Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

November 06 2013

Routerzwang: CCC, FSFE und Konsumentenbund veröffentlichen Stellungsnahmen

Die Bundesnetzagentur hatte am 20. September eine Mitteilung veröffentlicht, in der sie verschiedene Modelle für Netzzugangsschnittstellen vorgestellt hat und zu einer Diskussion aufrief. Es geht vor allem um die Frage, wo das Netz für den Zugangsprovider und damit seine “Hoheit” über die Infrastruktur endet  – vereinfacht: gehört ein Router zum Netz des Providers und kann somit von diesem vorgegeben werden?

Heute, am 6. November, läuft die von der BNA gesetzte Frist zur Diskussion der im Bericht erwähnten Fragen ab, die sich mit den Implikationen der Modelle für Technologieneutralität, Wettbewerbsbedingungen, Nutzerakzeptanz und Netzneutralität befassen. In den letzten drei Tagen veröffentlichten die Free Software Foundation Europe, der Deutsche Konsumentenbund und der CCC ihre Stellungnahmen.

Das Papier der FSFE plädiert für offene Schnittstellen und Spezifikationen am Netzanschluss, die dem Anwender die freie Anbindung eigener Geräte erlauben. Sie machen deutlich, dass Routerzwang den Wettbewerb künstlich zerstört, eine Monokultur der Geräte herbeiführt und damit auch den technologischen Fortschritt behindert. Daraus können auch leichter Sicherheitsprobleme entstehen und Angriffe weitreichendere Folgen nach sich ziehen. Auch Einfluss auf die Netzneutralität und Diskriminierung von Diensten Dritter könnten eine Folge des Routerzwangs sein, da eine intransparente Konfiguration zur Bevorzugung von Diensten des jeweiligen Anbieters führen könnte, ohne dass der Endanwender Kontrolle oder Einblick hat. Vor Veröffentlichung hatte die FSFE bereits einen Brief an die BNA verfasst, über den wir berichtet haben und der auf ihrem Blog nachzulesen ist. Dessen Kernaussage wird im letzten Satz zusammengefasst:

Es muss für den Verbraucher möglich sein, die alleinige Kontrolle über alle Computer nach der TAE-Dose zu haben.

Der Konsumentenbund weist auch auf die inuitive Sicht des Kunden hin:

Dass der Router nicht zum Netz gehört, entspricht nach unserer Auffassung auch der natürlichen Betrachtungsweise der Verbraucher, die davon ausgeht, dass das Netz bis zu TAE-Dose reicht. Schließlich zahlt der Verbraucher dahinter auch den Strom für die Geräte; auch für den Router.

Neben den bereits oben angesprochenen Argumenten legen sie auch eine Berechnung vor, die besagt, dass Mehrkosten in Höhe von 476 Mio. Euro jährlich für Strom entstünden und dazu auch die jeweilige Umweltbelastung, wenn eine vorgeschlagene Lösung umgesetzt würde, derzufolge der Verbraucher nach dem vorgeschriebenen Router einen zweiten, eigenen installieren könne.

Sie verweisen auch darauf, dass es rechtswidrig sein könnte, einen speziellen Router vorzuschreiben und berufen sich dabei unter anderem auf die europäische Richtlinie 88/301/EWG der Kommission vom 16. Mai 1988 über den Wettbewerb auf dem Markt für Telekommunikations-Endgeräte:

Die rasche Entwicklung immer neuer Endeinrichtungstypen und die Möglichkeit ihres multifunktionalen Einsatzes machen es notwendig, dass die Benutzer hinsichtlich der Endeinrichtungen eine freie Wahl treffen können, um den vollen Nutzen aus dem technischen Fortschritt auf diesem Gebiet zu ziehen.

In Bezug auf Datenschutzaspekte findet Erwähnung, dass ein Router sehr viele Verbindungsdetails wie MAC-Adressen, genutzte Medien und Endgeräte, aber auch Tagesabläufe und Abwesenheiten des Nutzers erfährt und im Rahmen der Vorratsdatenspeicherung selbst innerhalb des Hauses anfallende Verbindungsdaten vom Provider gespeichert werden müssten, solange der Router zu dessen Infrastruktur gehört.

