#asusgate ist eher ein #usergate

Asusgate und der Fels in der BrandungDas Netz sch(w|n)appt mal wieder über.

Diesmal sind es verwundbare Router von Asus. Aber sind wirklich nur die Router das Problem?

Oder steckt im Kern nicht die Art der User dahinter mit Daten und Netzwerkfreigaben umzugehen?

Im Artikel bei Heise Online steht als Link drin, um was es geht. Nämlich um eine Lücke aus der Mitte des Jahres 2013, die jetzt wieder aufgebrüht wird. Seit damals ist eigentlich klar, das es Verwundbarkeiten dieser Router gibt. Seit dem 16. Juni 2013 gibt es offenbar auch einen Hersteller-Patch, der die Verwundbarkeit behebt.

Reden wir also wirklich über #asusgate ? Nein. Wir müssen über #usergate reden. Nämlich darüber, dass User seit gut einem halben Jahr zu faul sind, eine bestehende und erkannte Lücke aktiv zu bereinigen.


Bleiben wir kurz beim aktuellen Artikel. Um was geht es im Kern?

Offenbar geht es um eine Funktion des Routers, die es ermöglicht, einen Zugriff über das ftp-Protokoll auf den Router zu erlangen.

„Unter den IP-Adressen fanden sich offene FTP-Server mit Asus-Kennung und teilweise sensiblen Daten wie etwa Komplett-Backups von Windows-PCs.“

Damit lassen sich also Daten des Nutzers auslesen und kopieren. Daten, die auf einer externen USB-Festplatte an diesem Router angeschlossen sind.

Nun, das ist in der Tat sehr unglücklich. Aber jetzt mal im Ernst.

Wir reden also über:

  • eine Schwachstelle, die der ANWENDER seit einem halben Jahr für unwichtig bis egal bewertet hat.
  • einen ANWENDER, der seine Datensicherung auf seinem äußeren Router macht.
  • einen ANWENDER, der (vermutlich bewusst) seine Daten für die Nutzung von unterwegs freigegeben hat.

Wir reden also in erster Linie über Dinge, die der Anwender zu verantworten hat.

Aber wir sollten den schwarzen Peter nicht vorschnell zuteilen. Ein weiterer Aspekt muss in der Tat sein, dem User einfache und zuverlässige Möglichkeiten an die Hand zu geben, seine Sicherheitseinrichtungen zu aktualisieren.

Was gibt es denn da nicht alles an tollen Sachen zu erleben.

  • Ein „Firmware“-Update geht nur über einen tftp-Server, den nun wirklich kein „Normalo“-Anwender im Netzwerk hat. Und die heruntergeladenen Installer bringen auch keinen mit. Ausgepackt ist in dem Archiv nur eine Binärdatei die irgendwie auf den Router muss.
  • Manche Hersteller machen das per Webinterface. Mit dem riesigen Warnhinweis: „Wenn was schiefgeht ist alles im Eimer!!!“ Sehr vertrauenerweckend so etwas. Aus Haftungsgründen sinnig, aus User- und Sicherheitssicht aber bestimmt nicht.

Wir „Fachidioten“ müssen vor allem den Anwendern helfen. Und das geht nicht über Panikschübe.

Positive Konditionierung und offene Kommunikation funktioniert beim Hund auch besser. Angst formt nur Panikbeißer.

Also versuchen wir doch erst einmal den Anwender zu verstehen.

  • Die Daten liegen auf dieser USB-Platte und sind im Internet freigegeben, weil man ja auch von unterwegs seine eigen Musik hören will, ohne ständig das Smartphone synchronisieren zu müssen.
  • Der Anwender macht das auf dem Router, weil das Strom spart und der ja sowieso den ganzen Tag an ist.
  • Der Anwender weiß nicht, dass es da eine Sicherheitslücke gibt. Er/Sie liest nämlich keine Fachblättchen oder folgt der @IT_Unke bei Twitter.
  • Der Anwender traut sich nicht Updates einzuspielen, weil der Hersteller ja selbst sagt „Wenn was schiefgeht, ist teure Router kaputt“.

Fazit: Der Anwender möchte einfach nur die technischen Möglichkeiten nutzen, die der Hersteller und die Fachpresse immer wieder so vollmundig anpreisen!

Es ist also gar nicht zu verdenken, dass es zu einer solchen Situation kommt. Der Anwender hat einfach nicht die Möglichkeit hinter die ganzen Versprechungen der PR-Leute zu blicken.

Wir als Experten müssen aufzeigen, wie man diese Möglichkeiten sicher nutzen kann. Und der Anwender muss lernen, für seine Sicherheit etwas der alltäglichen Bequemlichkeit aufzugeben.

Sicher UND Bequem geht nicht gleichzeitig!


Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen