PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,300
- Punkte für Reaktionen
- 1,761
- Punkte
- 113
Braucht AVM vielleicht eine andere "Update-Kultur"?
Hier rächt es sich halt, daß es bei AVM keine "Kultur für Updates" gibt (zumindest nicht für "maintenance updates") und der Kunde praktisch immer gezwungen wird, für eine sichere Firmware (in der er- und bekannte Sicherheitslücken gestopft wurden) auch zusätzliche neue Feature oder sogar den "Verlust" zuvor vorhandener Möglichkeiten in Kauf zu nehmen.
AVM geht offenbar davon aus, daß alles von dort kommende "Manna vom Himmel" wäre und der Kunde ja wohl kaum auf die Idee kommen könne, solche Gottesgeschenke abzulehnen. Das ist ein Standpunkt, den man zwar bei Sicherheitsverbesserungen und -korrekturen unterstützen und teilen sollte, aber ggü. dem bei AVM ausgebrochenen Feature-Wahn sollte man schon noch eine gesunde Skepsis wahren und nachdem AVM eben bei solchen Neuerungen wie dem WLAN-Steering hingegangen ist (gilt auch für PCP bei den Portweiterleitungen) und die gesamte Firmware umgekrempelt hat (egal, ob man nun WLAN-Steering verwendet oder nicht, der neue "lbd" als der zuständige Daemon arbeitet immer mit und offenbar nicht immer reibungslos bzw. unauffällig, auch wenn man zwei unterschiedliche SSID verwendet), hat man eben auch neue Fehler in zuvor funktionierende Subsysteme eingebaut.
Solange der Kunde bei der Wahl zwischen Sicherheit und funktionierenden Subsystemen sich nur für eines von beiden entscheiden kann, wird sich das wohl auch nicht mehr ändern. Wenn jemandem wirklich an einer Änderung dieser AVM-Strategie gelegen sein sollte, bleibt ihm praktisch nichts weiter, als den AVM-Support mit entsprechenden E-Mails zu bombardieren und diese Update-Politik dann auch zu kritisieren.
Was bringt das aber, wenn sich andere Kunden immer wieder dafür begeistern, was für tolle neue Feature AVM doch in die Firmware eingebaut hat und gar nicht schnell genug die nächste, ebenso schlechte Firmware-Version installieren können. Bei den Funktionen zur Verbesserung der Sicherheit gehöre sogar ich zu diesen "Jublern" - ich habe aber bisher auch eher selten gelesen, daß diese zusätzlichen Sicherheitsmerkmale am Ende dazu führen, daß andere Teile der Firmware nicht mehr korrekt arbeiten - von einigen "Maulereien" bei der Einführung (z.B. der 2FA) mal abgesehen, die muß man ertragen, wenn man Leute in ihrer "Wohlfühlzone" (das ging doch bisher immer, warum jetzt nicht mehr) aufschreckt.
Schaut man sich die - von AVM selbst so veröffentlichte - Liste der Änderungen in der 06.83 an (hier aus der Datei zur 7490), dann kann ja jeder mal für sich selbst überlegen, welche(n) der aufgeführten Punkte er wirklich gebraucht hätte und auf welche anderen er zugunsten einer stabilen und sicheren Firmware auch gut und gerne hätte verzichten können:
Bei mir genau zwei Punkte, von denen einer schon mal nicht richtig funktionieren will, weil ich die Reservierung von Bandbreite für das Heimnetz über das GUI nicht einstellen/aktivieren kann (113.06.83) - woran das liegt (auf anderen Boxen geht es), suche ich immer noch ("nqos:settings/regulation_queue" ist bei mir eine leere Menge).
Der andere Punkt wäre dann das "Plus an Sicherheit" und dahinter verbergen sich eben nicht nur die diversen Änderungen bei Anmeldungen, NAS-Services und beim Protokollieren von derartigen Zugriffen (die irgendwo auch unumgänglich waren, weil man zuvor klammheimlich als Angreifer auch mit "brute force" auf die Authentifizierung im FRITZ!OS losgehen und in aller Ruhe (schlechte) Kennwörter knacken konnte) und die Zwei-Faktor-Authentifizierung (die auch noch einiges an Lücken - hinsichtlich der damit geschützten Funktionen - aufweist), die von AVM als "Verbesserungen" geführt werden, sondern auch gefixte Sicherheitsprobleme. Eines davon hat dann heise.de wohl bei der SIP-Authentifizierung ausgemacht, wieweit das schon in der 06.63 enthalten war (das geht ja dann sicherlich um eine 6490), will ich jetzt nicht beurteilen, es gab auf alle Fälle andere Lücken.
Auf alles andere hätte ich persönlich nicht nur gut und gerne verzichten können, ich würde einiges dafür geben, das nicht automatisch mitnehmen zu müssen (in erster Linie das WLAN-Steering), wenn ich das "Plus an Sicherheit" haben möchte.
Zwar wird der Blick des Einzelnen auf diese neuen Funktionen auch immer davon getrübt, was er nun selbst von diesen Funktionen nutzen kann oder will, aber in erster Instanz ist ja so eine FRITZ!Box wohl immer noch ein IAD für Internetzugang und Telefonie, inkl. "Heimvernetzung". Da sind zwar irgendwelche Änderungen an AVM-Telefonen, DECT-ULE (HAN-FUN) und anderen "SmartHome"-Funktionen vielleicht ganz nett für die Kunden, die das auch benutzen wollen ... aber rein von der "Quantität" der - von AVM selbst als relevant angesehenen und entsprechend benannten - Änderungen entfällt 1/3 alleine auf diese Funktionen, die nun einmal mit der ursprünglichen Funktion eines Heim-Routers nur wenig zu tun haben und wenn das gleichzeitig ein Indikator für die Verteilung der eingesetzten Ressourcen (HR) bei der Weiterentwicklung und Fehlerkorrektur der Firmware sein sollte, wedelt hier irgendwo der Schwanz mit dem Hund und AVM muß sich auch entsprechende Fragen gefallen lassen, wenn die Geräte bei ihren Basisfunktionen schon patzen.
Da hilft es dann auch nicht, wenn man bei irgendwelchen Vergleichstests von einem Sieg zum nächsten jagt (seit dem ADAC-Skandal bin ich bei solchen Tests ohnehin immer skeptisch und auch bei so mancher "Leserwahl" soll es ja schon mal vorgekommen sein, daß das Ergebnis bereits im Vorfeld feststand) - nur weil die Konkurrenz noch schlechter ist und man als Einäugiger immer noch der König unter den Blinden bleibt.
Anstelle irgendwelcher neuen Feature in einer kommenden Version 7 sollte sich AVM lieber mal hinsetzen und die Hausaufgaben machen ... ich ahne schon mit Schrecken voraus, daß der Teil "Smart-Home" (und bei allen Anstrengungen ist das bisher - seit dem Ende von FHEM auf der FRITZ!Box - nur eine Schmalspurlösung, was AVM da zu bieten hat - zwei "Kategorien" von Sensoren/Aktoren, einmal schaltbare Steckdosen (gibt es seit > 10 Jahren von anderen Herstellern) und einmal Heizungsthermostate) noch weiter ausgebaut werden wird und immer mehr "Spielereien" in den Router einziehen werden, die mit seiner ursprünglichen Funktion nur am Rande zu tun haben.
Dafür wird auch dort vermutlich weiterhin der Media-Server gleich alles im Heimnetz ohne jede Authentifizierung zugänglich machen, was auf einem angeschlossenen USB-Speicher so vorhanden ist und der DNS-Server auch weiterhin jedem anfragenden Client, der nach einer Quelle für "Web Proxy Auto-Discovery" suchen sollte, die Adresse irgendeines Gerätes im LAN offerieren, das ihn davon überzeugen konnte (und das ist im Moment noch sehr leicht), es hieße jetzt "wpad.fritz.box.".
Wenn man tatsächlich bei AVM der Meinung ist, man müsse dem Kunden ständig irgendwelche neuen Funktionen "aufdrängeln", dann sollte man anderen Kunden auch die Wahl lassen, bei einer vorhergehenden Version ohne diese neuen "goodies" zu verweilen und ihn dann trotzdem nicht bei bekannten Fehlern und Sicherheitsproblemen im Regen stehen lassen. Das kann dann auch parallel gleich dazu führen, daß man das Fixen von Sicherheitsproblemen nicht immer wieder auf die lange Bank schiebt und es erst irgendwann bei der nächsten Firmware-Version "mitmacht" - so etwas gehört umgehend (mindestens alle drei Monate für die bis dahin bekannten Probleme) behoben. Nur dann, wenn der Hersteller tatsächlich der Meinung ist, daß ein Problem viel zu klein sei, um es in so einem Dreimonats-Update anzugehen, dann kann er sich ggf. Zeit lassen bis zum "nächsten großen Wurf".
Das trifft dann aber auch genau nur auf solche Probleme zu, die selbst bei ihrem umgehenden Bekanntwerden (bzw. ihrer Veröffentlichung) keine echte Gefahr bilden. Immerhin ist der Hersteller ja bereit, das Risiko (und das trägt am Ende auch der Kunde und nicht nur der Hersteller, dieser entscheidet aber nach Gusto für beide) bis zur nächsten Version in Kauf zu nehmen und die liegt i.d.R. in weiter Ferne, auch wenn irgendwelche internen "Fahrpläne" etwas anderes suggerieren wollen.
Und das ist es dann, was bei AVM am Ende fehlt und was ich mit der eingangs erwähnten "Kultur der Sicherheitsupdates" meinte ... es wird so lange verzögert und vertuscht bei bekannten Problemen, bis entweder die nächste Version wirklich mal "vor der Tür steht" innerhalb der nächsten drei Monate (das trifft dann bei einer neuen Firmware-Version pro Jahr in genau 25% der Fälle zu) oder bis es irgendwo - zuletzt bei heise.de - eine Meldung gibt, die man nicht mehr ignorieren kann.
Wenn man das als planmäßigen Prozess umsetzen würde (und jeder gemeldeten Lücke innerhalb kurzer Zeit wirklich den Fix gegenüberstellen würde, auch wenn man diese Fixes für das nächste Release sammelt - bisher hat man den Eindruck, daß man die Probleme sammelt und irgendwann fixt, wenn es gerade paßt und dann ist man eben gekniffen, wenn es gar nicht so leicht und damit noch termingerecht zu realisieren ist, wie man das eigentlich erwartet hatte), dann könnte man sich auch ein Beispiel an anderen Herstellern (z.B. Oracle) nehmen und regelmäßige Fehlerbehebungen publizieren.
Wenn es dann wirkllich mal keine Sicherheitsprobleme geben sollte und auch keine Fehlfunktionen zu beheben sind, dann kann man so ein Korrektur-Update ja auch mal ausfallen lassen. Wobei die Chancen dafür meist sicherlich eher schlecht stehen ... die zuletzt erschienene "offizielle" Firmware war m.W. die 141.06.83 für die 6490 und auch da hat es AVM eben geschafft, den Paketmitschnitt zu verhauen - das wird sicherlich nicht daran gelegen haben, daß die nun mal einfach so auf die Schnelle rausgehauen wurde. Das dürfte eine schlechte Qualitätskontrolle gewesen sein und bisher gab es eigentlich in so ziemlich jeder Version irgendwelche Kleinigkeiten, die zwar kein sofortiges Update erforderlich machten, wo aber die Kunden für eine Behebung dann doch wieder ein Jahr bis zur nächsten Version warten mußten. Ich gehe mal jede Wette ein, daß sich noch genug andere (für sich genommen unbedeutende) Probleme finden werden ... aber auch die könnte man eben mal mit solchen "Maintenance"-Updates angehen, wenn man nicht immer nur wie vernagelt auf ständig neue Feature-Updates fixiert wäre beim Hersteller.
Im Gegensatz zu neuen Features brauchen ja solche Fehlerbehebungen auch keine Labor-Zweige oder endlose "Beta-Reihen" ... allerdings tatsächlich so etwas wie eine Qualitätssicherung (dazu gehören dann vorgefertigte Test-Abläufe) und angesichts der immer wieder auftauchenden, bereits beim ersten Aufruf einer solchen Funktion zutage tretenden, Probleme, die bei solchen Tests nahezu zwangsläufig entdeckt würden, ist da das Drehbuch entweder nicht sehr "ausgefeilt" oder es gibt gar keines oder man läßt solche QS-Maßnahmen dann auch schon mal unter den Tisch fallen, wenn irgendwo die Ressourcen fehlen.
Anders kann ich mir jedenfalls derart offensichtliche Probleme wie beim Paketmitschnitt bei der 141.06.83 nicht erklären ... erst recht, da die Ursache des Problems schnell zu finden war und es sollte sogar bei einem automatischen Test aufgefallen sein, daß da die Firmware nicht korrekt reagiert; ergo kann es so einen Test eigentlich nicht gegeben haben oder dem Fehler wurde keine Beachtung geschenkt. Angesichts der Banalität der Ursache wäre es jedenfalls eine denkbar schlechte Entscheidung, einfach mit einem Schulterzucken über so ein gefundenes Problem hinwegzugehen und dann trotzdem zu veröffentlichen ... der Kunde muß sich jetzt wieder (voraussichtlich) ein Jahr lang mit so einem Problem herumschlagen und auch das ist wieder die Folge der fehlenden Update-Kultur.
Zumindest sehe ich das so, daß diese fehlt ... es muß schon einiges geschehen (z.B. muß der WLAN-Gastzugang mit einem Update komplett versagen), damit da noch einmal von AVM "nachgelegt" wird. Die Frage, wie diese Versionen mit dem Problem beim Gäste-WLAN nun wohl ihrerseits durch die QS gekommen sein mögen, traut man sich da schon gar nicht mehr zu stellen und wieso es nach einem solchen fehlerhaften, ersten Update dann einen Monat dauert, bis man das fehlerhafte Update durch ein neues ersetzt, wird wohl auch ewig das Geheimnis von AVM bleiben - spätestens nach zwei Wochen wußte man ja von dem Problem (steht auch hier irgendwo) und dann begann vermutlich das große Überlegen, wie weit und wie lange man da pokern könne.
Auch ich halte also "Enttäuschung" über AVM in gewisser Hinsicht für angebracht ... das gesamte Update-Gebahren paßt einfach nicht mehr in die heutige Zeit und so, wie AVM immer wieder hoch gelobt dafür wird, daß auch ältere Geräte noch lange neue Versionen erhalten (zumindest bei den "Mainstream-Modellen" ist das ja auch so), so sollten sich die Kunden dann auch überlegen, ob sie bei anderen Systemen (nehmen wir mal Windows-PCs oder meinetwegen Tablets) auch so langmütig wären, wenn deren Hersteller bekannte Security-Probleme nur einmal pro Jahr fixen würden.
Auch hier gilt sicherlich wieder, daß man bei anderen (Router-)Herstellern schon froh sein kann, wenn man überhaupt Updates kriegen sollte (wobei auch hier der Skandal nur groß und öffentlich genug sein muß, damit sich diese Firmen regen ... hatten wir gerade erst bei Asus und davor bei Netgear) ... aber die Kunden, die sich über solche Updates "freuen" und andere immer mit dem Argument "Dann kauf Dir doch 'nen China-Router, nirgendwo kriegst Du solange Updates, wie bei AVM." mundtot machen wollen, sollten sich auch einmal überlegen, ob sie das wirklich so lustig finden, wenn in ihrer FRITZ!Box (und Deutschland tendiert bei den Heim-Routern nun mal zu einer Monokultur, wenn die Zahlen stimmen) über Monate hinweg bekannte Sicherheitslücken klaffen und AVM sich darauf verläßt, daß deren Finder so lange still sind (und es vor allem niemand anderes findet, der das dann nicht an AVM meldet, sondern es ausnutzt), bis irgendwann in weiter Zukunft dann eine neue Version erscheinen wird.
Insofern sind die FRITZ!Boxen tatsächlich so etwas wie eine tickende Zeitbombe ... durch den nahezu identischen Aufbau sind von einem Problem eben auch (fast) immer gleich alle Modelle betroffen und wer sich noch an das Ding mit den Speedport-Routern der Telekom gegen Ende des letzten Jahres erinnern kann, der weiß vielleicht auch noch, daß von den verschiedenen Speedport-Modellen (die kommen ja auch von unterschiedlichen Herstellern) nur ein Teil für das Problem anfällig war und trotzdem "ein Beben" durch die Landschaft der Internetanschlüsse in Privathaushalten ging ... und das bei nur ~ 1 Mio. betroffener Geräte, wenn ich mich richtig erinnere.
Passiert so etwas bei AVM's FRITZ!Boxen, sind die Auswirkungen garantiert gravierender, weil es schon ein sehr spezielles Problem sein müßte, damit nicht alle FRITZ!Boxen betroffen sind. Da sollte man dann m.E. als Hersteller zumindest einen Notfallplan in der Schublade haben und wie man solche "emergency updates" jemals sicher fahren will (sofern es wirklich wieder brennen sollte), wenn man das nicht irgendwie zuvor "in Friedenszeiten" mal richtig ausprobiert hat (und regelmäßige Updates alle drei Monate "trainieren" dann eben auch die Kunden und FRITZ!Box-Besitzer), kann ich nicht wirklich verstehen.
So, wie das im Moment läuft (und das "Auto-Update" ist noch mal ein ganz anderes Kapitel, wo AVM sehr intransparent agiert), wirkt das auf mich wie die "Backup-Strategie" irgendeines Administrators, der sich zwar fleißig Gedanken um die Datensicherung macht und auch regelmäßig Backups anfertigen läßt - nur um dann im Falle eines Falles festzustellen, daß seine Restore-Strategie absolut nichts taugt bzw. daß der Restore-Prozess aus irgendwelchen Gründen so gar nicht funktioniert und er sich seine Backups alle dahin stecken kann, wo die Sonne niemals scheint. Hätte er das nur mal vorher ausprobiert, als er noch Gelegenheit zur Korrektur hatte ...
Wenn sich AVM bei diesen "notwendigen Updates" auch auf das "tatsächlich Notwendige" beschränken würde (das kann man aber natürlich nur dann, wenn man solche "maintenance updates" überhaupt bereithält und ein "emergency update" hätte sicherlich mehr Ähnlichkeiten mit "maintenance" als mit "feature updates"), hätten sicherlich die wenigsten Kunden etwas dagegen - aber dieser "Anspruch": "Wenn Du Sicherheit willst, mußt Du auch den restlichen Quatsch nehmen." (ich war fast versucht, "Quatsch" durch "Dreck" zu ersetzen, weil das in meinen Augen bei einigen Änderungen auch wahr wäre), der hat auch nichts mehr mit "Änderungen im Sinne des technischen Fortschritts vorbehalten" zu tun, weil solche Fortschritte (sofern es um die AVM-eigenen Funktionen geht) wohl etwas zu sehr im Auge des Betrachters (hier wohl des Herstellers) liegen (ich gehe bei eigenen Änderungen auch selten hin und deklariere die als Rückschritt).
Hier rächt es sich halt, daß es bei AVM keine "Kultur für Updates" gibt (zumindest nicht für "maintenance updates") und der Kunde praktisch immer gezwungen wird, für eine sichere Firmware (in der er- und bekannte Sicherheitslücken gestopft wurden) auch zusätzliche neue Feature oder sogar den "Verlust" zuvor vorhandener Möglichkeiten in Kauf zu nehmen.
AVM geht offenbar davon aus, daß alles von dort kommende "Manna vom Himmel" wäre und der Kunde ja wohl kaum auf die Idee kommen könne, solche Gottesgeschenke abzulehnen. Das ist ein Standpunkt, den man zwar bei Sicherheitsverbesserungen und -korrekturen unterstützen und teilen sollte, aber ggü. dem bei AVM ausgebrochenen Feature-Wahn sollte man schon noch eine gesunde Skepsis wahren und nachdem AVM eben bei solchen Neuerungen wie dem WLAN-Steering hingegangen ist (gilt auch für PCP bei den Portweiterleitungen) und die gesamte Firmware umgekrempelt hat (egal, ob man nun WLAN-Steering verwendet oder nicht, der neue "lbd" als der zuständige Daemon arbeitet immer mit und offenbar nicht immer reibungslos bzw. unauffällig, auch wenn man zwei unterschiedliche SSID verwendet), hat man eben auch neue Fehler in zuvor funktionierende Subsysteme eingebaut.
Solange der Kunde bei der Wahl zwischen Sicherheit und funktionierenden Subsystemen sich nur für eines von beiden entscheiden kann, wird sich das wohl auch nicht mehr ändern. Wenn jemandem wirklich an einer Änderung dieser AVM-Strategie gelegen sein sollte, bleibt ihm praktisch nichts weiter, als den AVM-Support mit entsprechenden E-Mails zu bombardieren und diese Update-Politik dann auch zu kritisieren.
Was bringt das aber, wenn sich andere Kunden immer wieder dafür begeistern, was für tolle neue Feature AVM doch in die Firmware eingebaut hat und gar nicht schnell genug die nächste, ebenso schlechte Firmware-Version installieren können. Bei den Funktionen zur Verbesserung der Sicherheit gehöre sogar ich zu diesen "Jublern" - ich habe aber bisher auch eher selten gelesen, daß diese zusätzlichen Sicherheitsmerkmale am Ende dazu führen, daß andere Teile der Firmware nicht mehr korrekt arbeiten - von einigen "Maulereien" bei der Einführung (z.B. der 2FA) mal abgesehen, die muß man ertragen, wenn man Leute in ihrer "Wohlfühlzone" (das ging doch bisher immer, warum jetzt nicht mehr) aufschreckt.
Schaut man sich die - von AVM selbst so veröffentlichte - Liste der Änderungen in der 06.83 an (hier aus der Datei zur 7490), dann kann ja jeder mal für sich selbst überlegen, welche(n) der aufgeführten Punkte er wirklich gebraucht hätte und auf welche anderen er zugunsten einer stabilen und sicheren Firmware auch gut und gerne hätte verzichten können:
- ab 6.83: Notwendige Anpassung an Veränderungen im Telefonnetz
- ab 6.80: Mächtiges WLAN: Band Steering
- Reservierung der Datenraten
- Erweiterte Smart-Home-Funktionen und mehr für MyFRITZ!
- FRITZ!Fon: Neue Startbildschirme und ein Nachtmodus
- Ein Plus an Sicherheit und Netzanpassungen
Bei mir genau zwei Punkte, von denen einer schon mal nicht richtig funktionieren will, weil ich die Reservierung von Bandbreite für das Heimnetz über das GUI nicht einstellen/aktivieren kann (113.06.83) - woran das liegt (auf anderen Boxen geht es), suche ich immer noch ("nqos:settings/regulation_queue" ist bei mir eine leere Menge).
Der andere Punkt wäre dann das "Plus an Sicherheit" und dahinter verbergen sich eben nicht nur die diversen Änderungen bei Anmeldungen, NAS-Services und beim Protokollieren von derartigen Zugriffen (die irgendwo auch unumgänglich waren, weil man zuvor klammheimlich als Angreifer auch mit "brute force" auf die Authentifizierung im FRITZ!OS losgehen und in aller Ruhe (schlechte) Kennwörter knacken konnte) und die Zwei-Faktor-Authentifizierung (die auch noch einiges an Lücken - hinsichtlich der damit geschützten Funktionen - aufweist), die von AVM als "Verbesserungen" geführt werden, sondern auch gefixte Sicherheitsprobleme. Eines davon hat dann heise.de wohl bei der SIP-Authentifizierung ausgemacht, wieweit das schon in der 06.63 enthalten war (das geht ja dann sicherlich um eine 6490), will ich jetzt nicht beurteilen, es gab auf alle Fälle andere Lücken.
Auf alles andere hätte ich persönlich nicht nur gut und gerne verzichten können, ich würde einiges dafür geben, das nicht automatisch mitnehmen zu müssen (in erster Linie das WLAN-Steering), wenn ich das "Plus an Sicherheit" haben möchte.
Zwar wird der Blick des Einzelnen auf diese neuen Funktionen auch immer davon getrübt, was er nun selbst von diesen Funktionen nutzen kann oder will, aber in erster Instanz ist ja so eine FRITZ!Box wohl immer noch ein IAD für Internetzugang und Telefonie, inkl. "Heimvernetzung". Da sind zwar irgendwelche Änderungen an AVM-Telefonen, DECT-ULE (HAN-FUN) und anderen "SmartHome"-Funktionen vielleicht ganz nett für die Kunden, die das auch benutzen wollen ... aber rein von der "Quantität" der - von AVM selbst als relevant angesehenen und entsprechend benannten - Änderungen entfällt 1/3 alleine auf diese Funktionen, die nun einmal mit der ursprünglichen Funktion eines Heim-Routers nur wenig zu tun haben und wenn das gleichzeitig ein Indikator für die Verteilung der eingesetzten Ressourcen (HR) bei der Weiterentwicklung und Fehlerkorrektur der Firmware sein sollte, wedelt hier irgendwo der Schwanz mit dem Hund und AVM muß sich auch entsprechende Fragen gefallen lassen, wenn die Geräte bei ihren Basisfunktionen schon patzen.
Da hilft es dann auch nicht, wenn man bei irgendwelchen Vergleichstests von einem Sieg zum nächsten jagt (seit dem ADAC-Skandal bin ich bei solchen Tests ohnehin immer skeptisch und auch bei so mancher "Leserwahl" soll es ja schon mal vorgekommen sein, daß das Ergebnis bereits im Vorfeld feststand) - nur weil die Konkurrenz noch schlechter ist und man als Einäugiger immer noch der König unter den Blinden bleibt.
Anstelle irgendwelcher neuen Feature in einer kommenden Version 7 sollte sich AVM lieber mal hinsetzen und die Hausaufgaben machen ... ich ahne schon mit Schrecken voraus, daß der Teil "Smart-Home" (und bei allen Anstrengungen ist das bisher - seit dem Ende von FHEM auf der FRITZ!Box - nur eine Schmalspurlösung, was AVM da zu bieten hat - zwei "Kategorien" von Sensoren/Aktoren, einmal schaltbare Steckdosen (gibt es seit > 10 Jahren von anderen Herstellern) und einmal Heizungsthermostate) noch weiter ausgebaut werden wird und immer mehr "Spielereien" in den Router einziehen werden, die mit seiner ursprünglichen Funktion nur am Rande zu tun haben.
Dafür wird auch dort vermutlich weiterhin der Media-Server gleich alles im Heimnetz ohne jede Authentifizierung zugänglich machen, was auf einem angeschlossenen USB-Speicher so vorhanden ist und der DNS-Server auch weiterhin jedem anfragenden Client, der nach einer Quelle für "Web Proxy Auto-Discovery" suchen sollte, die Adresse irgendeines Gerätes im LAN offerieren, das ihn davon überzeugen konnte (und das ist im Moment noch sehr leicht), es hieße jetzt "wpad.fritz.box.".
Wenn man tatsächlich bei AVM der Meinung ist, man müsse dem Kunden ständig irgendwelche neuen Funktionen "aufdrängeln", dann sollte man anderen Kunden auch die Wahl lassen, bei einer vorhergehenden Version ohne diese neuen "goodies" zu verweilen und ihn dann trotzdem nicht bei bekannten Fehlern und Sicherheitsproblemen im Regen stehen lassen. Das kann dann auch parallel gleich dazu führen, daß man das Fixen von Sicherheitsproblemen nicht immer wieder auf die lange Bank schiebt und es erst irgendwann bei der nächsten Firmware-Version "mitmacht" - so etwas gehört umgehend (mindestens alle drei Monate für die bis dahin bekannten Probleme) behoben. Nur dann, wenn der Hersteller tatsächlich der Meinung ist, daß ein Problem viel zu klein sei, um es in so einem Dreimonats-Update anzugehen, dann kann er sich ggf. Zeit lassen bis zum "nächsten großen Wurf".
Das trifft dann aber auch genau nur auf solche Probleme zu, die selbst bei ihrem umgehenden Bekanntwerden (bzw. ihrer Veröffentlichung) keine echte Gefahr bilden. Immerhin ist der Hersteller ja bereit, das Risiko (und das trägt am Ende auch der Kunde und nicht nur der Hersteller, dieser entscheidet aber nach Gusto für beide) bis zur nächsten Version in Kauf zu nehmen und die liegt i.d.R. in weiter Ferne, auch wenn irgendwelche internen "Fahrpläne" etwas anderes suggerieren wollen.
Und das ist es dann, was bei AVM am Ende fehlt und was ich mit der eingangs erwähnten "Kultur der Sicherheitsupdates" meinte ... es wird so lange verzögert und vertuscht bei bekannten Problemen, bis entweder die nächste Version wirklich mal "vor der Tür steht" innerhalb der nächsten drei Monate (das trifft dann bei einer neuen Firmware-Version pro Jahr in genau 25% der Fälle zu) oder bis es irgendwo - zuletzt bei heise.de - eine Meldung gibt, die man nicht mehr ignorieren kann.
Wenn man das als planmäßigen Prozess umsetzen würde (und jeder gemeldeten Lücke innerhalb kurzer Zeit wirklich den Fix gegenüberstellen würde, auch wenn man diese Fixes für das nächste Release sammelt - bisher hat man den Eindruck, daß man die Probleme sammelt und irgendwann fixt, wenn es gerade paßt und dann ist man eben gekniffen, wenn es gar nicht so leicht und damit noch termingerecht zu realisieren ist, wie man das eigentlich erwartet hatte), dann könnte man sich auch ein Beispiel an anderen Herstellern (z.B. Oracle) nehmen und regelmäßige Fehlerbehebungen publizieren.
Wenn es dann wirkllich mal keine Sicherheitsprobleme geben sollte und auch keine Fehlfunktionen zu beheben sind, dann kann man so ein Korrektur-Update ja auch mal ausfallen lassen. Wobei die Chancen dafür meist sicherlich eher schlecht stehen ... die zuletzt erschienene "offizielle" Firmware war m.W. die 141.06.83 für die 6490 und auch da hat es AVM eben geschafft, den Paketmitschnitt zu verhauen - das wird sicherlich nicht daran gelegen haben, daß die nun mal einfach so auf die Schnelle rausgehauen wurde. Das dürfte eine schlechte Qualitätskontrolle gewesen sein und bisher gab es eigentlich in so ziemlich jeder Version irgendwelche Kleinigkeiten, die zwar kein sofortiges Update erforderlich machten, wo aber die Kunden für eine Behebung dann doch wieder ein Jahr bis zur nächsten Version warten mußten. Ich gehe mal jede Wette ein, daß sich noch genug andere (für sich genommen unbedeutende) Probleme finden werden ... aber auch die könnte man eben mal mit solchen "Maintenance"-Updates angehen, wenn man nicht immer nur wie vernagelt auf ständig neue Feature-Updates fixiert wäre beim Hersteller.
Im Gegensatz zu neuen Features brauchen ja solche Fehlerbehebungen auch keine Labor-Zweige oder endlose "Beta-Reihen" ... allerdings tatsächlich so etwas wie eine Qualitätssicherung (dazu gehören dann vorgefertigte Test-Abläufe) und angesichts der immer wieder auftauchenden, bereits beim ersten Aufruf einer solchen Funktion zutage tretenden, Probleme, die bei solchen Tests nahezu zwangsläufig entdeckt würden, ist da das Drehbuch entweder nicht sehr "ausgefeilt" oder es gibt gar keines oder man läßt solche QS-Maßnahmen dann auch schon mal unter den Tisch fallen, wenn irgendwo die Ressourcen fehlen.
Anders kann ich mir jedenfalls derart offensichtliche Probleme wie beim Paketmitschnitt bei der 141.06.83 nicht erklären ... erst recht, da die Ursache des Problems schnell zu finden war und es sollte sogar bei einem automatischen Test aufgefallen sein, daß da die Firmware nicht korrekt reagiert; ergo kann es so einen Test eigentlich nicht gegeben haben oder dem Fehler wurde keine Beachtung geschenkt. Angesichts der Banalität der Ursache wäre es jedenfalls eine denkbar schlechte Entscheidung, einfach mit einem Schulterzucken über so ein gefundenes Problem hinwegzugehen und dann trotzdem zu veröffentlichen ... der Kunde muß sich jetzt wieder (voraussichtlich) ein Jahr lang mit so einem Problem herumschlagen und auch das ist wieder die Folge der fehlenden Update-Kultur.
Zumindest sehe ich das so, daß diese fehlt ... es muß schon einiges geschehen (z.B. muß der WLAN-Gastzugang mit einem Update komplett versagen), damit da noch einmal von AVM "nachgelegt" wird. Die Frage, wie diese Versionen mit dem Problem beim Gäste-WLAN nun wohl ihrerseits durch die QS gekommen sein mögen, traut man sich da schon gar nicht mehr zu stellen und wieso es nach einem solchen fehlerhaften, ersten Update dann einen Monat dauert, bis man das fehlerhafte Update durch ein neues ersetzt, wird wohl auch ewig das Geheimnis von AVM bleiben - spätestens nach zwei Wochen wußte man ja von dem Problem (steht auch hier irgendwo) und dann begann vermutlich das große Überlegen, wie weit und wie lange man da pokern könne.
Auch ich halte also "Enttäuschung" über AVM in gewisser Hinsicht für angebracht ... das gesamte Update-Gebahren paßt einfach nicht mehr in die heutige Zeit und so, wie AVM immer wieder hoch gelobt dafür wird, daß auch ältere Geräte noch lange neue Versionen erhalten (zumindest bei den "Mainstream-Modellen" ist das ja auch so), so sollten sich die Kunden dann auch überlegen, ob sie bei anderen Systemen (nehmen wir mal Windows-PCs oder meinetwegen Tablets) auch so langmütig wären, wenn deren Hersteller bekannte Security-Probleme nur einmal pro Jahr fixen würden.
Auch hier gilt sicherlich wieder, daß man bei anderen (Router-)Herstellern schon froh sein kann, wenn man überhaupt Updates kriegen sollte (wobei auch hier der Skandal nur groß und öffentlich genug sein muß, damit sich diese Firmen regen ... hatten wir gerade erst bei Asus und davor bei Netgear) ... aber die Kunden, die sich über solche Updates "freuen" und andere immer mit dem Argument "Dann kauf Dir doch 'nen China-Router, nirgendwo kriegst Du solange Updates, wie bei AVM." mundtot machen wollen, sollten sich auch einmal überlegen, ob sie das wirklich so lustig finden, wenn in ihrer FRITZ!Box (und Deutschland tendiert bei den Heim-Routern nun mal zu einer Monokultur, wenn die Zahlen stimmen) über Monate hinweg bekannte Sicherheitslücken klaffen und AVM sich darauf verläßt, daß deren Finder so lange still sind (und es vor allem niemand anderes findet, der das dann nicht an AVM meldet, sondern es ausnutzt), bis irgendwann in weiter Zukunft dann eine neue Version erscheinen wird.
Insofern sind die FRITZ!Boxen tatsächlich so etwas wie eine tickende Zeitbombe ... durch den nahezu identischen Aufbau sind von einem Problem eben auch (fast) immer gleich alle Modelle betroffen und wer sich noch an das Ding mit den Speedport-Routern der Telekom gegen Ende des letzten Jahres erinnern kann, der weiß vielleicht auch noch, daß von den verschiedenen Speedport-Modellen (die kommen ja auch von unterschiedlichen Herstellern) nur ein Teil für das Problem anfällig war und trotzdem "ein Beben" durch die Landschaft der Internetanschlüsse in Privathaushalten ging ... und das bei nur ~ 1 Mio. betroffener Geräte, wenn ich mich richtig erinnere.
Passiert so etwas bei AVM's FRITZ!Boxen, sind die Auswirkungen garantiert gravierender, weil es schon ein sehr spezielles Problem sein müßte, damit nicht alle FRITZ!Boxen betroffen sind. Da sollte man dann m.E. als Hersteller zumindest einen Notfallplan in der Schublade haben und wie man solche "emergency updates" jemals sicher fahren will (sofern es wirklich wieder brennen sollte), wenn man das nicht irgendwie zuvor "in Friedenszeiten" mal richtig ausprobiert hat (und regelmäßige Updates alle drei Monate "trainieren" dann eben auch die Kunden und FRITZ!Box-Besitzer), kann ich nicht wirklich verstehen.
So, wie das im Moment läuft (und das "Auto-Update" ist noch mal ein ganz anderes Kapitel, wo AVM sehr intransparent agiert), wirkt das auf mich wie die "Backup-Strategie" irgendeines Administrators, der sich zwar fleißig Gedanken um die Datensicherung macht und auch regelmäßig Backups anfertigen läßt - nur um dann im Falle eines Falles festzustellen, daß seine Restore-Strategie absolut nichts taugt bzw. daß der Restore-Prozess aus irgendwelchen Gründen so gar nicht funktioniert und er sich seine Backups alle dahin stecken kann, wo die Sonne niemals scheint. Hätte er das nur mal vorher ausprobiert, als er noch Gelegenheit zur Korrektur hatte ...
Wenn sich AVM bei diesen "notwendigen Updates" auch auf das "tatsächlich Notwendige" beschränken würde (das kann man aber natürlich nur dann, wenn man solche "maintenance updates" überhaupt bereithält und ein "emergency update" hätte sicherlich mehr Ähnlichkeiten mit "maintenance" als mit "feature updates"), hätten sicherlich die wenigsten Kunden etwas dagegen - aber dieser "Anspruch": "Wenn Du Sicherheit willst, mußt Du auch den restlichen Quatsch nehmen." (ich war fast versucht, "Quatsch" durch "Dreck" zu ersetzen, weil das in meinen Augen bei einigen Änderungen auch wahr wäre), der hat auch nichts mehr mit "Änderungen im Sinne des technischen Fortschritts vorbehalten" zu tun, weil solche Fortschritte (sofern es um die AVM-eigenen Funktionen geht) wohl etwas zu sehr im Auge des Betrachters (hier wohl des Herstellers) liegen (ich gehe bei eigenen Änderungen auch selten hin und deklariere die als Rückschritt).