Die Stellungnahme des Chaos Computer Club begründet die Notwendigkeit der Gerätehoheit des Nutzers außerdem mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Menschen legten auf den eigenen Endgeräten ihre privaten Daten und Gedanken wie in einem Gedächtnis ab und damit zählten diese zum Kernbereich der privaten Lebensgestaltung. Würde nun der Router von Drittparteien kontrolliert, sieht der CCC dieses Recht als verletzt an.

Es bleibt zu hoffen, dass der Einfluss von Providern und kommerziellen Anbietern die Argumente der Verbraucherverbände und anderer NGOs nicht mit deren Marktmacht niederringt und es endlich zu einer abschließenden Klarstellung kommt, dass alles, was nach der Dose kommt, den Provider nichts mehr angeht.

Update: Auch 19 deutsche Hersteller von Informations- und Telekommunikationstechnik haben eine Stellungnahme gegen Routerzwang veröffentlicht, da eine Router-Monokultur verständlicherweise deren Geschäfte gefährdet.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bycartoffle cartoffle

September 25 2013

Routerzwang: FSFEs Schreiben zur Konsultation der Bundesnetzagentur

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Die Free Software Foundation Europe hat zusammen mit Mirko Vogt von OpenWrt schon mal vorab folgendes Schreiben an die Bundesnetzagentur geschickt:

Sehr geehrte Damen und Herren,

das Ziel der FSFE ist es, sicherzustellen, dass Benutzer selbstbestimmt Computer einsetzen können. Dieses grundlegende Prinzip wird von den Maßnahmen der ISPs in Frage gestellt.

ISPs bündeln Router mit ihren Angeboten und streben danach, dauerhaft diese IT-Geräte zu kontrollieren. Daher sind die Router dafür ausgerichtet das zu machen was der ISP möchte, aber nicht zwangsläufig an den Interessen der Benutzer. Durch die Kontrolle der Router haben ISPs und Hersteller die Möglichkeit auf die privaten Netzwerke hinter den Routern zuzugreifen. Dies ist kein theoretisches Problem: Die Router sind meist so konfiguriert, dass nur noch der Hersteller/ISP diese konfigurieren kann. Damit hat dieser auch uneingeschränkten Zugriff in das eigentlich private Heimnetzwerk (LAN) des Kunden.

Die derzeitige Rechtsprechung nimmt den Kunden in die Pflicht, seinen Internetanschluss abzusichern. Der Kunde haftet an seinem Anschluss für alle Aktivitäten, die über seinen Anschluss passieren (Prinzip der Störerhaftung, siehe BGH-Urteil “Sommer unseres Lebens”). Kontrolle kann effektiv nur am Router erfolgen. Durch die Zwangsverwaltung und Vorschrift der zu verwendenden Hardware der ISPs verliert der Kunde jedoch die volle Kontrolle über seinen Internetanschluss.

Daher müsste der Provider auch im Fall einer unerlaubten Handlung nachweisen, dass der Router – beispielsweise durch unbemerkten Einbruch von außerhalb in die Firmware – nicht Teil des Problems war: Dem Kunden soll dieser Beweis ja in Zukunft verwehrt werden. Ohne die volle und alleinige Verfügungsgewalt über den Router, kann der Anschlussinhaber nicht verantwortlich gemacht werden. Die Haftung für eventuelle Schäden kann daher nur noch der ISP verantworten.

Auf Grund von sich deckenden Interessen der ISPs, beziehen diese Hard- und Software von identischen Herstellern. Die dadurch entstehende Monokultur ist ein Problem: Das Beispiel der im Juni 2012 bekannt gewordene WLAN-Sicherheitslücke bei von Arcadyan gerfertigen Geräten, welche unter anderem als “Telekom Speedport” oder “Vodafone Easybox” von den jeweiligen ISPs vertrieben werden, zeigt, dass diese Problematik real existiert. Der Zugang zum Internet sowie zum privaten Heimnetzwerk stand jedem offen. Benutzer waren hilflos und mussten auf ein Update hoffen (siehe dazu Heise “Wlan Hintertür in Telekom Routern” und “Wlan Lücke – Weitere Speedport Modelle betroffen”.) Ähnliche Vorfälle gab es auch bei anderen Herstellern wie z.B. Asus und D-Link.

Naturbedingt liegt der Angriffsvektor auf der breiten Masse. Nicht zuletzt aus diesem Grund besteht eines der größten Botnetze aus Routern. Router stellen das Tor zum Internet dar, da sie die Interneteinwahl vornehmen und entsprechend die einzige öffentliche, von außen erreichbare IP-Adresser erhalten, und müssen dementsprechend abgesichert und gepflegt werden.

