Tatsächlich sind einige Fälle bekannt, in denen nach einem solchen Update der Internetzugang instabil wurde oder gar ganz ausfiel. Und genau dafür sind diese Netzwerkbetreiber-Geräte prädestiniert. Darüber hinaus kennt man Fälle, in denen auch ein „Zwangsupdate“ zu lang anhaltenden Problemen führte, obwohl diese Sicherheitslücken schließen sollten. Dennoch sollte man die Firmware regelmäßig aktualisieren. Die jeweilige Vorgängerversion sollte man dann eben lokal zur Sicherheit einfach vorhalten. Damit steht dann bei auftretenden Problemen ein Downgrade zur Verfügung. Das Ganze ist aber schon ein Job für technik-affine und versierte Anwender.

Problematische Konfigurationen

Die angesprochenen „WLAN-Router“ enthalten allermeist Konfigurationen, die sicherheitstechnisch problematisch sind. Dazu gehören ungesicherte Portweiterleitungen, Managementzugriff von aussen, schlecht konfigurierte DHCP-Server etc. Alles zusammen genommen steigert das Risiko erheblich, dass Hacker das interne Netzwerk mit seinen Endgeräten angreifen und kompromittieren. Das heisst, dass auch DOS oder DDOS-Angriffe auf den „Router“ erleichtert werden. Diese Problematik ist in Zeiten der Ausbreitung von „Home-Office“ Lösungen existentiell geworden.

4. BestPractice

Es gibt zwei Wege, wie Sie mit dem real existierenden Sicherheitsproblem aktiv umgehen können:

1. Wenn es Ihre Ansprüche an Sicherheit und Konfigurationsmöglichkeiten zulassen – und hier seien Sie bitte ehrlich zu sich selbst – können Sie die vorhandene Hardware beibehalten und sicher konfigurieren. Vorausgesetzt, sie ist technisch noch aktuell.
2. Alternativ können Sie die vorhandene „Small Solution“ gegen professionelle Hardwarelösungen austauschen. Dann wird das IP-Gateway ein eigenständiger, von Ihnen kontrollierter Rechner, z.B. in Form eines kleinen Servers.

In beiden Fällen verlassen wir jedoch die Ebene des „Plug&Play“. In beiden Fällen ist technisches Wissen gefragt. Ich vertrete ganz eindeutig die Auffassung, dass mittel- und erst recht langfristig nur die professionelle Lösung sinnvoll ist, Denn nur sie kann mit den heutigen oder zukünftigen Ansprüchen an ein IP-Gateway mithalten. An einem BestPractice Beispiel möchte ich Ihnen zeigen, wie Sie mit ein paar Regelstandards zu einem sicheren und korrekten Betrieb Ihres IP-Gateways kommen.

4.1 Keine fremden Dienste auf dem IP-Gateway

Das bedeutet im Klartext, dass auf dem IP-Gateway nur die Dienste laufen dürfen, welche für die korrekte Funktion notwendig sind. So darf unter keinen Umständen eine Telefonanlage, ein Datenserver oder eine andere Betriebsanwendung auf dem selben Rechner laufen.

4.2 Nur quelloffene Software (Open Source)

Auch wenn es sich sichtbar um Hardware handelt, so ist es doch eine Software, welche die gewünschten Sicherheitsfunktionen bereitstellt. Hier dürfen keine Softwares verwendet werden, die ihre Funktion verschleiern oder nicht offen einsehbar sind. Die fertigen „Blackboxes“ einiger Hersteller sind demnach ein No-Go. Denn ein fachkundiger Dritter muss jederzeit die Möglichkeit haben, die Funktionen einzusehen und zu überprüfen. Deshalb ist es nötig, an dieser Stelle quell-offene Software zu verwenden. Wir empfehlen üblicherweise Linux oder BSD.

4.3 Zulässige und sinnvolle Funktionen

Zu diesen Funktionen gehören die eigentlichen Aufgaben eines Routers. Der Ordnung halber ist anzumerken, dass wir im Falle eines DSL- oder vergleichbaren Anschlusses vom echten „Routing“ weit entfernt sind. Aber die Funktion zum Erstellen und Verwalten von Regeln für den IP-Transport zwischen dem LAN (internes Netzwerk) und dem WAN (Rest der Welt) sind in beiden Fällen ein Standard. Diese Funktion kennen Sie auch als Firewall. Sie legt fest, wer was darf und wer nicht. Und dann darf natürlich auch ein DHCP-Service für ein Gäste-WLAN im Netz nicht fehlen, ansonsten ist eher das Arbeiten mit festen IPs zu empfehlen.