das eines drauf ist. Und irgendwann scheint sich dann wie bei allen Prüfstellen ein "wird schon passen" einzuschleichen, siehe Wirecard, Dammbruch in Brasilien, etc.
Die meisten Siegel verteuern in erster Linie nur das Produkt ohne Mehrwert und füllen die Taschen des Ausstellers. Wenn ich wirklich etwas ändern möchte, muss das in ein Gesetz gegossen werden.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh