Nachdem Heise und AVM vorbildlich reagiert haben und schnell Updates für betroffene Fritz!Boxen ausgespielt haben, liegt in meinem Fall bei M-Net:
Ich fragte also um 11:42 Uhr via Facebook:
Wann wird das Update für die Fritzboxen eingespielt, welches die Fernwartungs-Lücke schließt?
Darauf kam von M-Net folgende Antwort (12:48 Uhr):
Hallo …, das Update erfolgt nicht automatisch. Wenn Sie dieses wünschen, so können wir die neue Firmware gerne aufspielen. MfG [name]
Die Steilvorlage lasse ich mir natürlich nicht entgehen und frage um 12:57 nach:
Ich fasse das mal zusammen:
Sie zwingen ihre Kunden dazu, einen (rechtlich immer noch bedenklichen) Zwangsrouter zu nutzen, der ihre Kunden im großen und ganzen hauptsächlich einschränkt (keine anderen SIP-Provider, keine Updates), nehmen dann aber ihre Pflicht zur Sicherung der Geräte nicht wahr, nachdem Sie ihren Kunden die Möglichkeit nehmen, Sicherheitsupdates einzuspielen, die den Missbrauch der Fritzbox verhindern können? Ich muss also darum aktiv bitten, Sicherheitsupdates installiert zu bekommen?
Sie kommen also für eventuelle Schäden auf, habe ich das richtig verstanden?
Siehe: http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bietet-erste-Firmware-Updates-an-2108862.html und http://www.heise.de/newsticker/meldung/Fritzbox-Hack-AVM-bietet-Updates-fuer-ueber-30-Modelle-2109372.html
Etwas später (keine Antwort bis 15:38):
Ich möchte im übrigen betonen, dass Sie mit dieser Praxis im Zweifelsfall gegen das allgemeine Persönlichkeitsrecht (im Sinne der „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“) gemäß des Urteils des Bundesverfassungsgerichts verstoßen können, da die Fritzbox ja gemäß Vertrag nur gemietet und von ihren Kunden in sehr eingeschränktem Maß administriert werden darf. Die Verantwortung für die Sicherheit der Box obliegt offensichtlich damit ihnen als Provider und Überlasser.
Ich gehe aus, dass dies nicht in Ihrem Interesse ist und erwarte eine Mitteilung über das Update an ihre Kunden in den nächsten Tagen.
Siehe: BVerfG, 1 BvR 370/07 vom 27.2.2008, Absatz-Nr. (1 – 333), http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html
Um 16:07 Uhr dann ein Update von M-Net:
Hallo …, bitte geben Sie mir Ihre Kundendaten an. Wir werden alles Mögliche machen um Ihnen weiterzu helfen. MfG [Name]
Ein weiteres Update dann kurz vor Feierabend (17:51):
Hallo …,
ich habe soeben die Information von der Technik erhalten, dass für die FRITZ!Box Modelle 7360 und 7390 neue Firmware Versionen von AVM erstellt wurden. Diese werden aktuell von der AVM und der M-net Qualitätssicherung intensiv getestet. Die Freigabe des Firmwareupdates wird für morgen erwartet. Das Update wird dann in den nächsten Tagen automatisch auf die Kundengeräte gespielt. Sie können uns gern Ihre Kundennummer mitteilen, dann werden Sie einer der ersten Kunden sein, die das Firmwareupdate erhalten.
Ich hoffe, dass ich Ihnen damit Ihre Fragen zufriedenstellend beantworten konnte und wünsche Ihnen noch einen schönen Abend.
MfG; ….
Letzte Mail von mir (10.02.2014):
Hallo …
vielen Dank, diese Mitteilung reicht mir, ich werde das ja die nächsten Tage dann erleben (ich gehe mal von max. 14 Tagen aus). Ich wüsste allerdings gerne, wie das in Zukunft in Punkto Kommunikation und Updatestratgie bei ihnen gehandhabt wird. Schließlich haben sie ja einen groben Überblick über ihre Kunden und welche bei solchen Updates betroffen sind.
So etwas proaktiv vorzubereiten und entsprechend zu kommunizieren stärkt gerade in Zeiten allgegenwärtiger Spionage und Computersabotage das Kundenvertrauen eher als es zu schwächen.
Das ich als Kunde hier den Eindruck gewinnen musste, dass mein Provider entweder unwissend ist oder das ganze einfach aussitzen will und mir als einzelnem das ganze anbieten will, anstatt ALLEN Kunden die entsprechend eigentlich notwendigen Sicherheitsvorkehrungen zukommen zu lassen, enttäuscht mich maßlos und führt dazu, dass M-Net im Zuge meiner Vertragsverlängerungen auf der Liste der in Frage kommenden Provider erstmal ganz nach hinten rutscht. Weiterempfehlen kann ich Sie damit guten Gewissens allerdings definitiv nicht mehr – allerdings wäre das mit der IPv6-Problematik in ihrem Haus auch nur in begrenztem Rahmen passiert – aber das führt hier zu weit.
mit freundlichen Grüßen…
Tags kam drauf dann noch eine Nachricht von M-Net:
Guten Morgen …,
seit Bekanntwerden der Hackerangriffe, haben wir die IP-Adressen, durch welche die Hackerangriffe erfolgten, gesperrt. Zusammen mit AVM haben wir an einem entsprechenden Update gearbeitet. Da unsere FRITZ!Boxen vorprogrammiert sind, müssen wir das Update von AVM modifizieren, sodass es passend ist. Dadurch sind wir ein paar Tage später dran als AVM selbst. Die interne Mittelung über das fertige Update kam gestern Nachmittag. Deswegen konnte Ihnen die Kollegin vorher noch keine andere Aussage machen. Die Updates werden in den nächsten Nächten automatisch allen Kunden mit einer FRITZ!Box 7360 oder 7390 aufgespielt.
Sollte in Zukunft wieder etwas dieser Art sein, wird genauso gehandelt wie in der jetzigen Situation.
MfG; …
Die Namen sind anonymisiert, da ich bei Facebook keinen Klarnamen verwende und die Support-Mitarbeiter die Update-Politik ihres Unternehmens nicht beeinflussen können.
Ich frage mich, ob den Providern das eigentlich nicht klar ist, dass – sollte der Router ein Netzbestandteil sein – sie auch für die Instandhaltung derselben sorgen müssen (wie bei einem Mietwagen). Damit wäre das Thema „Zwangsrouter“ dann unter Umständen schneller vom Tisch und/oder die Geräte wären endlich mal ordentlich betreut. Mit einem solchen Präzendenzfall könnten die Kunden nur gewinnen.
Mir ist bewusst, dass sich das Grundrecht in erster Linie auf den Eingriff von Staats wegen bezieht, aber: Die zitierten Absätze 203, 202, 206 und 233 lassen das allerdings auch auf privatrechtlicher Ebene interpretieren. Und die Ermöglichung eines Zugriffs durch außen durch Fahrlässigkeit ist sicherlich dann auch noch interpretierungswürdig. Aber ich bin ja kein Anwalt…
Weitere Infos zum IT-Grundrecht: