Der Umgang von AVM mit den Anbieter-Diensten auf der FRITZ!Box

Hardware
1

Vorwort
Dieser Thread behandelt nur FRITZ!Boxen von AVM, welche im Einzelhandel erworben werden können (AVM bzw. AVME). Diese werden mit einer offiziellen Standard-Firmware seitens des Herstellers AVM ausgestattet, die vom Eigentümer der FRITZ!Box je nach Einsatzfeld nahezu vollständig individuell konfiguriert werden kann.
FRITZ!Boxen, welche dem Kunden vom Provider zur Verfügung gestellt werden (in der Regel Mietgeräte), sind nach den Vorgaben des jeweiligen Anbieters ausgestattet und vom Kunden meist nur eingeschränkt individuell konfigurierbar. Diese werden hier deshalb nicht berücksichtigt.

Ich empfehle allen, die sich mit dieser Materie nur unzureichend bis garnicht auskennen, die Links in diesem Beitrag aufzusuchen und aufmerksam durchzulesen und eventuell auch weitergehende Links aufzusuchen. Das erspart viele Fragen, die sonst diesen Thread unnötig aufblähen könnten. Vielen Dank.

Halli Hallo allerseits,

ich wende mich heute mit einem Thema an dieses Forum, daß ich nicht erst in jüngster Zeit kritisch betrachte, sondern schon seit längerem und von daher auch in der Praxis aufmerksam beobachte. Der Thread-Titel weist bereits schon auf die Grundproblematik hin: die sogenannten Anbieter-Dienste in der FRITZ!Box. Diese sind nicht allein mehr nur über das TR-069-Protokoll definiert. Gemäß der technischen Weiterentwicklung gehören dazu mittlerweile folgende Protokolle, die von der FRITZ!Box unterstützt werden:

Soweit, so gut. Diese Protokolle werden in nahezu jeder aktuellen FRITZ!Box unterstützt. Egal ob es sich dabei um ein Modell für DSL-, Kabel- oder Mobilfunk-Anschluß handelt. Gemäß der Erklärung auf den Hilfeseiten von AVM der jeweiligen FRITZ!Box werden diese Protokolle nur dann aktiv, wenn folgende Voraussetzung vorliegt:

„Für die Ausführung der Dienste: Ihr Internetanbieter und die FRITZ!Box unterstützen die erforderlichen Protokolle. Die Einstellungsmöglichkeiten für die Dienste sind nur dann in der FRITZ!Box-Benutzeroberfläche verfügbar, wenn Ihr Internetanbieter eines der folgenden Protokolle unterstützt.“
(Quelle: siehe Verlinkung der nachfolgend genannten FRITZ!Box-Modelle)

Aktuell beobachte ich die Entwicklungen bei der Firmware hinsichtlich dieser Protokolle an folgenden Modellen mit:

  1. Art.-Nr.: 2000 2763 - FRITZ!Box 4040 (FRITZ!OS 08.00) Link 1, Link 2
  2. Art.-Nr.: 2000 2931 - FRITZ!Box 4060 (FRITZ!OS 08.02) Link 1, Link 2
  3. Art.-Nr.: 2000 3043 - FRITZ!Box 5690 Pro (FRITZ!OS 08.01) Link 1, Link 2
  4. Art.-Nr.: 2000 2910 - FRITZ!Box 6660 Cable (FRITZ!OS 08.02) Link 1, Link 2
  5. Art.-Nr.: 2000 2965 - FRITZ!Box 6690 Cable (FRITZ!OS 08.02) Link 1, Link 2
  6. Art.-Nr.: 2000 2925 - FRITZ!Box 6850 LTE (FRITZ!OS 08.00) Link 1, Link 2
  7. Art.-Nr.: 2000 2914 - FRITZ!Box 6850 5G (FRITZ!OS 08.00) Link 1, Link 2
  8. Art.-Nr.: 2000 2817 - FRITZ!Box 6890 LTE (FRITZ!OS 07.59) Link 1, Link 2
  9. Art.-Nr.: 2000 2930 - FRITZ!Box 7530 AX (FRITZ!OS 08.02) Link 1, Link 2
  10. Art.-Nr.: 2000 2784 - FRITZ!Box 7590 (FRITZ!OS 08.00) Link 1, Link 2

Anbieter-Dienste in der Firmware werksseitig aktiviert?
Nun zur eigentlichen Problematik. Folgende Einstellungen, die in der Weboberfläche auf der Seite „Anbieter-Dienste“ unter „Internet → Zugangsdaten“ vorliegen, sind in den oben aufgeführten FRITZ!Boxen werksseitig entweder teilweise oder vollständig aktiviert:

  • Automatische Einrichtung durch den Internetanbieter zulassen (1, 2, 3, 8, 9, 10)
    Diese Einstellung ermöglicht dem Internetanbieter die sichere (verschlüsselte) Übertragung der Internetzugangsdaten und Anmeldedaten für Internettelefonie auf diese FRITZ!Box. Diese Funktion wird nicht von allen Internet- und Internettelefonieanbietern unterstützt.
  • Automatische Updates zulassen (1, 2, 3, 8, 9, 10)
    Ist diese Einstellung ausgewählt, kann der Internetanbieter das FRITZ!OS dieses Gerätes bei Bedarf automatisch aktualisieren, um das Dienstangebot zu verbessern.
  • URL des Auto Configuration Servers über DHCP und PPP beachten (1, 2, 3, 8, 9, 10)
    Legen Sie fest, ob die FRITZ!Box die Adresse (URL) des Auto Configuration Servers (ACS) beachtet, wenn der Internetanbieter diese über DHCP mitteilt.
  • Anbindung an Ihren Internetanbieter über USP (TR-369) erlauben. (1, 2, 3, 8, 9, 10)
    USP (TR-369) dient zur effizienten Kommunikation Ihrer FRITZ!Box mit Dienstanbietern, zum Beispiel zur direkten Übertragung von detaillierten Messwerten und Einstellungen zu Geräten, Netzwerk und WLAN.

Bei den FRITZ!Box-Modellen 6660 Cable (4) und 6690 Cable (5) konnte ich feststellen, daß dort aktuell der Reiter „Anbieter-Dienste“ aktiviert ist. Jedoch erscheint da nur ein Punkt namens „Diagnose und Wartung durch den Internetanbieter zulassen (SNMP)“. Alles andere ist ausgeblendet.
Bei den FRITZ!Box-Modellen 6850 LTE (6) und 6850 5G (7) habe ich bis dato noch keinen Weg gefunden, die Seite „Anbieter-Dienste“ manuell zu aktivieren.
Die FRITZ!Box 6890 LTE (8) stellt hier eine Ausnahme dar, da dieses Modell als Hybrid-Box auch DSL-Anschlüsse unterstützt.

Im Zuge der Ersteinrichtung der FRITZ!Box wird dem Eigentümer der FRITZ!Box eine Seite angezeigt, auf welcher dieser die Option „Diagnose und Wartung“ durch AVM (AVM-Dienste) deaktivieren kann. Meinem Wissen nach werden damit Parameter wie z.B. „crashreport“ oder der ACS-Server von AVM in der Konfiguration eingestellt. Nicht aber die o.g. Einstellungspunkte bezüglich der Anbieter-Dienste. Diese sind erst nachträglich auf der Seite „Anbieter-Dienste“ unter „Internet → Zugangsdaten“ erreichbar. Das gilt aber nur dann, sofern die FRITZ!Box weiß, ob der Anbieter mindestens eines diese Protokolle unterstützt. Entweder per Voreinstellung in der FRITZ!Box (8 von 18 Provider in der FRITZ!Box 7530 AX) oder per Erstkontakt mit dem Provider über den Internetanschluß. Ansonsten ist die Seite „Anbieter-Dienste“ standardmäßig ausgeblendet.

Diese Einstellungen kann der Eigentümer also nur dann nachträglich ändern, wenn derselbe:

  1. Kenntnis von dieser Einstellungsmöglichkeit besitzt und
  2. vom Provider die Erlaubnis für Änderungen an diesen Einstellungen bekommt oder
  3. AVM grundsätzlich per Firmware nachträgliche Änderungen an diesen Einstellungen zuläßt oder
  4. weiß, wie diese Seite über einen Umweg aktiviert werden kann.

Eigentümer einer FRITZ!Box, die sich bewußt mit diesem Produkt auseinandersetzen, wissen, daß bei der assistierten Ersteinrichtung der FRITZ!Box sich dieselbe auch automatisch mit dem ACS des eigenen Providers verbindet, sofern die „empfohlenen“ Optionen gewählt werden. Leider verhält sich hier AVM meiner Meinung nach nur in einem Punkt fast vorbildlich, indem AVM die Option „Diagnose und Wartung“ (AVM-Dienste) mit Verweis auf die eigene Datenschutzerklärung nicht nur als Opt-Out sondern auch gleich zu Beginn der Ersteinrichtung als Opt-In anbietet.

Warum aber geschieht nicht das gleiche auch mit den in der Firmware der FRITZ!Box implementierten Optionen zu den Anbieter-Diensten?

Ich möchte betonen, daß ich nicht erwarte, daß AVM stellvertretend für jeden Provider einzeln die notwendigen Informationen bezüglich dem aktuellen Datenschutz bei der Ersteinrichtung hinterlegt. Aber - eine standardisierte Information mit Möglichkeit zur direkten Beeinflussung der Anbieter-Dienste schon. Sowohl als Opt-In als auch Opt-Out mit werksseitig eingestellter Deaktivierung der einzelnen Optionen. Denn diese Schalter und Informationen existieren ja bereits als Seite „Anbieter-Dienste“ in der Weboberfläche der FRITZ!Box. Diese Optionen werden aber unter gewissen Bedingungen vor den Augen des Eigentümer der FRITZ!Box versteckt. Diese fragwürdige Vorgehensweise der „Verschleierung“ erschließt sich mir nicht vollständig. Immerhin kann z.B. ein unbedarfter Nutzer mit diesen Einstellungen an der FRITZ!Box nichts kaputt machen. Wie seht Ihr das?

Wie bereits weiter oben schon angedeutet, gibt es auch einen Umweg, wie man dieser scheinbaren „Verschleierung“ und einer möglichen Übermittlung von vielleicht sensiblen Daten vor dem Anschluß an das Internet aus dem Weg gehen kann. Diesen Weg teile ich hier der Vollständigkeit wegen auch mit. Allerdings bietet dieser keinen Schutz gegen ein mögliches „Telefonat nach Hause“.

USP-Controller von AVM fest in der Firmware integriert
Der Reiter „Anbieter-Dienste“ bietet die Option „Anbindung an Ihren Internetanbieter über USP (TR-369) erlauben“. Diese Einstellung beinhaltet auch einen USP-Controller von AVM, welcher in der Konfiguration der FRITZ!Box gespeichert ist. Das kann mit Hilfe der Funktion ‚Diagnose → Sicherheit‘ überprüft werden. Auf dieser Seite sieht man ganz unten unter „Anbieter-Dienste (USP)“ folgenden Eintrag:
Endpoint-ID pen:872:myfritz-usp
Adresse connect.myfritz.net:443
TLS ja
Rechte Smart Home, System-Einstellungen, Internet-Einstellungen, Mesh-Topologiedaten, Diagnose und Wartung

Dieser Eintrag ist fest konfiguriert und kann vom Eigentümer der FRITZ!Box auf normalem Weg nicht gelöscht werden. Was meine ich mit normal?
Bei einem Test habe ich über die Weboberfläche der FRITZ!Box mit Hilfe des Assistenten die automatische Einrichtung durch den Anbieter vornehmen lassen. In diesem Fall von der Telekom. Dort nennt sich dieses Feature „Easysupport“. Parallel zu dem Eintrag von AVM tauchte wie erwartet der USP-Controller der Telekom auf. Zusätzlich der Adresse des ACS der Telekom im Bereich TR-069.
Endpoint-ID fqdn::usp.telekom.de
Adresse usp.telekom.de:7878
TLS ja
Rechte WLAN-Daten und -Einstellungen, System-Einstellungen, Internet-Einstellungen, Mesh-Topologiedaten, weitere USP-Controller hinzufügen

Diese Einträge der Telekom ließen sich nachträglich auch wieder einwandfrei aus der Konfiguration löschen, indem ich die Anbieter-Dienste über die Weboberfläche der FRITZ!Box vollständig deaktiviert hatte und die Zugangsdaten manuell eingegeben habe. Das wäre der normale Weg.
Nicht so bei dem USP-Controller von AVM. Deaktiviert man unter „Anbieter-Dienste“ das TR-369-Protokoll so wird dieser Controller lediglich nur ausgeblendet. In der Konfiguration der FRITZ!Box bleiben aber die Parameter dieses USP-Controllers gespeichert. Das sieht im Beispiel der FRITZ!Box 7530 AX dann so aus:

Anbindung an den Internetanbieter über USP (TR-369) erlaubt

7530AX - Anbieterdienste 1
7530AX - Anbieterdienste 11605×908 164 KB

7530AX - Anbieterdienste 2
7530AX - Anbieterdienste 21606×905 151 KB

Abschnitt tr369.cfg in den Einstellungen der FRITZ!Box 7530 AX

**** CFGFILE:tr369.cfg
/*

  • /var/tmp.cfg
  • Thu Dec 12 03:37:05 2024
    */

meta { encoding = „utf-8“; }

tr369cfg {
version = 3;
enable = yes;
isp_access_allowed = yes;
controllers {
enable = no;
endpoint_id = „pen:872:myfritz-usp“;
prov_code = „“;
mtp = tr369_mtp_ws;
host = „connect.myfritz.net“;
port = 443;
conn_retry_interval_multiplier = 2500;
conn_retry_initial_interval = 60;
path = „/fritzos/usp/v1/[[BOX_ID]]“;
username = „“;
password = „“;
ws_keepalive_interval = 120;
mqtt_client_id = „“;
mqtt_controller_topic = „“;
mqtt_response_topic = „“;
tls {
enable = yes;
verify_server = yes;
trusted_ca_file = „/etc/avm_root_ca.pem“;
}
access_mask = 79;
feature_flags = 1;
restricted_methods = 11;
ui_access = tr369_ui_access_none;
source = tr369_controller_source_config;
periodic_notif_interval = 0;
onboarded = no;
}
}

// EOF

**** END OF FILE ****

Anbindung an den Internetanbieter über USP (TR-369) nicht erlaubt

7530AX - Anbieterdienste 3
7530AX - Anbieterdienste 31603×907 169 KB

7530AX - Anbieterdienste 4
7530AX - Anbieterdienste 41607×909 153 KB

Abschnitt tr369.cfg in den Einstellungen der FRITZ!Box 7530 AX

**** CFGFILE:tr369.cfg
/*

  • /var/tmp.cfg
  • Sat Dec 14 09:42:42 2024
    */

meta { encoding = „utf-8“; }

tr369cfg {
version = 3;
enable = yes;
isp_access_allowed = no;
controllers {
enable = no;
endpoint_id = „pen:872:myfritz-usp“;
prov_code = „“;
mtp = tr369_mtp_ws;
host = „connect.myfritz.net“;
port = 443;
conn_retry_interval_multiplier = 2500;
conn_retry_initial_interval = 60;
path = „/fritzos/usp/v1/[[BOX_ID]]“;
username = „“;
password = „“;
ws_keepalive_interval = 120;
mqtt_client_id = „“;
mqtt_controller_topic = „“;
mqtt_response_topic = „“;
tls {
enable = yes;
verify_server = yes;
trusted_ca_file = „/etc/avm_root_ca.pem“;
}
access_mask = 79;
feature_flags = 1;
restricted_methods = 11;
ui_access = tr369_ui_access_none;
source = tr369_controller_source_config;
periodic_notif_interval = 0;
onboarded = no;
}
}

// EOF

**** END OF FILE ****

Es wird lediglich nur ein Parameter verändert. Undzwar in Zeile 12. Dieser wird von „Yes“ auf „No“ gestellt. Was meinem Wissen nach soviel bedeutet - das einrichten von USP-Controllern durch den Dienstanbieter wird erlaubt oder nicht. Ergänzend möchte ich noch hinzufügen, daß zu diesem Zeitpunkt mangels Internetverbindung keinerlei aktive Verbindung zu einem MyFRITZ!-Konto bestand bzw. konfiguriert war. Die Option „Diagnosedaten“ sowie „Diagnose und Wartung“ im Reiter „AVM-Dienste“ waren aktiviert.

Bei einer FRITZ!Box 6660 Cable, bei der die Anbindung an den Internetanbieter über USP (TR-369) nicht erlaubt wird, sieht das jedoch folgendermaßen aus:

6660 Cable - Anbieterdienste 1
6660 Cable - Anbieterdienste 11606×865 108 KB

6660 Cable - Anbieterdienste 2
6660 Cable - Anbieterdienste 21609×858 148 KB

Abschnitt tr369.cfg in den Einstellungen der FRITZ!Box 6660 Cable

**** CFGFILE:tr369.cfg
/*

  • /var/tmp.cfg
  • Thu Jan 1 01:19:21 1970
    */

meta { encoding = „utf-8“; }

tr369cfg {
version = 3;
enable = yes;
isp_access_allowed = yes;
controllers {
enable = no;
uid = 10;
endpoint_id = „pen:872:myfritz-usp“;
prov_code = „“;
mtp = tr369_mtp_ws;
host = „connect.myfritz.net“;
port = 443;
conn_retry_interval_multiplier = 2500;
conn_retry_initial_interval = 60;
path = „/fritzos/usp/v1/[[BOX_ID]]“;
username = „“;
password = „“;
ws_keepalive_interval = 120;
mqtt_client_id = „“;
mqtt_controller_topic = „“;
mqtt_response_topic = „“;
tls {
enable = yes;
verify_server = yes;
trusted_ca_file = „/etc/avm_root_ca.pem“;
}
access_mask = 79;
feature_flags = 1;
restricted_methods = 11;
ui_access = tr369_ui_access_none;
source = tr369_controller_source_config;
periodic_notif_interval = 0;
periodic_notif_time = „1970-01-01 00:00:00“;
onboarded = no;
}
}

// EOF

**** END OF FILE ****

Und bei einer FRITZ!Box 6850 5G sieht das ähnlich aus:

6850 5G- Anbieterdienste 1
6850 5G- Anbieterdienste 11604×861 144 KB

Abschnitt tr369.cfg in den Einstellungen der FRITZ!Box 6850 5G

**** CFGFILE:tr369.cfg
/*

  • /var/tmp.cfg
  • Thu Jan 1 01:03:20 1970
    */

meta { encoding = „utf-8“; }

tr369cfg {
version = 3;
enable = yes;
isp_access_allowed = yes;
controllers {
enable = no;
uid = 1;
endpoint_id = „pen:872:myfritz-usp“;
prov_code = „“;
mtp = tr369_mtp_ws;
host = „connect.myfritz.net“;
port = 443;
conn_retry_interval_multiplier = 2500;
conn_retry_initial_interval = 60;
path = „/fritzos/usp/v1/[[BOX_ID]]“;
username = „“;
password = „“;
ws_keepalive_interval = 120;
mqtt_client_id = „“;
mqtt_controller_topic = „“;
mqtt_response_topic = „“;
tls {
enable = yes;
verify_server = yes;
trusted_ca_file = „/etc/avm_root_ca.pem“;
}
access_mask = 79;
feature_flags = 1;
restricted_methods = 11;
ui_access = tr369_ui_access_none;
source = tr369_controller_source_config;
periodic_notif_interval = 0;
periodic_notif_time = „1970-01-01 00:00:00“;
onboarded = no;
}
}

// EOF

**** END OF FILE ****

Meinem Verständnis nach dürfte der USP-Controller von AVM nicht mehr in der FRITZ!Box-Konfiguration gespeichert bleiben. So wie das auch mit dem USP-Controller der Telekom geschehen ist.

Im Zuge dieser Beobachtungen stellt sich mir nun berechtigterweise die Frage nach dem Zweck dieses dauerhaft gespeicherten USP-Controllers von AVM.

Ich halte folgendes fest. Der USP-Controller von AVM ist in jedem Fall scheinbar deaktiviert (siehe Zeile 14). Die Option „Anbindung an Ihren Internetanbieter über USP (TR-369) erlauben.“ ist trotz Deaktivierung über das Webinterface der FRITZ!Box 7530 AX in den aufgeführten Beispiel scheinbar immernoch aktiviert (siehe Zeile 11). Besonders deutlich wird diese Diskrepanz an den Beispielen der FRITZ!Box 6660 Cable und der FRITZ!Box 6850 5G. Dort gibt es keinen direkten Zugriff auf das TR-369-Protokoll über die Weboberfläche in der FRITZ!Box und dennoch ist dieses Protokoll scheinbar aktiv und der Zugriff von außen erlaubt (Zeile 12).

So interpretiere ich, mangels Aufklärung seitens des Kundensupports von AVM, die Parameter der werksseitigen Konfiguration. Meine letzte Nachfrage bei dem AVM-Support diesbezüglich - es war im Laufe der Jahre nicht die erste - ergab diesmal eine zum Teil widersprüchliche aber insgesamt eher ausweichende Antwort. Und jetzt seid Ihr am Zug.

  • Welches Wissen könnt ihr dazu beisteuern?
  • Gibt es meinerseits Irrtümer, die ich noch nicht erkannt habe?
  • Wie betrachtet Ihr die hier vorliegende Situation?

Ich bin für jede noch so kleine neue Information zu diesem Thema dankbar und bitte um konstruktive Beiträge. Vielen Dank.

Mit freundlichem Gruß
Teoma

Mir liegt es sehr am Herzen, daß dieser Beitrag nicht dahingehend interpretiert wird, bereits bestehende Vorurteile bzw. negative Meinungen gegenüber der Firma AVM Gmbh noch weiter zu schüren. Vielmehr bin ich bemüht, eine konstruktive Diskussion mit praktischen Beispielen in punkto der hier vorgebrachten Anhaltspunkte anzuregen. Ich bin kein Fachmann und suche Antworten auf Fragen, die durch Beobachtungen entstanden und für mich nur unzureichend beantwortet sind. Dafür baue ich auch auf euer Wissen und eure Erfahrungen.

2 „Gefällt mir“
2

Ein Beitrag wurde in ein neues Thema verschoben: Verbindungsanfragen 1&1 Control-Center

3

Die Lösung des Problems ist folgende (Beispiel USP), wenn man seitens des Providers nicht auf die Anbieter-Dienste angewiesen ist. Getestet unter FRITZ!OS 8 mit einem Gerät aus dem Einzelhandel.

Man benötigt https://www.mengelke.de/Projekte/FritzBox-JSTool und sollte sich die Beschreibung sehr gut durchlesen; auch den Teil über die Offline-Version.

Das im Text verlinkte Video Fritz!Box JSTool mit Konfigdateien zeigt ab Minute 2:55 das auserwählte Vorgehen. Das aktuelle GUI sieht etwas anders aus und benötigt zum beschriebenen Export die Auswahl Text Content → Archiv Export , sowie Save → TAR . Nach der jeweiligen Auswahl muss jeder Befehl bestätigt werden, also erneut auf Save in diesem Fall.

Aus der gespeicherten Datei entnimmt man die tr369.cfg und bearbeitet diese nach Bedarf, ändert aber zumindest die folgenden beiden Werte ab auf no :

tr369cfg {

   enable = no;
   isp_access_allowed = no;

Die Änderungen abspeichern, zurück in die exportierte TAR-Datei damit (also die ursprüngliche tr369.cfg im Archiv überschreiben). Nun die modifizierte TAR im FritzBox-JSTool laden, bei Bedarf weitere Anpassungen vornehmen wie GUI-Protect und VOIP-Protect deaktivieren, Checksum berechnen und Normal als *.export-Datei abspeichern (Ende bei Minute 4:19 in der Videoanleitung). Diese kann dann wie üblich in die FRITZ!Box importiert werden und nun sollte auch USP als vollständig deaktiviert angezeigt werden.

Vielen Dank an Michael Engelke!

1 „Gefällt mir“
4

Halli Hallo @oW5sCh,

Dankeschön für den Hinweis. Ich benutze diese Software tatsächlich auch schon seit langen in bestimmten Fällen. Allerdings ist diese, wie so oft, nur den Menschen empfohlen, die mutig genug sind und letztendlich auch verstehen, was genau dabei gemacht wird. Und das sind nunmal die wenigsten aller FRITZBox-Nutzer. Ich verweise da nur auf die vielen Anfragen in dem hoffentlich dir bekannten Forum, indem auch ich seit vielen Jahren ansässig bin. „Peter Pawn“ gehört da meiner Meinung nach mit zu den geduldigen, die versuchen, jedem Interessierten diese Materie näherzubringen.

