Als am 5. November 2015 der Deutsche Bundestag den Routerzwang abgeschafft hatte, hatte mich das natürlich auch gefreut. Auch wenn ich nicht direkt betroffen war, so war die Aussicht, auch bei einem eventuellen Providerwechsel den Router zu nehmen, den man eventuell sowieso schon hat und auf den man seine eigene Infrastruktur aufgebaut hat, eine erfreuliche. Und so kann nun seit dem 1. August 2016 jeder Endverbraucher den Router nehmen, der ihm in Sachen Funktionalität, Preis und eventuell Aussehen am nächsten kommt (von ein paar Ausnahmen mal abgesehen).
Seit dem 27. November bin ich mir aber gar nicht mehr so sicher, ob das wirklich eine gute Idee ist. Um es vorwegzunehmen: Natürlich bin ich weiterhin gegen einen Routerzwang der Provider. Vor allem, weil diese es aus zwei Gründen wollen. Zum einen eine Kostenersparnis, da jeder art-fremde Router ein zusätzliches Level an Komplexität mit in Spiel bringt. Wie kann der Support schon wissen, welche Firmware mit welchen Einstellungen auf diesem exotischen Gerät ist, welches der Kunde zuhause hat. Zum anderen lässt sich so natürlich mehr Kontrolle über die Geräte haben, um eventuell unliebsame Eigenschaften auszuschalten oder neue Möglichkeiten einfach draufzusetzen (wie Vodafone es mit dem Zwangs-Gäste-WLAN gemacht hat).
Trotzdem: Spätestens am 27. November (und eigentlich schon vorher) hat sich gezeigt, dass der Router, der zuhause bei den Menschen steht, ein hochsensibler Teil der gesamten Internetstruktur ist. Nicht nur, weil er das Tor zu den Heimnetzwerken der Haushalte ist. Sondern auch, weil er direkt im Internet steht und nicht, wie eine Reihe von anderen Geräten, hinter einer Firewall, die im Router installiert sein sollte. Die Einzelheiten des Angriffs lassen sich interessanterweise sehr gut beim Handelsblatt nachlesen, aber zusammengefasst heißt es wohl, dass der Angriff gar nicht diese spezifischen Router treffen sollte und der Ausfall dieser eher ein Kollateralschaden war. Damit ist der Schaden sehr begrenzt gewesen, zumindest für eben diese Modelle. Allerdings sind hunderttausende andere Router nun scheinbar mit dem Angriff infiziert worden, höchstwahrscheinlich ohne Wissen der Nutzer.
Dem Verbraucher kann nicht die ganze Verantwortung zugemutet werden
Warum könnte also ein Routerzwang sinnvoll sein? Sollte der Telekom-eigene Router wirklich das Angriffsziel gewesen sein und sollte das auch von der Telekom entdeckt worden sein, dann könnte sie schnell reagieren und ein (Zwangs-)Update ausliefern oder gegebenenfalls sogar die Router austauschen. Den Angriff würde es vielleicht nicht verhindern, die Auswirkungen aber deutlich reduzieren. Die Realität ist aber, dass jeder seinen Router selber wählen kann und damit eigentlich auch jeder selber in der Verantwortung ist, diesen gegen solche Angriffe zu sichern. Die Frage ist aber: Kann man das einem normalen Anwender zumuten? Dieser hat wahrscheinlich den Router vor Jahren mal gekauft, eventuell von einem Bekannten, der sich ein wenig damit auskennt, einrichten lassen und seitdem nicht mehr angefasst. Warum sollte er auch, er läuft ja wahrscheinlich. Er hat also weder die Motivation noch eventuell die Kenntnisse, hier aktiv zu werden. Um es noch mal ganz deutlich zu machen: Ein infiziertes Gerät, welches im Internet steht, ist nicht nur eine Gefahr für den einzelnen Nutzer, er ist auch eine weitere Waffe in den Händen der Botnet-Betreiber und damit eine Gefahr für die Allgemeinheit.
Momentan gibt es keine Möglichkeit, den Nutzer durch irgendwas zu zwingen, hier mehr Sorgfalt walten zu lassen. Schaut man sich mal im Vergleich dazu den Autoverkehr an, so gibt es hier eine ganze Reihe von Vorschriften, wie zum Beispiel ein verkehrssicheres Auto auszusehen hat. Der Besitzer wird gezwungen, es alle zwei Jahre vorzuführen und somit die Einhaltung von Mindesstandards zu gewährleisten. Und das eben nicht nur, um die Autoinsassen zu schützen, sondern auch die anderen Verkehrsteilnehmer. Und im Zweifelsfall kann das Bundeskraftfahrtamt Rückrufe anordnen, falls ein schwerwiegender Mangel entdeckt wurde.
Ich denke, dass hier die Politik gefragt ist, die Sicherheit zu erhöhen. Der Routerzwang ist sicher kein Allheilmittel, weil er Innovationen blockiert und eine Monokultur fördert, die es Angreifern noch einfacher macht, sich auf ein bestimmtes Modell zu fixieren. Wie schon gesagt, der Endnutzer wird freiwillig nicht unbedingt mehr tun und die komplette Verantwortung von Seiten der Industrie auf ihn abzuwälzen, greift zu kurz. Eventuell muss man ihn zwingen, indem man unsichere Zugänge durch Provider blockieren lässt. Aber auch die Hersteller müssen in die Pflicht genommen werden. So könnte man hier Verpflichtungen schaffen, dass neue Modelle bei einer Art Zulassungsstelle vorgestellt werden, ältere Modelle eine bestimmte Zeit mit Updates versorgt werden müssen und es eventuell auch Rückrufe gibt. Dann kann man auch über eine Herstellungshaftung nachdenken, wenn ein bestimmtes Modell teilweise oder hauptsächlich für einen Angriff verantwortlich gemacht werden kann. Diese Maßnahmen kann man natürlich auf alle im Internet stehende Geräte ausweiten (Webcams, IoT, etc).
Es braucht eine internationale Lösung
Das solche Anordnungen natürlich nicht nur deutschlandweit, sondern mindestens europaweit eingeführt werden müssen, versteht sich von selber. Allerdings muss dazu auch der politische Wille und Weitblick da sein. Es muss verstanden werden, dass in einer Infrastruktur, die immer mehr in den Alltag der Menschen eingreift, zur Einhaltung von gewissen Standards auch der einzelne mehr Verantwortung wahrnehmen muss und gegebenenfalls seine Rechte dann auch beschnitten werden.
Update vom 29. Dezember 2016: Die FAZ hat am 22. Dezember einen Artikel veröffentlicht, wo Martin Schallbruch, der stellvertretender Direktor des Digital Society Institute an der ESMT Berlin, in genau die gleiche Kerbe haut und meiner Argumentation im Allgemeinen folgt.