Die Situation verschärft sich durch die bisherige Updatepolitik der Provider bei Ihren ausgelieferten Routern. Bedingt durch interne Prozesse sowie maßiven Einsparungen bei Einkauf und Entwicklung werden neue Revisionen der Routerfirmware zumindest mit erheblicher zeitlicher Verzögerung an den Endkunden ausgliefert. Dadurch besteht ein bekanntes und ausnutzbares Sicherheitsloch mehrere Monate, bis ein entsprechende Fehler am Router durch Aufspielen neuer Firmware geschlossen werden. Der Kunde ist in dieser Zeit schutzlos. Durch die Zwangshardware bleibt ihm keine Möglichkeit, das Problem selbsttätig oder mit Hilfe Dritter zu beheben.

Die Anforderungen der ISPs an einen Router unterscheiden sich stark von denen der Nutzer: Der ISP versucht ein möglichst günstiges Gerät zu produzieren, welches ein möglichst an das Angebot vom ISP angepasstes und beschränktes Funktionsset enthält.

Des Weiteren schränken ISPs durch die Bündelung von Routern mit ihren Angeboten den Wettbewerb für den Markt von Routern ein. Schon heute werden Router, welche mittlerweile vollwertige Computer sind, für mehr Aufgaben als das Routing verwendet. So können diese Geräte zusätzlich Dateien im Heimnetzwerk oder im Internet bereitstellen, Musik abspielen, als Druckerserver dienen oder Haushaltsgeräte steuern. Wenn jedoch der ISP bestimmt, welche Funktionen diese Geräte haben und welche verboten sind, schränken sie zukünftige Entwicklungen in diesen Bereichen ein. Da der ISP, aus Kosten- und Supportgründen, das Funktionsset bewusst so klein wie möglich hält, wird der Nutzer stark limitiert. Genannte, bei anderen Herstellern seit Jahren gängige Zusatzfunktionen, findet man bei den Routern der ISPs vergeblich. Nutzer müssen sich Zusatzgeräte kaufen und anschließen — sofern diese überhaupt kompatibel erstellt werden können.

Die Free Software Foundation Europe sieht durch das Bundling die Gefahr, dass Wettbewerber von Router-Hardware und -Software aus dem Markt verdrängt werden, die Preise für Router-Hardware stark steigen und nur wenige Anbieter verbleiben werden.

Prinzipiell kann aber jeder Computer mit Netzwerkschnittstelle die Funktion eines Routers übernehmen. Das Zurückhalten der Nutzerdaten durch den ISP hat schädliche Auswirkungen:

  • Verbraucher können keine Geräte mehr von Herrstellern kaufen, denen sie mehr Vertrauen entgegenbringen. Durch die Presseberichte der letzten Wochen werden Verbraucher ein starkes Bedürfnis haben sich abzusichern und ihre Privatsphäre zu schützen. Dazu zählt vor allem die Verwendung von Hardware und Software von entsprechend erfahrenen und spezialisierten Unternehmen. In den Wahlumfragen der FSFE fordern viele Parteien Privacy by Default bzw. Privacy by Design. Wenn die Internet-Zugangs-Passwörter oder auch die Passwörter für Internettelefonie nicht herausgegeben werden, können Verbraucher keine Geräte von Drittanbietern verwenden.
  • Verbraucher müssen viele unterschiedliche Geräte betreiben, obwohl Hersteller Funktionen, wie oben beschrieben, von Media-Center, über Druckserver bis zum Wlan-Access-Point, etc., mit der Router-Funktion kombinieren könnten. Verbraucher sollten selbst entscheiden können, welche Funktionen und welchen Stromverbrauch sie bei Computer in ihrem Haushalt haben wollen.
  • Verbraucher werden bei Anbieterwechsel zu einem Hardwarewechsel gezwungen während die alte Hardware für sie nutzlos wird und entsorgt werden muss.

Aus diesen Gründen fordert die FSFE, dass ISPs den Verbrauchern die Zugangsdaten standardmäßig zur Verfügung stellen müssen. Es muss für den Verbraucher möglich sein, die alleinige Kontrolle über alle Computer nach der TAE-Dose zu haben.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl