CRA Klasse I Compliance-Leitfaden: Router, Modems, Switches
Zusammenfassung
Ein WLAN-Router für zu Hause, ein Modem-Router, ein Internet-Modem, ein Mesh-Knoten oder ein Switch sollte normalerweise als wichtiges Produkt der Klasse I geplant werden. Die Einschränkung betrifft die Kernfunktion: Ein Router, der vorrangig als Firewall, IDS/IPS, VPN-Gateway oder Netzwerkmanagement-Appliance vermarktet wird, kann eine andere Kategorieanalyse erfordern.
Der erste Nachweisschritt ist ein Klassifizierungs- und Abgrenzungsmemo für das genaue CPE oder Netzwerkgerät. Es muss Hardware, Firmware, WAN-Schnittstelle, Funkstack, lokale Administrationsoberfläche, Mobile App, ISP- oder Hersteller-Cloud, Fernwartungskanal, Aktualisierungsmechanismus, Komponenteninventar, Supportzeitraum und jede Eigenmarken- oder ISP-spezifische Firmware-Modifikation benennen.
| Produktvariante | Voraussichtliche CRA-Klasse | Begründung |
|---|---|---|
| WLAN-Router für Verbraucher | Wichtig Klasse I | Internetkonnektivität und Routing sind die Kernfunktion |
| ISP-Modem-Router oder CPE | Wichtig Klasse I | Das Produkt verbindet Kunden mit dem Internet |
| Eigenständiges Kabel-, DSL- oder Glasfasermodem / ONT | Wichtig Klasse I, sofern für den Internetanschluss vorgesehen | Die Internet-Modem-Funktion ist die Kernproduktfunktion |
| Mesh-WLAN-Kit | Wichtig Klasse I | Die Mesh-Knoten bilden das Router-Produkt oder die Produktfamilie |
| 4G/5G-Mobil-Hotspot | Wichtig Klasse I | Mobilfunk-WAN bleibt Internetkonnektivität |
| Managed Switch | Wichtig Klasse I | Switching plus Management-Ebene passt zur Netzwerkprodukt-Funktion und erweitert die Nachweisgrenze |
| Unmanaged oder nicht konfigurierbarer Switch | Fallspezifisch | Prüfen Sie, ob es sich um ein Produkt mit digitalen Elementen handelt und ob eine Management-Ebene, ein Firmware-Update-Pfad, eine Cloud-/App-Funktion oder eine andere vernetzte Funktion vorliegt, bevor Sie es wie Managed-Network-Equipment behandeln |
| VPN-Router | Fallspezifisch, meist Wichtig Klasse I | VPN kann die spezifischere Funktion sein, wenn das Gerät so vermarktet wird |
| Router, der als Firewall, UTM oder IPS vermarktet wird | Fallspezifisch, möglicherweise Wichtig Klasse II | Firewall oder Prevention kann zur Kernfunktion werden |
| Eigenständige kommerzielle Router-Firmware | Fallspezifisch | Das Softwareprodukt selbst kann das Router-Produkt sein |
| ISP-gebrandete CPE mit OEM-Hardware | Wichtig Klasse I, rollensensitiv | Eigenmarken-Branding oder Firmware-Änderungen können die Herstellerpflichten verschieben |
Klassifizierungsgrundlage
Die CRA behandelt Router, Internet-Modems und Switches als wichtige Produkte der Klasse I, was nicht dasselbe ist wie der Klasse-II-Status einer Firewall. Zusätzliche Sicherheitsfunktionen verschieben einen Router nicht nach Klasse II, solange Routing und Internetkonnektivität die vermarktete Kernfunktion bleiben.
Das Produkt ist nicht kritisch, nur weil es am Netzwerkrand steht. Die Liste der kritischen Produkte ist enger gefasst und enthält weder Verbraucher-Router noch ISP-CPE als Ganzes.
Was zählt zum Router-Produkt?
Ein Router, Modem oder Switch kann mehr umfassen als nur das Kunststoffgehäuse:
- Bootloader, Betriebssystem, Kernel, Funktreiber, WAN-Stack und LAN-Dienste;
- Modem, ONT, Ethernet-Switch-Silizium, Verhalten des Management-VLAN und PoE-Steuerung, sofern vorhanden;
- Web-Admin-Oberfläche, Mobile-App-Pairing und lokales Setup-Portal;
- TR-069, USP/TR-369 oder anderer Fernwartungskanal;
- Hersteller- oder ISP-Cloud für Fernzugriff, Kindersicherung, Telemetrie, Mesh-Koordination oder Aktualisierungs-Orchestrierung;
- Firmware-Update-Dienst, Signierschlüssel, Recovery-Image und Supportprozess.
Das Produktdossier sollte ebenfalls erfassen, was außerhalb des Produkts liegt: das ISP-Konto des Kunden, Smart-Home-Geräte von Dritten, vom Kunden erstellte Netzwerkregeln, das separat verkaufte Kundenmodem sowie nachgelagerte Betreibersysteme, die nicht vom Hersteller geliefert werden.
Welchen Konformitätsbewertungsweg sollte der Hersteller planen?
Wichtig Klasse I bedeutet nicht automatisch, dass jeder Router eine Drittbewertung benötigt, aber interne Kontrolle ist nicht selbstverständlich. Wenn der Hersteller den allgemeinen Weg der internen Kontrolle nutzen kann und die einschlägigen harmonisierten Normen, gemeinsame Spezifikationen oder ein geeignetes europäisches Cybersicherheits-Zertifizierungsschema mindestens auf der Vertrauensstufe „substanziell" für die anwendbaren grundlegenden Anforderungen vollständig angewendet hat, kann dieser Weg verfügbar sein. Existieren diese Bezüge nicht, sind sie nur teilweise oder gar nicht angewendet oder decken sie nicht alle einschlägigen Anforderungen ab, planen Sie eine EU-Baumusterprüfung plus interne Produktionskontrolle oder eine umfassende Qualitätssicherung. Die allgemeine Wegmechanik und der Inhalt der EU-Konformitätserklärung sind in den Leitfäden zur Konformitätsbewertung und zur Konformitätserklärung beschrieben; diese Seite behandelt nur die router-spezifische Wahl.
Wird dieselbe Hardware-Variante zusätzlich als Firewall, VPN-Gateway, Netzwerkmanagement-Appliance oder Managed-Security-Plattform vermarktet, erstellen Sie für dieses SKU ein eigenes Klassifizierungsmemo.
Wie verhält sich die RED-Cybersicherheitsfrist zum CRA?
Die meisten Router und mit dem Internet verbundenen Modems enthalten Funk (WLAN, ein Mobilfunkmodem oder Ähnliches), und diese funkfähige Teilmenge hat bereits vor dem CRA eine Cybersicherheits-Schwelle überschritten. Seit dem 1. August 2025 gelten die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED Artikel 3.3 Buchstaben d, e und f, festgelegt durch die Delegierte Verordnung (EU) 2022/30) für mit dem Internet verbundene Funkanlagen wie WLAN-Router, Mesh-Knoten, Modem-Router und Mobilfunk-Gateways. Ein rein kabelgebundenes Gerät, etwa ein reiner Ethernet-Router oder ein nacktes DSL-, Kabel- oder Glasfasermodem ohne Funk, liegt außerhalb des RED-Cybersicherheits-Anwendungsbereichs, ist aber dennoch ein Produkt mit digitalen Elementen unter dem CRA. Die CRA-Meldepflichten beginnen am 11. September 2026 und der CRA wird am 11. Dezember 2027 vollständig anwendbar, wenn die Aufhebung der RED-Cybersicherheits-Delegierten Verordnung durch die Delegierte Verordnung (EU) 2026/339 wirksam wird, sodass sich die beiden Regelungen nicht überlappen.
Für einen Routerhersteller ergibt sich praktisch:
- Zwischen dem 1. August 2025 und dem 10. Dezember 2027 erfüllt einschlägige Funkausrüstung die RED-Cybersicherheitsanforderungen; der harmonisierte Weg verläuft über die Reihe EN 18031, mit ETSI EN 303 645 als Verbraucher-Baseline, auf der sie aufbaut.
- Ab dem 11. Dezember 2027 liegen dieselben Cybersicherheitspflichten unter dem CRA, mit dessen breiteren Lebenszyklus-Pflichten: standardmäßig sichere Konfiguration, Schwachstellen-Handhabungsprozess, Erklärung des Supportzeitraums sowie die Meldepflichten, die bereits am 11. September 2026 beginnen.
- Ein vor dem 11. Dezember 2027 in Verkehr gebrachter Router fällt nur dann unter den CRA, wenn er nach diesem Datum wesentlich verändert wird. Die einzige Ausnahme ist die Meldepflicht, die für jedes Produkt im Anwendungsbereich gilt, einschließlich bereits verkaufter Geräte.
- Die in Vorbereitung befindliche router-spezifische harmonisierte CRA-Norm ist ETSI EN 304 627 (Router, Modems und Switches), die auf Klasse I Punkt 12 und die grundlegenden Cybersicherheitsanforderungen abbildet. Sie ist noch ein Entwurf, planen Sie also den Konformitätsweg anhand der zum Zeitpunkt der Bewertung tatsächlich zitierten Normen und nutzen Sie die für RED aufgebauten Kontrollen (sichere Standardeinstellungen, signierte Updates, Zugriffskontrolle) als Grundlage für das CRA-Dossier statt ein separates Projekt zu starten.
Welche Nachweise sollten bereitliegen?
| Nachweisbereich | Was bei einem Router oder Modem-Router zu erfassen ist | Warum es zählt |
|---|---|---|
| Verwendungszweck | Heimrouter, ISP-CPE, Modem, ONT, Mesh-System, Mobil-Hotspot, Switch, VPN-Router, Managed Switch | Die Klasse folgt der tatsächlichen Produktvariante und den Aussagen |
| WAN-Angriffsfläche | DHCP, PPPoE, IPv6, DNS-Proxy, NAT, Firewall-Standardeinstellungen, Stellung der Fernadministration | Die WAN-Seite empfängt nicht vertrauenswürdigen Verkehr, bevor der Nutzer überhaupt etwas konfiguriert hat |
| Lokale Administration | Web-Oberfläche, lokale API, Setup-Portal, Passwortrichtlinie, Kontowiederherstellung, Zugriffskontrollen | Die meisten Konfigurations- und Eigentumsfehler passieren hier |
| Funk | WPA2/WPA3-Standardwerte, WPS-Entscheidung, Gastnetz-Isolation, SSID-/Passwort-Onboarding, Firmware des WLAN-Chips | Funk-Standardwerte werden zu Haushalts-Sicherheitsstandards |
| Fernwartung | TR-069, USP/TR-369, Hersteller-Cloud, ISP-Cloud, Fernzugriff über Mobile App | Hier entscheidet sich oft, ob das Gerät eine Box oder ein flottenverwaltetes Produkt ist |
| Aktualisierungsweg | Signierte Firmware, Rollback-Schutz, ISP-pushed Releases, Recovery-Partition, Aktualisierungshinweis | Router-Updates müssen den Supportzeitraum abdecken und OEM-/ISP-Branches überleben |
| Lieferantennachweis | SoC-SDK, WLAN-/Baseband-Hersteller, Bootloader, Kernel, TLS-Stack, DNS-/DHCP-Dienste | Router-Hersteller erben eine große Drittanbieter-Komponenten-Fläche |
| Rollennachweis | Verantwortlichkeiten von OEM, ISP, Einführer, Händler und Eigenmarke | Gebrandete CPE und Firmware-Forks können verschieben, wer das CRA-Dossier besitzt |
Welche Architekturdetails dürfen nicht fehlen?
Die Router-Nachweise müssen dem tatsächlich ausgelieferten Edge-Gerät folgen. Ein Retail-WLAN-Router, ein ISP-Modem-Router, ein PON-ONT, ein Kabelmodem, ein Mobil-Hotspot, ein Mesh-Knoten und ein Managed Switch haben unterschiedliche WAN-Exposition, Fernwartungs- und Firmware-Branch-Risiken.
| Architektur-Prüfpunkt | Nachweis-Anstoß für Router, Modem oder Switch |
|---|---|
| Bootkette und Recovery | Identifizieren Sie Boot-ROM, Bootloader, Secure-Boot-Status, A/B- oder Einzel-Bank-Image, Recovery-Trigger, Anti-Rollback-Zähler und Verhalten beim Zurücksetzen auf Werkseinstellungen. Bewahren Sie Downgrade- und Recovery-Missbrauchs-Tests auf. |
| WAN und Provisionierung | Trennen Sie Ethernet-WAN, PPPoE, DHCP, IPv6, DOCSIS-/PON-/Mobilfunk-Provisionierung und Betreiber-Profile. Zeigen Sie, welche Dienste nicht authentifizierten WAN-Input verarbeiten, bevor die Admin-Oberfläche existiert. |
| WLAN- und Baseband-Schicht | Verfolgen Sie WLAN-Firmware-Blobs, Regulatory-Domain-Konfiguration, hostapd-/wpa_supplicant-Forks, WPS-Entscheidung und Mesh-Onboarding. Lieferanten-Firmware gehört in die Hinweis-Überwachung. |
| Fernwartung | Für TR-069/CWMP, USP/TR-369, Hersteller-Cloud oder ISP-Cloud erfassen Sie Controller-Identität, Zertifikatsvertrauen, Verhalten bei Verbindungsanfragen, Befehlsumfang und Auditierbarkeit. |
| Switch- und Mesh-Steuerung | Managed-Switch-Oberfläche, SNMP/API, VLANs, Port-Mirroring, PoE, EasyMesh oder proprietäre Mesh-Controller benötigen eigene Management-Ebenen-Expositionsprüfungen. Prüfen Sie bei unmanaged oder nicht konfigurierbaren Switches zuerst, ob überhaupt eine digitale Management- oder Update-Oberfläche existiert. |
| ISP- und Eigenmarken-Branches | Führen Sie eine Branch-Matrix mit OEM-Build, ISP-Fork, Betreiber-Profil, OTA-Freigabe, Inhaber des Supportzeitraums und Pfad für Nutzerhinweise. |
| Fertigung und Rücknahme | Erfassen Sie geräteindividuelle Geheimnisse, gedruckte Zugangsdaten, Debug-Shell-Richtlinie, UART/JTAG-Zustand, RMA-Löschung und Cloud-Entkopplung. |
Die WAN-Seite ist der Ort, an dem das Gerät erstmals nicht authentifizierten Input verarbeitet, und diese Seite verändert sich mit der Zugangstechnologie. Ein Retail-Ethernet-WAN-Router, ein Kabelmodem-Router, eine Glasfaser-ONT und ein Mobilfunk-Hotspot teilen weder denselben Provisionierungskanal noch denselben Upstream-Peer.
Wie sieht eine echte Router-Bedrohungsanalyse aus?
Nutzen Sie dies als Beispiel für die Tiefe, die im Bedrohungsmodell der Produktdatei erwartet wird. Der Hersteller muss die Analyse weiterhin am realen Router, Modem-Chipsatz, Funkstack, Fernwartungskanal, an den Lieferanten-SDKs, der Aktualisierungsverantwortung, den Vertriebsaussagen und der Zusage zum Supportzeitraum durchführen.
Beispiel-Produktprofil
Beispielprodukt: ExampleCo HomeRouter R1, ein Wi-Fi-7-Heimrouter, der in der EU über Retail- und ISP-White-Label-Kanäle verkauft wird. Er verfügt über Ethernet-WAN, vier LAN-Ports, Gast-WLAN, eine lokale Web-Admin-Oberfläche, Mobile-App-Onboarding, optionale ISP-Fernwartung, signierte OTA-Firmware, automatische Update-Prüfungen, DNS-/DHCP-Dienste, Kindersicherungsprofile und ein Recovery-Image.
Die Produktgrenze umfasst die Router-Hardware, den Bootloader, den Kernel, die WLAN-Treiber, die WAN-Dienste, die LAN-Dienste, die Firewall-Standardeinstellungen, die lokale Web-Oberfläche, das Mobile-App-Pairing, die Hersteller-Cloud für den Fernzugriff, den optionalen ISP-Fernwartungsagenten, den OTA-Dienst, das Recovery-Image, die Support-Website, die Annahmestelle für koordinierte Offenlegung und den Hinweisprozess. Ausgeschlossen sind das Modem des Kunden, sofern separat verkauft, das ISP-Abonnement, Smart-Home-Geräte von Dritten, der Identitätsanbieter des Nutzers sowie nachgelagerte OSS-/BSS-Systeme des ISP, sofern derselbe Wirtschaftsakteur sie nicht als Teil des Produkts liefert.
Dokumentieren Sie Annahmen zur erwarteten Heimnutzung, ISP-Provisionierung, Admin-Verantwortung und nicht unterstützte Bereitstellungsformen.
Produktdatei | SKU-Abgrenzungsmemo | Bedrohungsmodell | DoC | CE-Eintrag | Erklärung des Supportzeitraums
Komponenteninventar | Dienstinventar | Tests zu Funk-Standardwerten | Tests zu sicheren Updates | Prüfung der Fernwartung
Lieferantenhinweise, SDK-Versions-Eintrag, Verantwortung für die Firmware-Branche, CVE-Triage für Komponenten und Nachweis der Patch-Verbreitung.
Pflegen Sie die Branch-Matrix, das Release-Protokoll für Updates, die ISP-Freigabespur, das Hinweisprotokoll und den Eintrag zur Meldeentscheidung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen.
Quell-Branch, SDK-Version, WLAN-Firmware, Kernel und Signierschlüssel sind die Ausgangs-Baseline.
ACS-/USP-Endpunkt, Branding, Standardkonfiguration, Freigabe-Workflow und Verantwortlicher für Nutzerhinweise sind dokumentiert.
Mobile App, Cloud-Kopplung, Mesh-Dienst und Erklärung des Supportzeitraums bleiben im Release-Prozess des Herstellers.
Verfolgen Sie, ob OEM-, ISP- und Eigenmarken-Branches denselben Sicherheits-Fix oder eine dokumentierte Ausnahme erhalten haben.
Asset-Inventar
| Asset | Warum es zählt | Wo es liegt |
|---|---|---|
| WAN-zu-LAN-Verkehrssteuerung | Steuert die Haushalts-Exposition zum Internet | NAT, Firewall-Standardwerte, Kernel-Networking |
| Router-Admin-Konto und Sitzungen | Gewährt Kontrolle über DNS, WLAN, Port-Forwarding, Updates und Reset | Web-Oberfläche, Mobile App, lokaler Token-Speicher, Cloud-Konto |
| WLAN-Zugangsdaten und Gast-Isolation | Schwache Standardwerte exponieren das Heimnetzwerk und verbundene Geräte | WLAN-Konfiguration, Onboarding-Fluss, Gastnetz-Regeln |
| Fernwartungs-Zugangsdaten | Ein Flotten-Steuerungs-Zugang kann viele Router betreffen | TR-069-/USP-Agent, Zertifikatsspeicher, ISP-ACS/Cloud |
| Vertrauensanker zur Firmware-Signatur | Schützt den Router-Update-Kanal | Bootloader, sicherer Speicher, OTA-Dienst |
| DNS-/DHCP-Konfiguration | Kann Nutzer umleiten oder Konnektivität stören | Lokale Dienste, Admin-Oberfläche, ISP-Provisionierung |
| Switch-Management-Status | VLANs, Port-Isolation, PoE und Management-Zugriff können nachgelagerte Netze exponieren | Managed-Switch-Oberfläche, CLI, SNMP/API, Switch-ASIC-Konfiguration |
| Modem-/ONT-Provisionierungsstatus | Registrierung, Bridge-/Router-Modus und Management-Zugangsdaten beeinflussen den Internet-Rand | Modem-Firmware, Betreiberprofil, Fernwartungs-Agent |
| Support- und Diagnoseprotokolle | Können SSIDs, Seriennummern, IPs, Verknüpfungen zu Kundenkonten und Absturzdaten preisgeben | Geräteprotokolle, Mobile App, Support-Portal |
| Status der Firmware-Branche | OEM-/ISP-Branch-Drift kann Schwachstellen unbehoben lassen | OEM-Git-/Release-System, ISP-Fork, OTA-Repository |
| Secure-Boot- und Anti-Rollback-Status | Schützt den Recovery-Pfad und verhindert die Rückkehr bekannter verwundbarer Images | Bootloader, eFuse-/RPMB-/TPM-Status, Produktionseinträge |
| WLAN-/Baseband-Firmware | Funk-Firmware kann Authentifizierung, Verfügbarkeit und Netzwerk-Exposition beeinflussen | WLAN-Chip, Firmware-Blob, Hersteller-SDK, Produktions-Image |
Vertrauensgrenzen
| Umgebung | Erwartete Exposition | Risikofolge |
|---|---|---|
| WAN-Schnittstelle | Dauerhaft nicht vertrauenswürdigem Netzwerkverkehr ausgesetzt | Parser-Fehler und exponierte Dienste können das Gerät kompromittieren |
| LAN- und Setup-Netz | Geteilt mit Haushalts-Endgeräten und IoT-Geräten | Lokale Angreifer können Admin, Discovery und schwache Standardwerte ins Visier nehmen |
| Funkschnittstelle | Aus physischer Nähe erreichbar | WPS, schwaches Onboarding oder fehlende Gast-Isolation exponieren das LAN |
| Switch-Management-Ebene | Je nach Konfiguration aus Admin-VLAN, LAN oder Betreiber-Werkzeugen erreichbar | Schwache Standardwerte können VLANs, PoE-Steuerung oder Mirror-Ports exponieren |
| Fernwartungspfad | Erreicht das Gerät von der Infrastruktur des Herstellers oder ISP | Leck von Zugangsdaten oder ACS-Kompromittierung kann sich über viele Router skalieren |
| OTA- und Recovery-Pfad | Empfängt privilegierte Firmware-Images | Schwache Signaturen oder Rollback untergraben alle Sicherheits-Fixes |
| ISP-/Eigenmarken-Branch | Kann Firmware, Cloud-Endpunkte und Supportzeitraum verändern | Pflichten können wandern, wenn eine Marke Release- und Support-Entscheidungen kontrolliert |
Bedrohungsszenarien
| ID | Bedrohungsszenario | Gefährdetes Asset | Einstiegspunkt |
|---|---|---|---|
| R1 | WAN-Admin-Endpunkt ist standardmäßig oder durch ISP-Profil aktiviert | Admin-Konto, Router-Konfiguration | WAN |
| R2 | Erstnutzungs-Passwort ist gemeinsam, vorhersagbar oder so gedruckt, dass es chargenweit wiederverwendet wird | Admin-Konto, WLAN-Zugangsdaten | Onboarding |
| R3 | Parser-Fehler in DHCP, IPv6, DNS oder PPPoE kann vor der Authentifizierung ausgelöst werden | Router-Integrität, Verfügbarkeit | WAN-Dienste |
| R4 | Zugangsdaten von TR-069 oder USP lecken und ermöglichen entfernte Konfigurationsänderungen | Fernwartungs-Zugangsdaten, DNS, Firmware-Kanal | ISP-/Hersteller-Management |
| R5 | OTA-Recovery akzeptiert unsignierte oder ältere Firmware | Firmware-Integrität | OTA / Recovery |
| R6 | Gast-WLAN kann zu LAN-Geräten oder Admin-Oberfläche routen | Haushalts-Endgeräte, Router-Admin | Funk / LAN |
| R7 | WPS- oder QR-Onboarding kann nach der Erstinstallation missbraucht werden | WLAN-Zugangsdaten | Funk-Onboarding |
| R8 | Debug-Shell, Telnet, SSH oder UART bleiben in der Produktion zugänglich | Router-Integrität, Geheimnisse | Firmware / physisch |
| R9 | ISP-gebrandeter Firmware-Fork verpasst einen OEM-Sicherheits-Fix | Status der Firmware-Branche | Release-Prozess |
| R10 | Fernzugriffs-Token der Mobile App bleibt nach Router-Transfer oder Werksreset gültig | Admin-Konto, Eigentum | Cloud / App |
| R11 | Ausfall der DNS- oder Kindersicherungs-Cloud erzeugt unsicheres Fallback-Verhalten | DNS-Integrität, Verfügbarkeit | Cloud-Abhängigkeit |
| R12 | Lieferanten-Schwachstelle im SoC-SDK, in der WLAN-Firmware oder in einem gebündelten Netzwerk-Daemon wird während des Supports nicht triagiert | Router-Integrität, Verfügbarkeit | Lieferanten-Komponente |
| R13 | Managed-Switch-Oberfläche oder SNMP/API ist im Nutzer-LAN mit schwachen Standard-Zugangsdaten exponiert | Switch-Management-Status, VLAN-Integrität | LAN / Management-Ebene |
| R14 | Modem- oder ONT-Provisionierungsprofil aktiviert Fernadministration oder Bridge-Modus außerhalb des bewerteten Release-Zustands | Modem-/ONT-Provisionierungsstatus, WAN-Exposition | Betreiber-Provisionierung |
| R15 | Recovery-Modus, Reset-Hold-Boot oder TFTP-Recovery akzeptiert ein nicht authentifiziertes oder herabgestuftes Image | Firmware-Integrität, Secure-Boot-Status | Bootloader / Recovery |
| R16 | WLAN-Firmware, Mesh-Onboarding oder WPS-Verhalten unterscheidet sich zwischen Hardware-Revisionen ohne Release-Nachweis | WLAN-Zugangsdaten, Gast-Isolation | Funk / Lieferanten-SDK |
| R17 | USP-/TR-369- oder TR-069-Befehlsumfang erlaubt mehr, als das Betreiberprofil vorsah | Fernwartungs-Zugangsdaten, DNS, OTA | ISP-/Hersteller-Management |
| R18 | App-Bindung oder Cloud-Eigentumstoken überlebt Werksreset oder ISP-Rückgabe | Admin-Konto, Eigentum | Reset / Cloud-Konto |
Initiales Risikoregister
| ID | Wahrscheinlichkeit | Auswirkung | Erstentscheidung | Begründung |
|---|---|---|---|---|
| R1 | Gering | Hoch | Vor Release behandeln | Fernzugriffs-Exposition gibt direkte Kontrolle und ist leicht zu scannen |
| R2 | Mittel | Hoch | Vor Release behandeln | Haushaltsnutzer behalten Standardwerte oft, sofern Onboarding keine Änderung erzwingt |
| R3 | Mittel | Hoch | Vor Release behandeln | WAN-Parser sind vor der Authentifizierung exponiert |
| R4 | Mittel | Schwerwiegend | Vor Release behandeln | Fernwartungs-Fehler können sich über eine ISP-Flotte skalieren |
| R5 | Gering | Schwerwiegend | Vor Release behandeln | Firmware-Rollback kann bekannt verwundbare Builds am Leben halten |
| R6 | Mittel | Mittel | Vor Release behandeln | Gast-Isolation ist eine zentrale Nutzererwartung |
| R7 | Mittel | Mittel | Vor Release behandeln | Angriffe aus physischer Nähe sind in Wohnungen und gemeinsam genutzten Räumen realistisch |
| R8 | Mittel | Hoch | Vor Release behandeln | Debug-Zugang ist ein wiederkehrender Produktions-Ausreißer |
| R9 | Mittel | Hoch | Vor Release behandeln | Branch-Drift ist absehbar, wenn OEM- und ISP-Releases auseinanderlaufen |
| R10 | Mittel | Hoch | Vor Release behandeln | Router-Weiterverkauf und ISP-Rückgabeprozesse sind absehbar |
| R11 | Gering | Mittel | Vor Release behandeln | Cloud-abhängige Kontrollen benötigen sicheres Fallback-Verhalten |
| R12 | Mittel | Hoch | Vor Release behandeln | Router-Komponentenstapel erhalten während des Supports Schwachstellen |
| R13 | Mittel | Hoch | Vor Release behandeln | Managed-Switch-Konfiguration kann viele nachgelagerte Geräte betreffen |
| R14 | Gering | Hoch | Vor Release behandeln | Provisionierungs-Drift kann den Internet-Rand auf Flottenebene exponieren |
| R15 | Mittel | Schwerwiegend | Vor Release behandeln | Recovery ist ein privilegierter Pfad, den Angreifer und Service-Teams erreichen können |
| R16 | Mittel | Hoch | Vor Release behandeln | Funk- und Mesh-Verhalten ändert sich oft mit Lieferanten-SDKs und Hardware-Revisionen |
| R17 | Mittel | Schwerwiegend | Vor Release behandeln | Fehler im Fernwartungs-Umfang können Flotten betreffen |
| R18 | Mittel | Hoch | Vor Release behandeln | Router-Rückgaben, Weiterverkauf und ISP-Wechsel sind normale Lebenszyklus-Ereignisse |
Zuordnung von Kontrollen und Nachweisen
| Bedrohungen | Designkontrolle | Nachweise, die der Hersteller aufbewahren sollte |
|---|---|---|
| R1, R8 | WAN-Admin standardmäßig deaktiviert, Dienstinventar der Produktion, Firewall-Regeln für Management, kein Telnet oder Fabrikshell | Expositions-Scans, Produktions-Image-Checkliste, Dienstlisten-Diff |
| R2, R7 | Eindeutiges Setup-Geheimnis oder erzwungene Erstellung von Zugangsdaten, kurzes Pairing-Fenster, WPS deaktiviert oder begründet, Rate Limits | Onboarding-Test, Nachweis zur Generierung von Zugangsdaten, Prüfung der Funkkonfiguration |
| R3 | Parser-Härtung, Fuzzing, Trennung der Dienst-Privilegien, standardmäßiger WAN-Drop | Fuzzing-Berichte, Design der Dienst-Isolation, Absturz-Triage |
| R4 | Gegenseitige Authentifizierung, Zertifikatsrotation, geringst-privilegierte Provisionierung, Prüfung des ACS-/USP-Profils | Sicherheitsprüfung der Fernwartung, Eintrag zum Zertifikats-Lebenszyklus |
| R5 | Secure Boot, signierte Firmware, monotoner Versionszähler, Signaturprüfung des Recovery-Image | OTA-Testbericht, Downgrade-Ablehnung, Recovery-Test |
| R6 | Gastnetz-Isolation, Admin-Oberfläche aus dem Gastnetz nicht erreichbar, Regressionstests über Mesh-Knoten | Netzwerk-Isolationstest, Mesh-Roaming-Test |
| R9 | OEM-/ISP-Branch-Matrix, Patch-Merge-Richtlinie, Release-Freigabe, Abstimmung des Supportendes | Branch-Matrix, Eintrag zur Patch-Verbreitung, ISP-Freigabespur |
| R10 | Workflow für Eigentumsübergabe, Cloud-Entkopplung beim Reset, Token-Widerruf, Löschung des zurückgegebenen Geräts | Reset-Test, Test zur Eigentumsübergabe, RMA-Checkliste |
| R11 | Lokales DNS-Fallback-Verhalten, sicherer Fehlermodus der Kindersicherung, klarer Nutzerhinweis | Test des Fehlermodus, Nachweis der Nutzerbenachrichtigung |
| R12 | Komponenteninventar-Überwachung, Aufnahme von Lieferantenhinweisen, Verantwortlicher für Firmware-Komponenten, Rückverfolgbarkeit in Release-Notizen | Komponenteninventar-Diff, Hinweisprotokoll, Komponenten-Entscheidungseintrag |
| R13 | Bindung der Management-Ebene, eindeutiges Admin-Setup, SNMP/API standardmäßig deaktiviert oder gehärtet, Tests zur VLAN-Isolation | Expositions-Scan, Test der Standardkonfiguration, Prüfung des Switch-Managements |
| R14 | Bewertetes Provisionierungsprofil, Einschränkungen der Fernadministration, Betreiber-Änderungsmanagement, Rollback- und Audit-Spur | Eintrag zum Provisionierungsprofil, Audit der Flotten-Konfiguration, Betreiber-Freigabespur |
| R15 | Authentifizierte Recovery, signiertes Recovery-Image, Anti-Rollback-Status, physischer Recovery-Warnhinweis wo relevant | Recovery-Missbrauchstest, Eintrag zur Bootkette, Downgrade-Ablehnung |
| R16 | Hardware-Revisions-Matrix, WLAN-Firmware-Inventar, WPS-/Mesh-Regressionstests, Prüfung der Regulatory Domain | Revisions-Matrix, Funk-Firmware-Eintrag, Tests zur Funkkonfiguration |
| R17 | Geringst-privilegiertes Fernwartungsprofil, Inventar der Controller-Zertifikate, Befehls-Audit und -Freigabe | Prüfung des TR-069-/USP-Profils, Eintrag zum Zertifikats-Lebenszyklus, Audit-Stichprobe |
| R18 | Workflow für Eigentumsübergabe, Cloud-Entkopplung beim Reset, Löschung bei ISP-Rückgabe, Token-Widerruf | Reset-Test, Checkliste für zurückgegebene Geräte, Nachweis der Cloud-Entkopplung |
Restrisiko nach Kontrollen
| Restbereich | Warum es bleibt | Operativer Nachweis |
|---|---|---|
| ISP-Branch-Drift | OEM- und ISP-Release-Freigabe können in unterschiedlichem Tempo laufen | Branch-Matrix, Eskalationspfad, Prüfung des Release-Deltas |
| Kompromittierung eines Haushalts-Endgeräts | Schadsoftware auf einem LAN-Client kann weiterhin lokale Admin- oder DNS-Einstellungen angreifen | Lokale Auth-Kontrollen, Token-Widerruf, Admin-Hinweise |
| Neue WAN-Schwachstellen | WAN-zugewandter Code empfängt während des Supportzeitraums weiterhin feindseligen Verkehr | Exploit-Überwachung, Fuzzing-Kadenz, Notfall-Update-Prozess |
| Verzug der Lieferanten-Firmware | WLAN- und SoC-Hersteller können Fixes nach eigenen Zeitplänen veröffentlichen | Eintrag zur Lieferanten-SLA, Notizen zur Minderung, Prozess für Kundenhinweise |
Wie sollten Support, Updates und Meldungen funktionieren?
Für das Beispiel HomeRouter R1 sollte das praktische CRA-Dossier das Betriebsmodell während des Supportzeitraums enthalten, nicht nur die Nachweise vor der Markteinführung.
| Operativer Bereich | Vorzubereitender Nachweis |
|---|---|
| Supportzeitraum | Eine Supportzeitraum-Begründung für das Retail-SKU und für das ISP-gebrandete SKU, mit dem Monat/Jahr-Enddatum, das beim Kauf und, wo technisch machbar, in der Router-Oberfläche sichtbar ist. Sofern die erwartete Nutzungsdauer nicht kürzer ist, planen Sie mindestens fünf Jahre. |
| Verfügbarkeit von Sicherheitsupdates | Sicherheits-Firmware-Fixes und Sicherheitsupdate-Pakete bleiben mindestens zehn Jahre nach Ausgabe abrufbar, oder für den Rest des Supportzeitraums, wenn dieser länger ist. Recovery-Images, Hashes, Release-Notizen und Rollback-Entscheidungen sollten als Nachweis aufbewahrt werden, aber nicht jedes Nicht-Sicherheits-Paket sollte als rechtliche 10-Jahre-Verfügbarkeitszusage beschrieben werden. |
| OEM- und ISP-Branch-Matrix | Welche Firmware-Branche bewertet wird, wer sie signiert, wer das Release freigibt, wer für Notfall-Fixes verantwortlich ist und wie vorgelagerte Sicherheits-Fixes in Eigenmarken-Builds gelangen. |
| Einzelner Schwachstellen-Kontakt | Eine direkte Schwachstellen-Meldestelle für den Hersteller of record, nicht nur Abonnenten-Support oder ein rein automatisierter Chatbot. Ist ein ISP Hersteller eines gebrandeten SKU, verantwortet der ISP einen Annahmeweg für Produkt-Sicherheitsmeldungen. |
| Komponenten-Sorgfaltspflicht | Komponenteninventar-Überwachung für Kernel, Funk-Firmware, DNS-/DHCP-Dienste, TLS-Stack, Mobile SDKs und Fernwartungs-Agent, mit Triage von Lieferantenhinweisen, vorgelagerter Benachrichtigung und gegebenenfalls Fix-Sharing. |
| Workflow bei aktiver Ausnutzung | Meldung über die einzelne Meldeplattform an das als Koordinator benannte CSIRT und an ENISA: Frühwarnung innerhalb von 24 Stunden, Folge-Meldung innerhalb von 72 Stunden, Abschlussbericht zur Schwachstelle innerhalb von 14 Tagen nach Verfügbarkeit einer Korrektur- oder Minderungsmaßnahme sowie Benachrichtigung betroffener Nutzer oder Minderungsanweisungen, wo angemessen. |
| Workflow bei schwerwiegendem Produkt-Sicherheitsvorfall | Meldung über dieselbe Plattform und an dieselben Adressaten: Frühwarnung innerhalb von 24 Stunden, Folge-Meldung innerhalb von 72 Stunden, Abschlussbericht zum Vorfall innerhalb eines Monats nach der Vorfallsmeldung sowie Abstimmung mit Kunden und ISP einschließlich Nutzerhinweis, wo angemessen. |
| Inhaltsverzeichnis der Produktdatei | Produktidentität, Grenzdiagramm, WAN-/LAN-/Funk-Assets, Bedrohungsmodell, Risikoregister, Kontrollen, Testnachweise, Komponenteninventar, Update-Prozess, Schwachstellen-Prozess, Supportzeitraum-Begründung, Anleitungen, Erklärung und Eintrag zum Konformitätsweg. |
Welche Validierungs-Gates laufen vor dem Release?
Ein Router-Release sollte nicht mit einer pauschalen „Sicherheit geprüft"-Notiz passieren. Listen Sie die konkreten Entscheidungen auf, die den Versand halten können, und geben Sie jeder den Fehler an, vor dem sie schützt, die Kontrolle, die sie schließt, und das Artefakt, das belegt, dass die Kontrolle tatsächlich läuft.
- G1Erstnutzungs-ZugangsdatenRelease blockieren
- Fehler
Ein gemeinsames oder vorhersagbares Admin- oder WLAN-Passwort oder ein gedrucktes Geheimnis, das chargenweit wiederverwendet wird.
- Kontrolle
Geräteindividuelles Geheimnis oder erzwungene Erstellung von Zugangsdaten; WPS aus oder begründet.
- Beleg
Onboarding-Test und Nachweis zur Generierung von Zugangsdaten.
- Fehler
- G2WAN-Exposition nach der ProvisionierungRelease blockieren
- Fehler
Fernadministration oder ein unnötiger bzw. nicht bewerteter Dienst, der nicht authentifizierten WAN-Input verarbeitet, ist erreichbar, bevor der Nutzer etwas konfiguriert hat.
- Kontrolle
WAN-Admin standardmäßig aus, standardmäßiger Drop, Parser-Härtung und eine minimale Dienstliste.
- Beleg
WAN-Expositions-Scan nach der Provisionierung.
- Fehler
- G3Funk- und Gast-IsolationRelease blockieren
- Fehler
Das Gastnetz kann zu LAN-Geräten routen oder die Admin-Oberfläche erreichen.
