Definition von Mindestempfehlungen bezüglich der Sicherheit von Routern für den Privatgebrauch in neuem gemeinsamem Leitfaden von LACNOG und M3AAWG

MONTEVIDEO (Uruguay) und SAN FRANCISCO (USA)--()--Ein neuer Leitfaden mit Empfehlungen für ISP, der in diesem Monat von LACNOG und M3AAWG herausgegeben wurde, definiert grundlegende Sicherheitskriterien für Router und andere Teilnehmer-Endgeräte (CPE, von Customer Premise Equipment) und soll dazu beitragen, Internetanschlüsse vor häufigen Angriffen wie insbesondere DoS-Attacken durch Missbrauch der erwähnten Geräte zu schützen. Die Leitlinien werden die Sicherheitsbemühungen der Internetdienstanbieter verstärken, indem sie die Anforderungen an die an ihre Netze angeschlossenen Hardwaregeräte festlegen, die bei Nichtbeachtung der grundlegenden Sicherheitsvorkehrungen ausnutzbar sind.

Der Leitfaden mit bewährten Verfahren wird unter dem Titel „LACNOG-M3AAWG Joint Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition“ herausgegeben und derzeit in mehrere Sprachen übersetzt, sodass er von ISPs auf der ganzen Welt genutzt werden kann. Als Herausgeber fungieren die Latin American and Caribbean Network Operators Group und die Messaging, Malware and Mobile Anti-Abuse Group, verfügbar ist der Leitfaden unter www.lacnog.net/docs/lac-bcop-1 und www.m3aawg.org/CPESecurityBP oder in übersetzten Versionen unter https://www.m3aawg.org/published-documents.

Die empfohlenen Sicherheitseinstellungen und -funktionen beruhen auf Branchenerfahrungen und sind zur Verhinderung von DoS-Attacken (Denial of Service) auf gefährdete Netzinfrastruktur- und IdD-Geräte (Internet der Dinge) sowie von Infektionen mit Malware unerlässlich. Eine Anforderungstabelle wird bereitgestellt, damit ISP die Sicherheitsempfehlungen für ihre eigenen Netzwerke den CPE-Herstellern in einem übersichtlichen Format vorlegen können.

Weltweite Anstrengungen zur Verstärkung der Onlinesicherheit

Zurzeit sind portugiesische, spanische, französische, deutsche und japanische Übersetzungen des Dokuments in Bearbeitung, wobei davon ausgegangen wird, dass später noch weitere Sprachen hinzukommen. Die Übersetzungen des Leitfadens werden weltweit ein nützliches Instrument für ISP darstellen, die damit Anforderungen an Sicherheitsstandardeinstellungen auf den Teilnehmer-Endgeräten festlegen können, die an ihre Netzwerke angeschlossen werden, wie die Verfasserin des Dokuments, Lucimara Desiderá, anmerkt. Desiderá ist Vorsitzende der lateinamerikanischen und karibischen Anti-Missbrauchs-Arbeitsgruppe (LAC-AAWG) und Sicherheitsanalytikerin bei CERT.br (Nationales brasilianisches Computer-Notfallteam).

„Für Computersicherheit zuständige Ereignis- und Reaktionsteams in Lateinamerika haben die mangelhafte CPE-Sicherheit als schwerwiegendes Problem bei Angriffen in den letzten Jahren identifiziert. Dieser neue Leitfaden macht es den ISP leichter, mit CPE-Anbietern zu verhandeln, damit gewährleistet werden kann, dass die Geräte, die an ihre Netzwerke angeschlossen werden, minimalen Sicherheitsanforderungen entsprechen, was die Anzahl und Intensität der Angriffe auf das Internet insgesamt und damit auch die negativen Auswirkungen auf den Betrieb der ISP reduzieren wird“, so Desiderá.

Abgedeckt werden Themen wie Dokumentation und Kontaktinformationen von Herstellern, Softwaresicherheit, Remote-Aktualisierungen und Geräteverwaltungsfunktionen, bevorzugte Standardkonfigurationen sowie Supportrichtlinien in Bezug auf die Behebung von Sicherheitslücken. Hier einige Empfehlungen:

  • Passwörter sollten nicht fest in die Firmware programmiert sein, müssen änderbar sein und Lieferanten sollten nicht für alle Geräte das gleiche Standardpasswort verwenden.
  • Es muss eine Vorrichtung für regelmäßige Remote-Aktualisierungen der Software geben, einschließlich einer Methode zur Überprüfung der Authentizität der für die Aktualisierungen herunterzuladenden Dateien.
  • Die Geräte müssen restriktiv und nicht permissiv konfiguriert werden.

