Aktiver ONT des Glasfaseranbieters (Provider-ONT) oder kundeneigene Fritzbox mit integriertem ONT (Fiber-Fritzbox)?

Olga · 14. Januar 2025 um 14:23

Wir sollen demnächst Glasfaser bekommen und da kommen doch einige technische Datenschutzfragen auf:

A) Aktiver ONT des Glasfaseranbieters (Provider-ONT) oder kundeneigene Fritzbox mit integriertem ONT (Fiber-Fritzbox) ?

Möglichkeit 1: Provider-ONT

a)
Der Glasfaseranbieter installiert bei uns als Kunden seinen vorkonfigurierten ONT (Optical Network Termination) mit eigener Stromversorgung am Ende der Glasfaserleitung. Es heißt auch „optischer Netzwerkabschluss“ oder ONU: Optical Network Unit.

Das ONT ist also ein Glasfasermodem, das manche auch „Glasfaserbox“ nennen. Das aktive ONT wandelt die optischen Signale der Glasfaser in elektrische Signale um. Das ONT hat einen LAN-Ausgang und kann über den WAN-Port direkt mit einem Router verbunden werden. Ein spezieller Glasfaserrouter ist somit nicht nötig, eine Fritzbox reicht.

b)
Der Glasfaseranbieter bietet auch an, vorkonfigurierte Fritzboxen 7530 AX zu mieten. Die haben dann einen TR-069 Fernzugriff und werden per Netzwerkkabel an den aktiven ONT angeschlossen.

Möglichkeit 2: kundeneigene Fiber-Fritzbox

Ich tendiere zu einer eigenen (nicht gemieteten) Fritzbox im Kundeneigentum mit integriertem ONT.

Nachteil: Nach dem Wechsel der Fritzbox muss man es wieder beim Netzbetreiber neu registrieren, da die Modem-ID zur Fritzbox gehört.

Dafür spricht wohl:

I)
Keine weitere Steckdose notwendig für einen aktiven ONT und wir sparen Strom.

II)

Vielleicht liefert man weniger Daten und
ist weniger angreifbar
hat mehr Freiheit bei der Konfiguration?

B) TR-069 Zugriff:

Der Glasfaseranbieter behauptet, er könne per TR-069 Zugriff auf die komplette Oberfläche der FRITZbox zugreifen.

Das gefällt mir überhaupt nicht.

Angeblich ermöglicht es TR-069 nach Wikip*da auch, andere Geräte zu konfigurieren, die sich im „sicheren Bereich“ hinter der Fritzbox befinden, also hinter der Firewall.

Durch Fernzugriff könnten also auch Daten auf bestimmten Kundengeräten, auf die der Netzbetreiber Zugriff hat, geändert oder gelöscht werden.

Durch sein Funktionsprinzip würde TR-069 somit eine Backdoor darstellen, deren Existenz vielen Endkunden nicht bekannt sei und über deren Möglichkeiten sie sich nicht bewusst seien.

Was meint Ihr?

C) Glasfaseranbieter will Modem-ID, falls kundeneigene Fritzbox mit internem ONT eingesetzt wird:

Der Glasfaseranbieter sagt:

Umgeht man das aktive ONT des Glasfaseranbieters und installiert sich eine Fritzbox mit darin integriertem ONT, verlangt der Glasfaseranbieter die Mitteilung der Modem-ID der Fritzbox, damit das „System des Glasfaseranbieters“ unseren Fritzbox-Router als Modem erkennt und die Leistung darüber empfangen werden kann.

Ansonsten würde das System des Glasfaseranbieters den nicht vorhandenen oder nicht aktivierten ONT ansteuern.

I)
Ist es wirklich erforderlich, die Modem-ID mitzuteilen? Ich fürchte schon.

II)
Was hat das für Konsequenzen?

III)
Kommt der Glasfaseranbieter mit der Modem-ID in die Fritzbox-Konfiguration?

Wenn ja, wie weit wohl?

IV)
Braucht er dann auch einen Fernzugriff via TR-069 oder TR-369 oder hat der Glasfaseranbieter den dann sogar automatisch?

V)
Kann der Provider z.B. bei Störungen auch in die Fritzbox schauen ?

VI)
Falls ja, kann ich das auch abschalten?

Danke für die Tipps!

Chief1945 · 14. Januar 2025 um 14:39

Mir wäre eine Fritzbox zu limitierend und ich würde einen passenden OpenWRT-Router an das ISP-ONT anschließen. Oder das ONT kaufen (bei Telekom 50€) und den OWRT-Router dahinter.

Voraussetzung ist aber, dass du mit Netzwerkgrundlagen vertraut bist (oder einarbeitest) und dich in OpenWRT einarbeitest. Ansonsten eben FritzOS&Co mit den Limitationen.

Wenn du willst, dass der ISP weniger über dein Internetverhalten erfahren kann, kommst du um VPN oder Tor sowieso nicht herum, ganz egal mit welchem Router oder ONT.

TeomaHK · 14. Januar 2025 um 15:04

Halli Hallo @Olga,
das stimmt nur teilweise. Richtig ist, daß ein Zugriff möglich ist. Aber nur auf das Gerät des Kunden, auf dem eine spezielle Software des Anbieters installiert ist, die das unterstützt. Dazu ein Beispiel:

Ich benutze MagentaTV auf drei meiner Tabs. Dafür muß ich die App MagentaTV installiert haben und mit meinen Kundendaten starten. Nun kann die Telekom alles, was mit dieser App zu tun hat, abrufen. Doch auch nur soweit, wie ich das erlaube. In der App habe ich sämtliche Datenschutzeinstellungen deaktiviert. Denn ich brauche z.B. keine personalisierte Werbung etc… Darüberhinaus habe ich dem Dienst „EasySupport“ widersprochen. Damit habe ich also der Telekom untersagt, auf meinen Geräten hinter dem Übergabepunkt irgendwelche Änderungen ohne eine Information und meinem Einverständnis vornehmen zu dürfen.

Jeder Anbieter hat, soweit ich informiert bin, eine Pflicht, den Kunden über derartige Möglichkeiten zu informieren. Du kannst diesen Anbieter aber auch gezielt danach fragen und ihn bitten, Dich darüber aufzuklären.

Mit freundlichem Gruß
Teoma

LtSpock · 14. Januar 2025 um 15:25

TR-069 ist ein Eingriff in die Privatsphäre und ist quasi eine eine Backdoor. Damit kann man das Gerär konfigurieren und sogar auf Endgeräte dahinter zugreifen. Es wäre damit sogar möglich eine Online-Durchsuchung durchzuführen, da es sich bei TR-069 um ein bidirektionales Protokoll handelt. Für DAUs ist es halt bequem, da der Modemrouter sich aus Sicht den Kunden quasi selbst provisioniert.
Auf der Fritzbox besteht allerdings die Möglichkeit diese sogenannten „Anbieterdienste“ über TR-069 zu deaktivieren. Allerdings muss man dann die Fritte mit den Providerdaten selbst konfigurieren. TR-369 ist lediglich das abwärtskompatible Nachfolgeprotokoll mit mehr Funktionen …

Fazit: Wenn man Ahnung hat sollte man den Mist generell deaktivieren, wenn der gewählte Internetanbieter das Protokoll TR-069 oder USP (TR-369) unterstützt und die manuelle Einrichtung durchführen.

siehe auch hier AVM Hilfe - Anbieter-Dienste

Exilholsteiner · 14. Januar 2025 um 17:57

TR069 bzw. deren Nachfolgeprotokolle sind nichts Glasfaser-Spezifisches. Dieses „Feature“ gibt es auch bei anderen Zugangsarten wie Kabel oder DSL. In gekauften Routern lässt sich das abschalten, in gemieteten nicht unbedingt. Vom Provider gemietete Geräte werden gern mit einer kastrierten Firmware ausgeliefert - irgend ein Provider hatte das, wenn ich mich recht erinnere, mal so weit getrieben, dass er die WLAN-Funktionalität deaktiviert hatte - die Kunden sollten 5 Euro im Monat extra dafür zahlen, dass der Provider das WLAN freischaltet.

Solche Spielchen sind der Hauptgrund dafür, dass ich mir nie einen Router vom Provider mieten, sondern mir immer einen eigenen besorgen würde. Das müsste sich über die übliche Mindestvertragslaufzeit von zwei Jahren auch finanziell rechnen. Ein weiterer Grund, der gegen eine Provider-Fritzbox spricht, ist, dass man die Firmware häufig nicht so ohne weiteres selbst updaten kann, sondern darauf warten muss, dass der Provider sie bereitstellt. Bei schwerwiegenden Sicherheitslücken ist so etwas inakzeptabel.

Wenn Du Dich für Lösung 1 entscheidest, brauchst Du keine Fritzbox mit integriertem DSL-Modem wie die 7530. Es würde auch eine Box aus der 4xxx-Reihe ohne Modem wie die 4040, 4050 oder 4060 ausreichen. Die Fritzbox muss nur WAN-fähig sein, aber das kannst Du bei https://www.router-faq.de nachsehen.