- Kontrolle
Gast-Isolation standardmäßig; Admin-Oberfläche aus dem Gastnetz nicht erreichbar; Regression über Mesh-Knoten.
- Beleg
Netzwerk-Isolations- und Mesh-Roaming-Test.
- Fehler
- G4Update- und Recovery-PfadRelease blockieren
- Fehler
OTA oder Recovery akzeptiert ein unsigniertes oder älteres Firmware-Image.
- Kontrolle
Secure Boot, signierte Images, monotoner Versionszähler und Ablehnung von Downgrades.
- Beleg
Ergebnisse des Downgrade- und Recovery-Missbrauchstests.
- Fehler
- G5Fernwartungs-UmfangBlockieren, sofern nicht dokumentiert
- Fehler
Der TR-069- oder USP-Befehlsumfang erlaubt dem Controller mehr Änderungen, als das bewertete Betreiberprofil vorsah.
- Kontrolle
Geringst-privilegiertes Profil, Inventar der Controller-Zertifikate, Befehls-Audit.
- Beleg
Profilprüfung und Stichprobe des Befehls-Audits.
- Fehler
- G6LieferantenstapelMit Überwachung ausliefern
- Fehler
Im Supportzeitraum landet eine Schwachstelle im SoC-SDK, in der WLAN-Firmware oder in einem gebündelten Netzwerk-Daemon.
- Kontrolle
Komponenteninventar mit benanntem Verantwortlichen, Hinweis-Überwachung und Backport-Bereitschaft.
- Beleg
Triage-Entscheidung zur betroffenen Komponente.
- Fehler
Wer verantwortet die Router-Entwicklung vom Konzept bis zum Support?
Die Verantwortung für ein Router-Release wechselt mehrfach den Inhaber, während es von einer Produktdefinition zu einer Flotte in den Haushalten und ISP-Netzen der Kunden wird. Die folgende Spur weist jeder Phase einen verantwortlichen Lead, den von diesem Lead gepflegten Eintrag und das Gate zu, das geschlossen werden muss, bevor die nächste Phase startet.
Jeder Übergang ist ein Freeze-Punkt: Die Grenze ist vor dem Architekturstart fixiert, die Design-Absicht vor dem Code, der Build vor der Verifizierung und das Release vor der Auslieferung, danach läuft die Firmware durch das Supportfenster weiter. Ein Schwachstellenbericht, ein ISP- oder Lieferantenhinweis oder ein Feldausfall öffnet das nächste Abgrenzungsmemo, die Bedrohungsliste und das Komponenteninventar wieder, nicht das bereits ausgelieferte.
Welche Nachweiseinträge gehören in das Dossier?
Das Dossier soll es einem Prüfer ermöglichen, die Router-Entscheidung von der Produktidentität bis zu den Sicherheitskontrollen nachzuvollziehen. Jede Zeile verweist auf einen gepflegten Eintrag, nicht auf einen Ordner mit zusammenhanglosen Screenshots.
| Nachweisbereich | Was bei einem Router, Modem-Router oder Switch zu erfassen ist |
|---|---|
| Produktidentität | Modell, Hardware-Revisionen, SoC- und WLAN-Chipsatz, WAN-Typ, Firmware-Branche, Mobile-App-Version, Switch-/Mesh-Optionen |
| Verwendungszweck | Heimrouter, ISP-CPE, Internet-Modem, ONT, Mesh-Kit, Mobil-Hotspot, Managed Switch oder VPN-Router, mit benannten Retail- und ISP-gebrandeten Varianten |
| Cyber-Resilienz-Designdatei | WAN-Exposition, LAN- und Funk-Standardwerte, Fernwartungs-Autorität, OTA- und Recovery-Pfad, Bedrohungsliste und Behandlungsplan |
| Komponenteninventar | Bootloader, Kernel, WLAN-Firmware, WAN-PHY-/Modemstapel, DNS-/DHCP-Dienst, TLS-Stack, Fernwartungs-Agent, Mobile SDKs, mit benannten Verantwortlichen und Hinweis-Überwachung |
| Sichere Standardwerte | Keine gemeinsamen Standardzugangsdaten, WAN-Admin standardmäßig aus, signierte Updates, Downgrade-Ablehnung, Gast-Isolation, gesperrte Debug-Ports, Dienstinventar nach der Provisionierung |
| Aktualisierungsmechanismus | Signierte Firmware, Recovery-Image, Anti-Rollback-Status, ISP-/OEM-Branch-Karte, Nutzer-Update-Hinweis |
| Schwachstellen-Handhabung | Offenlegungsrichtlinie, einzelner Kontaktpunkt, Triage-Workflow, Komponenten-Hinweis-Überwachung, ISP-/Eigenmarken-Hinweis-Routing |
| Nutzeranleitungen | Sicheres Onboarding, Passwort- und Gast-Einrichtung, Update-Einstellungen, Offenlegung des Supportendes, Stilllegung und Reset |
| Rückverfolgbarkeit und Kontakt | Typ-/Chargen-/Seriennummer, Hersteller- oder ISP-Kontakt, Supportende-Datum und ein einzelner Schwachstellen-Meldekontakt, der nicht nur ein automatisierter Bot ist |
Was gehört in ein Router-Komponenteninventar?
Der CRA verlangt ein maschinenlesbares Komponenteninventar, das die Komponenten des Produkts identifiziert und mindestens die Abhängigkeiten erster Ebene abdeckt, ohne bislang ein festes Format zu benennen. Router-Hersteller wählen normalerweise CycloneDX oder SPDX. Die produktübergreifenden Details zur Mechanik des Komponenteninventars finden Sie im dedizierten SBOM-Leitfaden; dieser Abschnitt behandelt den router-spezifischen Baum.
Ein Router-Release liefert mehrere digitale Elemente mit getrennten Aktualisierungszyklen, nicht ein einzelnes Binärpaket. Zwei Muster erfüllen das CRA-Minimum: ein Produkt-Komponenteninventar mit elementgetrennten Abschnitten (Bootloader, Kernel, WLAN-Firmware, WAN-PHY-Stack, Netzwerk-Daemons, TLS, Fernwartungs-Agent und Web-Oberfläche, jeweils versionsfixiert) oder ein Inventar je ausgeliefertem Element, das bei jedem Release aktualisiert wird. Beide sind zulässig, sofern sie maschinenlesbar sind und die Abhängigkeiten erster Ebene abdecken.
Was prüft die Release-Signatur?
Die Signatur vor der EU-Veröffentlichung sollte vier Eintragsordner schließen können, unten als Q1 bis Q4 gezeigt. Der vollständige Dossierindex steht in der Nachweisliste oben; die vier Fragen hier sind nur die, die das Release blockieren, wenn ein Ordner leer ist.
| Ordner | Release-Frage | Router-spezifischer Nachweis-Anstoß |
|---|---|---|
| Q1 Klassifizierungs-Begründungsmemo | Warum ist dieses Produkt so klassifiziert? | Kernfunktion (Routing und Internetkonnektivität), Verwendungszweck, Vertriebsaussagen, Retail- vs. ISP-Variante und der gewählte Konformitätsweg |
| Q2 Inventar der ausgelieferten Elemente | Was genau ist das Produkt? | Router-Hardware, Firmware, WAN-/LAN-/Funk-Dienste, Web-Oberfläche, Fernwartungs-Agent, OTA-Dienst, Cloud-Endpunkte und die ausgeschlossenen Kunden-/ISP-Systeme |
| Q3 Sichere-Standardwerte-Testpaket | Was wurde standardmäßig abgesichert und wie wird es sicher aktualisiert? | Keine gemeinsamen Standardzugangsdaten, WAN-Admin standardmäßig aus, signierte Updates, Downgrade-Ablehnung, Gast-Isolation, WPS-Entscheidung, gesperrte Debug-Ports, Dienstinventar nach der Provisionierung |
| Q4 Schwachstellen-Handhabungsprozess | Wie werden Schwachstellen und schwerwiegende Vorfälle nach der Auslieferung gehandhabt? | Öffentlicher Kontakt, Offenlegungsrichtlinie, Triage-Workflow, Komponenten-Hinweis-Überwachung, ISP-/Eigenmarken-Hinweis-Routing, 24-Stunden- und 72-Stunden-Meldebereitschaft |
Release-Signatur-Ordner Q1 bis Q4
- Q1 Klassifizierungs-Begründungsmemo. Warum Klasse I Punkt 12? Kernfunktion, Verwendungszweck, Vertriebsaussagen, Retail- vs. ISP-Variante und der gewählte Konformitätsweg.
