Ich habe mich neulich wieder einmal mit dem Thema Zertifikate im Dunstkreis von TLS beschäftigt und bin sehr traurig über die Art und Weise, in der AVM Sicherheit bei den Produkten implementiert, die nicht zur Flaggschiffreihe der Fritz-Boxen gehören....

Ich hatte gerade mein Zertifikat erneutert und dessen Gültigkeitsdauer verlängert, das es mir ermöglicht, ohne Warnmeldungen per HTTPS auf die Weboberfläche der FritzBox zuzugreifen. Dabei fiel mir auf, dass ich es bisher versäumt hatte, meinen Fritz DVBC-Repeater in gleicher Weise mit einem Zertifikat aus meiner eigenen Certificate Authority auszustatten. Ich wollte das natürlich sofort nachholen.

Ich suchte nach einer entsprechenden Möglichkeit, eine eigene digitale Identität in den Repeater zu importieren und scheiterte. Dabei fielen mir diverse Dinge auf:

1) der VBC-Repeater verfügt über eine Möglichkeit des Sendersuchlaufs. Ich war immer ein wenig unglücklich, da der Repeater eine der wichtigen Komponenten meines digitalen Videorekorders im Eigenbau darstellt, er aber nicht alle Sender kennt, die ich auf meinem Fernseher ansehen kann. Ich fand den Grund dafür bei meiner Tour durch alle Links und Menüs der Weboberfläche des Repeaters heraus: Mein TV-Anbieter weiß wieder mal nicht, wie man eine NIT baut und der Repeater bezieht seine Informationen aus ebendieser NIT. Die Weboberfläche besitzt eine verborgene Möglichkeit, diese NIT zu ignorieren. Diese aktivierte ich, ließ nochmal einen Sendersuchlauf durchlaufen und siehe da - alle Sender wurden gefunden.

2) Einspielen eigener digitaler Identitäten ist nur möglich, wenn man das Gerät rootet. AVM weiß zwar prinzipiell, wie es geht (beweisen die Fritz-Boxen), jedoch entschied man sich willentlich dagegen, dieses Feature auf allen Geräten auszurollen - warum, wird wahrscheinlich auf ewig AVMs Geheimnis bleiben.

3) Kein Nutzermanagement möglich. Auf Fritzboxen kann man mehrere Nutzerkonten anlegen und diesen Nutzern Rechte zuweisen. So kann man es erreichen, dass es un(ter)privilegierte Logins gibt, die nur die Weboberfläche starten und Informationen über entgangene Anrufe und den Onlinestatus sehen, aber keine Konfigurationsänderungen vornehmen können. Das ist sehr begrüßenswert. Und wieder: Beim Repeater ist das nicht umgesetzt: Dort existiert nur ein Nutzer und dieser hat fest zugeordnet das Superuserpasswort der Fritzbox im Mesh. Das bedeutet, dass ich - um zum Beispiel die API zu verwenden - immer das Superuser-Passwort verwenden und in Skripten hinterlegen muss. Das ist steinzeitlich und hier zeigt sich wieder einmal, dass AVM beim Thema Sicherheit mit zweierlei Maß misst - die Flaggschiffreihe der Fritzboxen bieten alle erwarteten Features, aber die anderen Produkte fahren da eine sehr fragwürdige Strategie