Modemzwang bei Cablecom, Routerfreiheit bei Sunrise

Foto: Plastikkiste mit Computerzubehör

In der Schweiz kennt Swisscom als führende Anbieterin für Internet-Zugang grundsätzlich keinen Modem- oder Routerzwang. Mit Cablecom und Sunrise haben nun zwei weitere grosse Schweizer Anbieter für Internet-Zugang meine entsprechenden Fragen beantwortet:

Bei Sunrise besteht demnach für den Internet-Zugang grundsätzlich kein Modem- oder Routerzwang. Bei Cablecom hingegen müssen Konsumenten für den Internet-Zugang immer Modems und Router von Cablecom verwendet werden.

Cablecom

Bei Cablecom müssen in jedem Fall Modems und Router verwendet werden, die Cablecom zur Verfügung stellt. Dieser Modem- und Routerzwang dürfte dadurch bedingt sein, dass der Internet-Zugang mit DOCSIS über das Kabelfernseh-Netz erfolgt und entsprechende Kabelmodems oder -router im Handel für Endnutzer gängigerweise gar nicht erhältlich sind. Hinter dem Kabelmodem können Cablecom-Kunden eigene Router – beispielsweise für ein lokales WLAN – verwenden, deren Zugangsdaten für den Administrationszugriff Cablecom nicht kennt. Das Kabelmodem dient in erster Linie als Gateway zwischen dem lokalen Netzwerk auf Kundenseite und dem Netz von Cablecom für den Internet-Zugang, wird aber letztlich immer durch Cablecom kontrolliert.

Zugangsdaten für den Administrationsgriff auf ihre Modems und Router bei den Kunden speichert Cablecom nach eigenen Angaben nicht und kann sie deshalb auch nicht an Behörden oder andere Dritte weitergeben. Cablecom kann aber ohne Zweifel auf die eigenen Modems und Router im eigenen Kabelfernseh-Netz zugreifen.

Sunrise

Bei Sunrise besteht für den reinen Internet-Zugang kein Modem- oder Routerzwang: «[Es] können auch andere von Swisscom zertifizierte Geräte genutzt werden. Dann muss der Kunde einfach die Zugangsdaten selbst im Interface für Modem oder Router eingeben.» Für Sunrise-eigene Dienste wie Sunrise Internet Everywhere (mit Internet-Telefonie) sowie Sunrise TV (Fernsehangebot) müssen – wie bei den vergleichbaren Swisscom-eigenen Diensten – Modems oder Router von Sunrise verwendet werden. Die erwähnte Zertifizierung durch Swisscom dürfte Sunrise im Alltag nicht überprüfen, sofern es nicht zu Störungen kommt.

Die Zugangsdaten für den Administrationszugriff auf Modems oder Router – auch eigene – kennt Sunrise grundsätzlich nicht. Kunden, die ihr entsprechendes Passwort vergessen haben, müssen das Modem oder den Router zurücksetzen. Lediglich bei der Inbetriebnahme von Sunrise-eigenen Modems oder Routern im xDSL-Netz von Sunrise werden die xDSL-Zugangsdaten einmalig gepusht, doch ist standardmässig vorgesehen, dass die Zugangsdaten für den Administrationszugriff durch die Kunden geändert werden.

Für den Schutz von Daten im Allgemeinen verweist Sunrise auf die eigenen Sicherheitsvorkehrungen:

«Sunrise hat ein umfangreiches Regelwerk zum Schutz der Daten und Systeme. Das Regelwerk und dessen Einhaltung werden laufend durch interne und externe Spezialisten überprüft.

Aus Vertraulichkeitsgründen können wir die genauen und detaillierten Schutzmassnahmen nicht offenlegen. […] Sunrise [verfügt] über einen kontinuierlichen Verbesserungsprozess im Zusammenhang mit IT-Sicherheit […], um unseren hohen Anforderungen und Erwartungen an die Datensicherheit gerecht zu werden. Ferner lassen wir durch externe Audits sicherstellen, dass Sunrise die Datensicherheit wahren kann.»

Zugangsdaten für den Administrationszugriff, die Sunrise nicht kennt, kann Sunrise auch nicht an Behörden oder Dritte weitergeben. Sunrise betont aber, sich an die entsprechenden gesetzlichen Bestimmungen in der Schweiz zu halten, das heisst Sunrise ist genauso wie andere Anbieter für Internet-Zugang zur Herausgabe von Nutzerdaten an entsprechend befugte Behörden verpflichtet, gibt solche Nutzerdaten aber nicht an Dritte weiter.

Fazit

Bei Cablecom und Sunrise gilt genauso wie bei Swisscom, dass Konsumenten ihre eigene digitale Haustüre so weit wie möglich selbst kontrollieren sollten:

Konsumenten, die ein Modem oder einen Router selbst konfigurieren können, steht bei Sunrise die Nutzung eigener Modems oder Router für den reinen Internet-Zugang offen.

Bei Cablecom hingegen besteht ein Modem- beziehungsweise Routerzwang, das heisst Cablecom kontrolliert Kabelmodem oder -router. Wer Cablecom diesbezüglich nicht vertrauen möchte, muss eigene Schutzmassnahmen betreffen – beispielsweise mit einem verschlüsselten Tunnel zwischen dem eigenen lokalen Netzwerk und einem Endpunkt im Internet jenseits von Cablecom.

Bild: Flickr/Frankie Roberto, CC BY 2.0 (generisch)-Lizenz.

10 Kommentare

  1. Wer als Privater über ein Modem mit proprietärer Software ans Internet angeschlossen ist, tut in jedem Fall gut daran, dahinter einen zweiten Firewall vorzusehen. Vorzugsweise mit Open Source Firmware, oder dann ein verbreitetes Produkt eines zweiten, anderen Herstellers.

    Doppelt genäht hält (leider) auch hier besser. Die Kosten für das kleine Kästchen sind marginal und eine gute Investition in die eigene Sicherheit.

    Die Firewalls in Docsis Modems sind öfters sehr unsicher eingestellt. Das o.g. Fazit, dass man dann einen VPN-Tunnel einrichten müsse führt in die Irre…

      1. Wenn z.B. das mit dem Internet (über TV-Kabel verbundene) Modem kompromittiert ist, kann man wie im Blog beschrieben alles im lokalen (Heim) Netzwerk abfischen.

        Wenn es vom o.g. Modem nicht direkt ins lokale Netz geht sondern zuerst in ein weiteres Kästchen mit Firewall und erst von dort ins lokale Netz, müsste für das Eindringen zusätzlich auch dieses Kästchen kompromittiert werden.

        Wenn auf diesem zweiten Kästchen eine verbreitete und von vielen Augen kontrollierte OpenSource Firewall läuft, ist dies praktisch unmöglich.

  2. Hallo,
    irgendwie verstehe ich das nicht so recht. Was versteht man unter «reinem Internetzugang» ?
    Ist das Angebot von Sunrise `Internet Everywhere` also kein reiner Internetzugang?
    Ich nutze den Tarif Internet Everywhere «start» und habe sozusagen einen Routerzwang. Am Telefon sagt man mir ich könne keinen anderen Router benutzen da man nun keine Zugangsdaten eingeben bräuchte.
    Meine Zugangsdaten können mir die Dame auch nicht geben, da man an diese nicht rankommen würde.

    Können Sie mir dazu etwas sagen?
    Kann ich wohl doch meine Daten einfordern?

    Grüsse

  3. Einen Hinweis vielleicht noch zu Cabelcom.

    Das Modem ist verpflichtend. Allerdings kann man es problemlos auf «Durchzug» umstellen.
    Das heisst, es funktioniert lediglich als Bridge ins Kabelnetzwerk.

    An den Ports können mehrere Geräte angeschlossen werden. Die werden jeweils mit einer eigenen externen IP Adresse versorgt. Das geht auch dann, wenn ein VOIP Anschluss verwendet wird. Dieser lässt sich ganz normal am Cablecom-Modem betreiben.

    Es herrscht demnach zwar ein Modemzwang um die physische Verbindung via Kabel herzustellen, danach ist man jedoch völlig frei.

    1. @Marcel Baur:

      Für jene, die ein besseres Kabelmodem, oder nur ein Gerät einsetzen möchten, ist ein solcher Modemzwang dennoch unbefriedigend. Überrascht bin ich, dass jedes Gerät, das direkt am Kabelmodem angeschlossen wird, eine eigene IP-Adresse erhält. Oder hat Cablecom inzwischen auf IPv6 gewechselt?

  4. Du bekommst bis zu 5 IPv4 Adressen (evtl. sogar mehr) hinter denen du dann beliebige Router einsetzen oder im Prinzip auch einen Rechner transparent ins Netz stellen kannst.
    Mit 5 gleichzeitigen Anbindungen hab ich es schon getestet. Funktioniert sehr gut.
    Das WiFree basiert ja auf dem selben Prinzip. Da wird einfach eine IP für das WLAN Modul im Modem zur Verfügung gestellt.
    Meine Konfiguration bezieht aktuell 3 IPv4 Adressen. 1x Mein Router fürs private LAN, 1x für einen Guest-Zugang und 1x für WiFree
    Für einen Grossteil der Kunden dürfte sich das Setting jedoch nicht auf den ersten Blick erschliessen. Die Bridge-Funktion ist eher etwas versteckt und nicht selbsterklärend beschriftet.

  5. Sorry, aber was sie hier schreiben, ist nicht richtig.
    CC hat keinen Router Zwang, natürlich muss man das Modem von CC verwenden, was für jeden verständlich sein sollte, schliesslich erhält das Modem auch von CC seine Konfiguration fürs DOCSIS Netz.

    «beispielsweise mit einem verschlüsselten Tunnel zwischen dem eigenen lokalen Netzwerk und einem Endpunkt im Internet jenseits von Cablecom.»

    Das ist kompletter Blödsinn. Egal welcher Anbieter, den Datenverkehr abhören kann jeder, auch mit eigenem Modem. Was den internen Datenverkehr im eigenen Netz angeht, sieht das etwas anders auch, und genau hier ist die Swisscom keineswegs besser als CC mit der Horizon Box. Abgesehen davon, werden Webseiten(https), vom Rechner weg verschlüsselt, es ist also komplett egal ob nach dem Modem abgehört werden kann.

    Ich würde empfehlen, den Windows Schrott vom Rechner zu entfernen, das ist ein erster Schritt in Richtung Privatsphäre. Sie können absichern was sie sollen, wenn sie den Feind im eigenen Bett haben.

    1. «CC hat keinen Router Zwang, natürlich muss man das Modem von CC verwenden, was für jeden verständlich sein sollte, schliesslich erhält das Modem auch von CC seine Konfiguration fürs DOCSIS Netz.»

      Genau das ist das Problem, man kriegt die entsprechenden Daten nicht, das heisst selbst wenn man selber ein entsprechendes Modem kaufen könnte, könnte man es nicht nutzen. Man ist also gezwungen das von Cablecom angebotene zu nutzen.
      Kein Routerzwang würde bedeuten, man kriegt die Daten auf Anfrage einfach raus und muss diese dann halt selber eintragen.

      Für andere die eventuell sonst noch auf diesen Beitrag stossen, bei M-Budget DSL gibt es auch einen Routerzwang, nach meinen Recherchen gab es bei früheren Modems noch die Möglichkeit die benötigten Daten auszulesen, der «Fehler» wurde aber anscheinend bei späteren Firmware versionen bzw. neueren Geräten «behoben».

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.