Security Blog

_HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

‹ Zurück

TR-069 und TR-369 sind Protokolle, die Fernwartung und allgemein den Fernzugriff ermöglichen.

TR-069 ist ein etwas älteres Protokoll, das bald von TR-369 abgelöst wird. Was kann man denn mit diesen Protokollen so machen?

Ihr habt euch eine neue Fritz!Box zugelegt oder euer Internetzugang wurde um eine Fritz!Box erweitert. Ihr verbindet die Box mit eurem Glasfaser-, DSL- oder Kabelanschluss, doch zunächst passiert nichts, da die Leitung noch aktiviert werden muss. Endlich ist der große Tag gekommen, an dem die Leitung aktiviert wird. Ihr kommt von der Arbeit oder Schule zurück und wie von Zauberhand funktionieren Telefon und Internet. Jubel!

Die aktuellen Fritz!Boxen und viele moderne Router unterstützen diese Protokolle standardmäßig. Sehr oft ist mindestens TR-069 beim Erststart aktiviert. Das führt zu Folgendem:

Sobald die Leitung aktiviert ist, spielt der Internetanbieter (ISP, Internet Service Provider) automatisch Zugangsdaten, WLAN-Einstellungen oder VoIP-Konfigurationen auf. Das funktioniert dank TR-069 ganz einfach und bequem.

Wenn der Anbieter feststellt, dass auf der Box wichtige Updates fehlen, kann er eventuell sogar die Installation aus der Ferne veranlassen.

Stellt euch vor, es ist Anschlusstag, aber leider läuft die Sache nicht ganz rund. Keine Sorge, in den meisten Fällen kann man einfach eine Hotline kontaktieren, die gerne weiterhilft. Der Service Mitarbeiter oder die Mitarbeiterin kann dann über das TR-069 die Leitungswerte auslesen oder sogar den Router neu starten. Zusätzlich kann die Service Mitarbeiterin oder der Mitarbeiter überprüfen, ob die gebuchte Geschwindigkeit auch tatsächlich bei euch ankommt. Welche Funktionen dem Support zur Verfügung stehen, hängt übrigens auch vom Hersteller des Routers ab.

Freut euch, denn das TR-369 ist da! Auch bekannt als USP (User Services Platform), bietet es eine ganze Reihe von Funktionen. Was genau kann es denn nun?

Das TR-069 baut die Verbindung bei Bedarf oder in einem bestimmten Intervall auf, was manchmal zu Verzögerungen führen kann. Diese Methode nennt man auch „Polling“. Das TR-369 hingegen verwendet feste Verbindungen. Auf dem Router wird dafür ein sogenannter „WebSocket“ oder „MQTT“ geöffnet, der die Kommunikation ermöglicht. Genau! Da läuft also ein kleines Programm, das den Zugriff ermöglicht.

Wenn über die TR-369-Verbindung eine Serviceverbindung hergestellt wurde, beispielsweise für den ISP, eine Smarthome-App oder einen Wartungstechniker, kann man damit letztendlich sogar das Smarthome steuern. Allerdings unterstützen Fritz!Boxen nicht alle Smarthome-Geräte. Trotzdem ist es schon praktisch, dass jemand auf eure Fritz!Box zugreifen und Einstellungen sehen und ändern kann, oder? Das TR-369 unterstützt übrigens mehrere Verbindungen.

Kommen wir gleich zum Thema Sicherheit. Wenn ihr einen Router habt, den ihr selbst gekauft habt, also nicht von eurem Internetanbieter wie der Telekom oder 1&1, dann könnt ihr TR-069 und TR-369 wahrscheinlich deaktivieren. Habt ihr aber einen Router vom Anbieter, dann sind die mittlerweile so eingerichtet, dass alles automatisch läuft und der Support schnell helfen kann. Das bedeutet leider, dass ihr vielleicht keine Möglichkeit habt, diesen Zugriff zu deaktivieren.

Im schlimmsten Fall kann es passieren, dass Daten unverschlüsselt übertragen werden. Neuere Router bieten aber die Möglichkeit, Verschlüsselungen und Zertifikate zu verwenden, egal ob TR-069 oder TR-369. Das bedeutet, dass die Daten verschlüsselt übertragen werden und eine Authentifizierung erforderlich ist, bevor die Verbindung aufgebaut wird. Allerdings wird beim TR-069 manchmal auch eine unverschlüsselte Verbindung verwendet, hauptsächlich im Heimnetz oder Unternehmensnetz über verschiedene Programme. Aber ältere Router unterstützen generell oft nur unverschlüsselte Verbindungen!

Normalerweise oder hauptsächlich nutzen Internetprovider (ISPs) ein spezielles Netz für diese „TR“-Verbindung, das auch nur vom Router akzeptiert wird. Stellen wir uns aber mal vor, jemand würde versuchen, den ISP anzugreifen und hätte so die Möglichkeit, das zu umgehen (Netzwerk oder Server des ISP attackiert ..). Dann könnte man dem Gerät falsche Daten für die Internetverbindung schicken. Das könnte letztendlich dazu führen, dass man den Internetverkehr und die Telefonate mithören kann. Je nach den Möglichkeiten des Routers wäre es sogar denkbar, dass man die WLAN-Einstellungen ändert und so Zugriff auf das Unternehmens- oder Heimnetz bekommt. Das funktioniert aber wirklich nur, wenn man die Server des ISPs oder sein Netz hacken würde. Das wäre heute schon sehr viel Theorie, zum Beispiel sind Telefonie und viele Internetprotokolle oft verschlüsselt, dann ist da die Sache mit Glasfaser und die Server der ISP’s ähneln einem Tresor. Aber es ist nicht völlig ausgeschlossen! Und ja, es gibt tagtäglich Angriffe auf ISP's und deren Netzwerkstruktur.

Um TR-369 auf der Fritz!Box zu deaktivieren, geht man im Menü der Weboberfläche auf „Diagnose“ und dann auf „Sicherheit“. Mit der Eingabemaus auf dieser Seite nach ganz unten scrollen (das mittlere Rad der Maus verwenden oder den Balken am Rand nach unten ziehen), um Informationen zum Verbindungsstatus von TR-369 und TR-069 zu finden. Hier kann man weitere Aktionen durchführen und zusätzliche Informationen einsehen. Um den Zugriff durch den Support zu sperren, geht man in den Interneteinstellungen der Box auf „Anbieterdienste“. Beachtet aber, dass dieses zu Problemen führen kann. Sollten Internet- oder Telefonieprobleme auftreten, könnte die Deaktivierung dieser Option die Ursache sein. In solchen Fällen muss man sich möglicherweise an den Support des Internetanbieters wenden, der möglicherweise zusätzliche Schritte durchführen muss, z. B. das Drücken einer oder zweier Tasten.

Unter „Netzwerk“ -> „Netzwerkeinstellungen“ -> „Erweiterte Einstellungen laden“ (ganz unten auf der Seite) findet man bei den Fritz!Boxen die Option „TR-064 deaktiveren/aktivieren“. Diese Funktion betrifft ausschließlich den Zugriff auf die Box innerhalb des Heimnetzwerks und stellt eine erweiterte Variante des „TR-069“ dar. Mit entsprechenden Programmen, die diesen Zugriff nutzen, wie beispielsweise der MyFritz App, kann man im Normalfall etwas mehr tun als ein Internetdienstanbieter von außen. Ich kann euch versichern, dass ihr damit nicht alles erreichen könnt, was ihr euch vielleicht wünscht. Fritz! hat die Zugriffe teilweise eingeschränkt. Vieles ist möglich, aber nicht alles. Manche Unternehmen beschäftigen ihre Auszubildenden mit solchen Projekten. Bei solchen Projekten sollte man jedoch immer im Hinterkopf behalten, dass Fritz! mit jedem Update die Bedingungen ändern kann!

Manche Internetanbieter, wie zum Beispiel die Telekom, nutzen bereits TR-369. Bei 1&1 bin ich mir da nicht so sicher. Der Telekom Support soll dadurch angeblich einen ziemlich umfassenden Zugriff auf den Router haben, sogar bis ins Smarthome hinein. Damit das funktioniert, muss TR-369 aktiviert sein und ein sogenannter „Connector“ auf dem Router eingerichtet worden sein. Aktivierte Connectoren findet man auf den Fritz!boxen übrigens auch unter „Diagnose->Sicherheit“, ganz unten bei den Infos zu den „TR“ Protokollen. Ähnlich sieht es beim „TR-064“ aus, wenn ihr eine aktuelle Fritz!box habt. Dort könnt ihr dann die Freigaben für Apps einsehen, die Zugriff auf die Box haben. Ich habe neulich erst alles gelöscht, weil da noch einige ziemlich alte Geräte registriert waren. Das heißt aber nicht, dass man keine neue Verbindung mehr aufbauen kann.

Na, jetzt steht natürlich noch die Frage im Raum: Deaktivieren oder Aktivieren? Die Entscheidung überlasse ich natürlich euch. Grundsätzlich ist es relativ sicher, bis mal etwas passiert. Falls ihr es deaktiviert habt, denkt bitte daran, wenn der Support euch mal helfen muss. Dann könnte es sein, dass ihr bis zum Second Level Support oder noch weitergeleitet werdet, bis jemand darauf kommt, das “TR” zu aktivieren, um Zugriff zu erhalten. Oder ihr bekommt vielleicht eine neue Box, weil die alte augenscheinlich nicht mehr funktioniert. Na ja, so ist das manchmal. Habt noch eine schöne Woche!

###xcomweb.de, 2.2026 ###