- Q2 Inventar der ausgelieferten Elemente. Router-Hardware, Firmware, WAN-/LAN-/Funk-Dienste, Web-Oberfläche, Fernwartungs-Agent, OTA-Dienst, Cloud-Endpunkte und ausgeschlossene Kunden-/ISP-Systeme.
- Q3 Sichere-Standardwerte-Testpaket. Keine gemeinsamen Standardzugangsdaten, WAN-Admin standardmäßig aus, signierte Updates, Downgrade-Ablehnung, Gast-Isolation, WPS-Entscheidung, gesperrte Debug-Ports.
- Q4 Schwachstellen-Handhabungsprozess. Öffentlicher Kontakt, Offenlegungsrichtlinie, Triage-Workflow, Komponenten-Hinweis-Überwachung und Meldebereitschaft für Warnungen, Folge-Meldungen und Abschlussberichte.
Sign-off gate: Fehlt ein Eintrag, wird das Release nicht signiert.
Wie wird der Router an Einführer, Händler, ISP und Betreiber übergeben?
Übergabe der Wirtschaftsakteure: Rollen und Seitenprüfungen
- 01 Hersteller / OEM. Verantwortet das Release-Paket: Erklärung, CE, Dossierindex, Supportfenster und Schwachstellen-Kontakt.
- 02 Einführer. Prüft Paket, CE, Dossierindex, Supportdatum und Schwachstellen-Kontakt und bestätigt, dass der erhaltene Build der bewertete Build ist: Funk-Ländereinstellungen, ISP-Profile, Fernwartungs-Zertifikate, App-Pairing und OTA-Endpunkte. Pausiert den Versand, wenn eines davon zweifelhaft ist.
- 03 Händler. Prüft sichtbare CE-Kennzeichnung, gelieferte Unterlagen, Support- und Aktualisierungszusagen und fügt keine Aussagen wie „Security Gateway", „Business Firewall" oder „Managed VPN Appliance" hinzu, die außerhalb der bewerteten Grenze liegen. Pausiert die Listung, wenn sie den Support übertreibt, der Erklärung widerspricht oder nach einer bekannten Schwachstelle weiter verkauft.
- 04 ISP oder Eigenmarke. Branding, Cloud-Management, Update-Verantwortung und Fernwartungs-Betrieb können je für sich Herstellerpflichten auslösen. Wer den Router unter eigenem Namen anbietet oder ihn wesentlich verändert (gebrandete Firmware, neue Cloud, neuer Aktualisierungskanal), wird zum Hersteller dieses Angebots, sodass die Lieferantendatei keinen Ersatz für die eigene Rollenanalyse ist.
- 05 Betreiber oder Abonnent. Empfängt Hinweise und Updates und meldet Probleme zurück. Kein Hersteller.
Seitenprüfung A. Das Mandat des Bevollmächtigten ist optional; existiert es, muss es schriftlich erfolgen und die Aufbewahrung der Erklärung und Dokumentation sowie die Zusammenarbeit mit Behörden abdecken. Ein Nicht-EU-Hersteller ohne Bevollmächtigten verwendet die Kaskade: Einführer, Händler, dann höchste Nutzerbasis. Ohne unionsansässigen Akteur in der Meldekette fällt der Meldepunkt an den Mitgliedstaat, in dem sich die meisten Nutzer befinden.
Seitenprüfung B. Ein Einführer oder Händler mit eigener Marke oder jeder wesentlich Verändernde wird zum Hersteller des betroffenen Angebots.
Häufig gestellte Fragen
Ist ein Router Klasse II, weil er eine Firewall hat?
Nicht standardmäßig. Ein normaler Router ist meist wichtige Klasse I. Es wird zur Klasse-II-Frage, wenn Firewall, Intrusion Detection oder Intrusion Prevention die Kernfunktion des Produkts ist.
Ist ein vom ISP gelieferter Router erfasst?
Ja, wenn er als Produkt mit digitalen Elementen auf den EU-Markt gebracht wird. Die praktische Schlüsselfrage ist, wer Hersteller der gebrandeten Firmware, des Supportzeitraums, des Aktualisierungskanals und des Schwachstellenprozesses ist.
Ist ein Router kritisch?
Nein. Verbraucher-Router, ISP-Modem-Router und Switches sind nicht kritisch, nur weil sie für den Netzzugang wichtig sind.
Ändert kommerzielle Open-Source-Router-Firmware die Antwort?
Sie kann es. Ein kommerziell geliefertes Firmware-Image oder eine Appliance-Distribution kann selbst ein Produkt mit digitalen Elementen sein. Der Hersteller sollte dokumentieren, was auf den Markt gebracht wird und wer Updates und Schwachstellen-Handhabung verantwortet.
Qualifiziert die Software sich tatsächlich als freie und Open-Source-Software und fällt sie in eine wichtige Kategorie, sieht der CRA eine spezifische Konformitätsoption vor, bei der die geforderte technische Dokumentation zum Zeitpunkt des Inverkehrbringens öffentlich ist. Wenden Sie diesen Weg nicht auf einen privaten ISP-Firmware-Fork oder eine kommerzielle Appliance an, nur weil sie Open-Source-Pakete enthält.
Bedeutet das Einhalten der RED-Cybersicherheitsfrist, dass ein Router bereits CRA-konform ist?
Nein. Seit dem 1. August 2025 erfüllt mit dem Internet verbundene Funkausrüstung die Cybersicherheitsanforderungen der Funkanlagenrichtlinie, und diese Kontrollen (sichere Standardwerte, Update-Integrität, Zugriffsschutz) sind die richtige Grundlage. Aber der CRA fügt einen breiteren Lebenszyklus hinzu: einen dokumentierten Schwachstellen-Handhabungsprozess, ein veröffentlichtes Supportende-Datum, standardmäßig sicher über das gesamte Produkt und Meldepflichten. Die RED-Cybersicherheits-Delegierte Verordnung wird ab dem 11. Dezember 2027 aufgehoben, wenn der CRA übernimmt.
Wiedervorlage-Anlass: Behandeln Sie die RED-Datei als Ausgangspunkt und gleichen Sie sie vor dem 11. Dezember 2027 mit den grundlegenden CRA-Anforderungen ab.
Welche harmonisierte Norm gilt für einen Router unter dem CRA?
Für die Funkanlagen-Phase ist die harmonisierte Reihe EN 18031, die auf ETSI EN 303 645 als Verbraucher-Baseline aufbaut. Die router-spezifische CRA-Norm in Vorbereitung ist ETSI EN 304 627 (Router, Modems und Switches), die auf Klasse I Punkt 12 abbildet. Sie ist noch ein Entwurf, bestätigen Sie also die zitierten Normen und etwaige Einschränkungen der Harmonisierung zum Zeitpunkt der Bewertung.
Konformitätseintrag: Ein kurzes Memo, das die genutzten Normen, die Version, jede Einschränkung, die nicht zum Produkt passt, und den resultierenden Konformitätsweg benennt.
Wird ein Managed Switch wie ein Router behandelt und fällt ein Unmanaged Switch in den Anwendungsbereich?
Ein Managed Switch besitzt eine Management-Ebene (Web-Oberfläche, CLI, SNMP/API, VLANs) und einen Firmware-Update-Pfad und wird daher normalerweise als wichtiges Netzwerk-Equipment der Klasse I mit eigenen Management-Ebenen-Nachweisen behandelt. Ein rein nicht verwalteter, nicht konfigurierbarer Switch ohne Management-Oberfläche, ohne Firmware-Update und ohne vernetzte Funktion benötigt eine fallspezifische Prüfung, ob er überhaupt ein Produkt mit digitalen Elementen ist.
