FCC-Entscheidung zu TP-Link: Keine Entwarnung beim Router-Lockdown

In einer am Montag veröffentlichten Anordnung hat die US-Regulierungsbehörde FCC den Router-Hersteller TP-Link zu 200.000 Dollar Strafe und Änderungen an Hard- und Software verurteilt. Zwar soll die Entscheidung der FCC sicherstellen, dass Open-Source-Firmware weiterhin auf den WLAN-Routern installierbar bleibt. Die Konsequenz könnte für Freie Software jedoch verheerend sein. (Dieser Beitrag erschien zuerst am 2. August bei netzpolitik.org.)

Anordnung der FCC gegen TP-Link

Anordnung der FCC gegen TP-Link

Der Elektronik-Hersteller hatte in den USA einen Router vertrieben, in dessen Konfiguration die Ländereinstellung geändert werden konnte. Dadurch wäre es möglich gewesen, Funknetze außerhalb der in den USA erlaubten Frequenzen und Sendestärken zu betreiben. Seit Juni müssen Hersteller dort sicherstellen, dass nur Software auf den Geräten lauffähig ist, die die Vorgaben zum Schutz vor Störfunk einhält.

Auf Aufforderung der FCC hatte TP-Link die Software zwar so angepasst, dass die Ländereinstellung nicht mehr verfügbar war. Außerdem wurde allerdings die Möglichkeit der Installation von Dritthersteller-Firmware (z.B. von Open-Source-Projekten) aus dem Softwareupdate-Mechanismus entfernt. Diese Änderung löste die Untersuchung der FCC aus, die jetzt in einem Vergleich endete. Darin stimmt TP-Link zu, 200.000 Dollar Strafe zu zahlen sowie einen „langfristigen Plan zur künftigen Einhaltung [der Richtlinien]“ zu entwickeln.

Bittere Pille

Die FCC nimmt explizit Bezug darauf, dass Open-Source-Firmwares nicht ausgesperrt werden dürften. Was sich zunächst nach einem Erfolg für Freie Software anhört, hat jedoch einen bitteren Nachgeschmack:

„TP-Link stimmt zu, Software- und Hardware-Lösungen zu untersuchen, die es Endkunden erlauben, Firmware von Drittanbietern auf TP-Link-Routern zu installieren und zu betreiben – unter Einhaltung der Integrität kritischer Funk-Parameter.“ (Seite 1, 2. Absatz der Anordnung)

Die Maßgabe für die Hersteller, einerseits die Einhaltung der Funkparameter sicherzustellen und gleichzeitig Dritthersteller-Firmwares nicht auszusperren, lässt leider nur noch technische Lösungen ähnlich dem „Trusted Computing“ zu, bei der zu installierende Software kryptografisch signiert wird. Nur so können Hersteller wirksam sicherstellen, dass Dritt-Software nur nach ihrer Freigabe (und Signatur) auf den Geräten installierbar ist beziehungsweise auf das Funkmodul zugreifen kann.

Dieses Szenario ist nicht nur ein Albtraum für Amateurfunker*innen, die günstige, marktgängige Hardware mittels modifizierter Software für SDR benutzen. Auch die mittelständische Elektronik-Industrie dürfte zittern, da sie ebenfalls auf gängige Funkhardware setzt und mit modifizierter Software Anwendungen realisiert, bei denen komplexe Signaturprüfungen technisch nicht möglich wären.

Auf PCs gibt es mit „Secure Boot“ ein Verfahren, durch das nur noch signierte Betriebssysteme installierbar und lauffähig sind. Linux Distributionen und Free Software Foundation Europe hatten 2012 auch bei netzpolitik.org davor gewarnt, dass Nutzer*innen durch Secure Boot die Kontrolle über den eigenen Rechner entzogen wird.

Freifunk-Community und Free Software-Unterstützer*innen haben im April vor der EU-Richtlinie 2014/53 gewarnt, die ähnliche Vorgaben auch in Europa vorsieht.