Als Beispiel für das Ausmaß des Problems kann darauf hingewiesen werden, dass die Schadsoftware Mirai, die für mehrere Großangriffe auf Websites verantwortlich ist, eine Tabelle mit mehr als 60 verbreiteten Benutzernamen und Passwörtern für Werkseinstellungen enthält, mit deren Hilfe unerlaubterweise auf Überwachungskameras, Netzwerkrouter und andere IdD-Geräte zugegriffen werden kann. Die neuen Empfehlungen würden diese Login-Tabelle unwirksam machen, meint Severin Walker, der Vorsitzende des Board of Directors von M3AAWG.

Walker fährt fort: „Die Zusammenarbeit zwischen M3AAWG, LACNOG und der für dieses Dokument zuständigen Arbeitsgruppe aus Lateinamerika und der Karibik war teilweise deshalb eine Priorität, weil wir laufend mit regionalen Netzbetreibern und ihren Ereignis- und Reaktionsteams zusammenarbeiten, um globale Bedrohungen der Kommunikationssicherheit zu adressieren. Wichtig war sie aber auch deshalb, weil wir weiter daran arbeiten müssen, wie sich unsere Mitglieder mit der Sicherheit in Bezug auf IdD-, Mobil- und andere Geräte auf Endverbraucherseite befassen, damit die immer umfangreicher werdenden Angriffe, die von diesen Geräten ausgehen, verhindert werden können.“

Das Dokument mit bewährten Verfahren wurde von LACNOG und M3AAWG entwickelt und bei der Jahresversammlung der LACNIC (LACNIC 31) am 8. Mai in der Dominikanischen Republik vorgestellt. Es beruht auf den Fachkenntnissen der LACNOG-Arbeitsgruppen LAC-AAWG und der BCOP-Arbeitsgruppe in Zusammenarbeit mit Mitgliedern der M3AAWG, ihren leitenden technischen Beratern und dem technischen Komitee der M3AAWG.

Über LACNOG

LACNOG (www.lacnog.net) steht für Latin American and Caribbean Network Operators Group, die Gruppierung der Netzbetreiber aus Lateinamerika und der Karibik, deren Struktur ein Board of Directors, ein Programmkomitee sowie Arbeitsgruppen umfasst. Sie bietet eine Umgebung, in der Netzbetreiber und interessierte Parteien ihre Erfahrungen und Kenntnisse über Verteilerlisten, Arbeitsgruppen und jährliche Versammlungen austauschen können. LACNOG fördert auch lokale Netzbetreibergruppen (Network Operators Groups, kurz NOGs) und Peering-Foren, die Entwicklung und Übernahme von bewährten Methoden sowie fachspezifische Bildungsveranstaltungen und Kurse.

Über die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)

In der Arbeitsgruppe Messaging, Malware and Mobile Anti-Missbrauch (M3AAWG) trifft sich die Branche, um gegen Bots, Malware, Spam, Viren, Denial-of-Service-Angriffe und andere Online-Verwertungen vorzugehen. M3AAWG (www.m3aawg.org) Mitglieder repräsentieren mehr als zwei Milliarden Briefkästen von einigen der größten Netzbetreiber weltweit. Die Gruppe nutzt die Tiefe und Erfahrung ihrer globalen Mitgliedschaft, um den Missbrauch in bestehenden Netzwerken und neu entstehenden Diensten durch Technologie, Zusammenarbeit und öffentliche Ordnung zu bekämpfen. Sie beschäftigt sich auch mit der Aufklärung von Entscheidungsträgern in aller Welt über die technischen und operativen Aspekte von Online-Angriffen und Datenübermittlung. Die M3AAWG mit Hauptsitz in der kalifornischen Metropole San Francisco wird von Markterfordernissen gesteuert und von großen Netzbetreibern und Messaging-Anbietern unterstützt.

Board of Directors und Sponsoren der M3AAWG: 1 & 1 Internet SE, Adobe Systems Inc., AT&T Comcast, Endurance International Group, Facebook, Google Inc., LinkedIn, Mailchimp, Marketo Inc., Microsoft Corp., Orange, Proofpoint, Rackspace, Return Path Inc., SendGrid Inc., Vade Secure, Valimail, VeriSign Inc. und Verizon Media (Yahoo & AOL).

Ordentliche Mitglieder der M3AAWG: Agora Inc., Broadband Security Inc., Campaign Monitor, Cisco Systems Inc., CloudFlare Inc., dotmailer, eDataSource Inc., ExactTarget Inc., IBM, iContact, Internet Initiative Japan (IIJ), Liberty Global, Listrak, Litmus, McAfee, Mimecast, Oracle Marketing Cloud, OVH, Spamhaus, Splio, Symantec, USAA und Wish.

Eine vollständige Liste der Mitglieder findet sich unter http://www.m3aawg.org/about/roster.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Contacts

Kontaktperson für Medienvertreter:
Astra Communications
Linda Marcus, APR
+1-714-974-7973 (U.S. Pacific)
LMarcus@astra.cc

Contacts

Kontaktperson für Medienvertreter:
Astra Communications
Linda Marcus, APR
+1-714-974-7973 (U.S. Pacific)
LMarcus@astra.cc