Abgrenzungseintrag: Eine einzeilige Notiz je Switch-SKU, ob eine Management- oder Update-Oberfläche existiert.
Sind Mesh-WLAN-Kits ein Produkt oder mehrere?
Die Mesh-Knoten, die ein System bilden, sind normalerweise das Router-Produkt oder die Produktfamilie. Bewerten Sie das Kit wie ausgeliefert: den Controller-Knoten, die Satellitenknoten, den Onboarding-Fluss und das Mesh-Kontrollprotokoll. Inter-Knoten-Vertrauen und der Onboarding-Handshake sind Teil der Funk-Angriffsfläche.
Abgrenzungseintrag: Benennen Sie die Knoten im Kit, das Mesh-Kontrollprotokoll und die Onboarding-Methode im Abgrenzungsmemo.
Ist ein eigenständiges Modem oder ONT erfasst, wenn es nur überbrückt?
Ein für den Internetanschluss vorgesehenes Modem, Kabelmodem oder Glasfaser-ONT ist normalerweise wichtige Klasse I, auch im Bridge-Modus, weil die Internet-Modem-Funktion die Kernproduktfunktion ist und das Gerät weiterhin Firmware, einen Provisionierungskanal und oft einen Fernwartungs-Agenten hat. Bridge- versus Router-Modus verändert die Exposition, nicht die grundsätzliche Klassifizierung.
Abgrenzungseintrag: Erfassen Sie den Provisionierungskanal, den Fernwartungs-Agenten und ob Bridge- oder Router-Modus die bewertete Standardeinstellung ist.
Ist ein 4G- oder 5G-Mobil-Hotspot im Anwendungsbereich?
Ja. Mobilfunk-WAN bleibt Internetkonnektivität, sodass ein Mobil-Hotspot oder 4G/5G-Router normalerweise wichtige Klasse I ist. Der Mobilfunk-Provisionierungspfad und SIM-/eSIM-Handhabung sind Teil der WAN-Angriffsfläche.
Abgrenzungseintrag: Benennen Sie das Mobilfunkmodul, den Provisionierungspfad und den Management-Kanal.
Wie lange muss ein Router unterstützt und aktualisiert werden?
Der Supportzeitraum beträgt mindestens fünf Jahre, sofern die erwartete Nutzungsdauer nicht kürzer ist; viele Router und ISP-CPE laufen deutlich länger, daher sollte die Datei ein Fenster nennen, das der Hersteller tatsächlich liefern kann, und das Enddatum vor dem Kauf zeigen. Sicherheitsupdates sollten mindestens zehn Jahre nach Ausgabe abrufbar bleiben, oder für den Rest des Supportzeitraums, wenn dieser länger ist. Die allgemeinen Regeln finden Sie in den Leitfäden zum Supportzeitraum und zur Offenlegung des Supportendes.
Supporteintrag: Eine Supportzeitraum-Begründung für das Retail-SKU und für das ISP-gebrandete SKU, mit dem Enddatum, das beim Kauf und, wo machbar, in der Router-Oberfläche sichtbar ist.
Was zählt als sicheres Update für einen Router?
Ein signiertes Firmware-Image, geprüft über eine Secure-Boot-Kette, mit einem monotonen Versionszähler, sodass ein älterer verwundbarer Build nicht wieder installiert werden kann, und einem Recovery-Pfad, der ebenfalls unsignierte oder herabgestufte Images ablehnt. ISP-pushed und OEM-Updates müssen beide diesem Pfad folgen.
Test-Artefakt: Ein Verifizierungsprotokoll zum signierten Update, ein fehlgeschlagener Downgrade-Test und ein Recovery-Missbrauchstest für den genauen Firmware-Build.
Verändert TR-069- oder USP-Fernwartung die Produktgrenze?
Liefert der Hersteller oder ISP den Fernwartungskanal, liegt er innerhalb der Grenze und ist ein Flotten-Steuerungspfad, nicht nur eine Betreiberfunktion. Der Auto-Configuration-Server des Betreibers, der Verbindungsanfragemechanismus, der Befehlsumfang und das Zertifikatsvertrauen gehören alle in die Bewertung.
Evidence: Ein Inventar der Controller-Zertifikate und eine Befehlsumfang-Matrix, gebunden an das bewertete Betreiberprofil.
Wer ist Hersteller bei ISP-gebrandeter CPE?
Wer das Produkt unter eigenem Namen oder Markenzeichen auf den Markt bringt oder das bewertete Produkt wesentlich verändert. Ein ISP, der OEM-Hardware umbrandet, die Firmware forkt, die Management-Cloud betreibt oder den Aktualisierungskanal besitzt, kann Herstellerpflichten für dieses gebrandete SKU übernehmen, einschließlich des Schwachstellen-Meldekontakts.
Rolleneintrag: Eine schriftliche Aufteilung, wer Erklärung, Firmware-Branche, Aktualisierungskanal, Supportzeitraum und Meldekontakt verantwortet.
Welcher Nachweis sollte als Erstes von einem Routerhersteller erstellt werden?
Ein kurzes Klassifizierungs- und Abgrenzungsmemo für das genaue SKU: Router, Modem-Router, Mesh-Kit, Switch, Hotspot oder VPN-Router. Benennen Sie den WAN-Typ, den Funkstack, die lokale Admin-Oberfläche, den Fernwartungskanal, die Cloud-Dienste, die Aktualisierungsverantwortung, den Supportzeitraum und die ausgeschlossenen Systeme.
Klassifizierungseintrag: Ein einseitiges Memo, auf das Bedrohungsanalyse, Konformitätswegwahl, Einführerpaket und Supportzeitraum-Erklärung verweisen können.
Was, wenn nach dem Release eine Schwachstelle in der Router-Firmware gefunden wird?
Treffen Sie unverzüglich Korrekturmaßnahmen und seien Sie auf die Meldesequenz vorbereitet: eine 24-Stunden-Frühwarnung bei einer aktiv ausgenutzten Schwachstelle, eine 72-Stunden-Folgemeldung, ein Abschlussbericht, sobald eine Korrektur- oder Minderungsmaßnahme verfügbar ist, sowie Nutzerbenachrichtigung. Für einen Router ist die Korrekturmaßnahme meist ein signiertes Firmware-Update, das über die OEM-, ISP- und Eigenmarken-Branches verteilt wird, mit einer dokumentierten Ausnahme, wenn ein Branch denselben Fix nicht aufnehmen kann. Die allgemeine Meldemechanik finden Sie in den Leitfäden zur Schwachstellen-Handhabung und zur koordinierten Schwachstellen-Offenlegung.
Korrekturmaßnahmen-Eintrag: Betroffene Modelle und Firmware-Branches, das signierte Update-Artefakt, die Branch-Verbreitungs-Spur, der Nutzer-Hinweistext und die Meldungs-Referenz.
Wann sollte die Router-Bedrohungsanalyse aktualisiert werden?
Jedes Mal, wenn sich ein ausgelieferter Router so ändert, dass eine Vertrauensgrenze wandert: ein neuer WAN-Typ, ein neues Fernwartungsprofil, eine Änderung am WLAN- oder SoC-SDK, eine neue Cloud-Abhängigkeit, eine Mesh-Onboarding-Änderung, eine Änderung des Debug-Port-Verhaltens oder eine neue ISP-Branche. Eine Release-Notiz reicht nicht, wenn die Änderung einen Expositions- oder Autoritätspfad wieder öffnet. Meldepflichten gelten ab dem 11. September 2026, daher sollten Offenlegungsrichtlinie und einzelner Kontakt vor diesem Datum funktionieren.
Wiedervorlage-Anlass: Jede Änderung an WAN-Exposition, Funk-Standardwerten, Fernwartungs-Umfang, Aktualisierungspfad, Lieferantenkomponenten oder ISP-Branche öffnet das Abgrenzungsmemo und die Bedrohungsanalyse wieder.