De Duitse overheid heeft gereageerd op de kritiek dat de recent gepubliceerde beveiligingsrichtlijnen voor routers een farce zijn en tekort schieten. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, kwam vorige week met regels voor routerfabrikanten die voor veiligere routers moeten zorgen.
Het gaat dan om zaken als het niet gebruik van dezelfde standaardwachtwoorden en het aanbieden van updates. Volgens hackersvereniging CCC en de ontwikkelaars van de routerfirmware OpenWrt zijn de richtlijnen onvoldoende. De beide organisaties willen dat er alleen routers mogen worden verkocht waarop een specifieke periode staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt.
Het BSI heeft nu op de kritiek gereageerd. De overheidsinstantie stelt dat het vaststellen van een specifieke periode waarin de fabrikant de router van beveiligingsupdates moet voorzien niet automatisch voor meer security zorgt. "Integendeel, de richtlijn stelt dat fabrikanten beveiligingsupdates gedurende een zelf te kiezen periode moeten aanbieden en deze periode duidelijk aan de gebruiker moeten maken voordat hij tot de aanschaf overgaat", aldus het BSI.
Ook gaat de overheidsinstantie in op de kritiek over het installeren van alternatieve routerfirmware. "De mogelijkheid om alternatieve firmware te installeren biedt geen standaard securitywinst." Het BSI stelt dat de router meestal niet in staat is om software te verifiëren die niet van de fabrikant afkomstig is. Dit zou dan ook de installatie van malware mogelijk maken. De overheidsinstantie merkt verder op dat alternatieve software niet wordt uitgesloten. Het kan worden gebruikt, zolang de fabrikant en router de software kunnen verifiëren. "Dus ook hier zorgt de richtlijn voor meer transparantie", zo stelt het BSI.
Ondanks de kritiek roept het BSI de CCC en andere partijen op om bij de werkgroep die de richtlijn opstelde betrokken te blijven, zodat die verder kan worden ontwikkeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.