Doch zurück zum eigentlichen Anliegen meines Threads.

Es ist meiner Meinung nach nicht eine wirkliche Lösung. Denn das eigentliche Problem bleibt damit nach wie vor bestehen. Ich kritisiere hier bewußt die Firmware-Politik von AVM. Jede Anfrage beim Support endete mit dem Hinweis, daß es geplant sei, in einer kommenden Version die Anbieter-Dienste auch dann zugänglich zu machen, wenn diese nicht vom ISP unterstützt werden. Das dauert und dauert.

Doch wenn ich das genauer betrachte, stelle ich immer wieder fest, daß dieses Vorhaben keinen Einfluß auf die USP-Konfiguration von AVM haben wird. Hast Du schon mal versucht, den USP-Controller von AVM erfolgreich komplett zu entfernen? Ich scheitere damit. Vielleicht auch deshalb, weil ich in den ganzen Schritten irgendwo einen Denkfehler habe. Oder - weil es einfach nicht möglich ist. Und ich bin nun wirklich kein Anfänger.

Mein Ziel besteht deshalb, AVM damit zu konfrontieren und zum konstruktiven Dialog mit dem Kunden überzugehen. Diese werksseitig aktivierten Einstellungen, die zum Teil versteckt werden, sind meiner Auffassung nach ein Eingriff in die digitale Selbstbestimmung des Kunden, der eine FRITZ!Box im Einzelhandel kauft. Daß AVM mit verschiedenen Providern vertragliche Vereinbarungen bei dem Design der Firmware eingeht, ist die eine Seite. Die andere Seite ist aber der Kunde von AVM, der sich die Freiheit nimmt, seinen teuer erstandenen Router alias FRITZ!Box selbst verwalten zu wollen.

Die bereits angesprochenen Protokolle lassen einen tiefen Eingriff in die Konfiguration der FRITZ!Box zu. Ich vertrete die Auffassung, daß hier dem Besitzer einer FRITZ!Box das Recht zusteht, einen derartigen Eingriff vollständig zu unterbinden, indem ihm die Kontrolle übergeben wird. Viel zu oft, wird hierbei gern mit dem Argument gekontert, daß es auch Kunden gibt, die von dieser Materie keine Ahnung haben und damit besser geholfen werden kann. Doch dem steht entgegen, daß derartige Eingriffe als vertraglicher Bestandteil auch einer schriftlichen Zustimmung bedürfen. Womit wir wieder bei der FRITZ!Box wären, die vom ISP geliefert wird.

Der USP-Controller von AVM dient hauptsächlich dem Nutzer des Dienstes MyFRITZ!Net aber auch dem Support von AVM. Und auch hierbei muß vorher vom AVM-Support eine Zustimmung eingeholt werden. Wieso ist dieser USP-Controller von AVM fest integriert, obwohl ich keinen dieser Dienste verwende und im Fall des Falles meine Support-Daten selber erstelle? Letztendlich wirkt auch das beharrliche „ausweichen“ seitens AVM zu diesem Thema eher kontraproduktiv.

Mit freundlichem Gruß
Teoma

5

Vielen Dank für die ausführlichen Erläuterungen! Ich stimme den aufgeführten Kritikpunkten gegenüber der AVM Computersysteme Vertriebs GmbH durchaus zu.

Bleibt einem bisher leider nur das zuvor beschriebene Vorgehen oder eben das Vorschalten einer Firewall wie per OPNsense oder OpenWrt, wobei dies einem Durchschnittsnutzer aufgrund der sehr hohen Komplexität im Netzwerkmanagement wohl noch weniger zumutbar wäre.

Aus rechtlicher Sicht wären die dem Endverbraucher verbleibenden Hebel eine Beschwerde über die Verbraucherzentrale und zur kostenfreien Prüfung, ob ein DSGVO bzw. TDDDG Verstoß vorliegt, eine Weitere bei den zuständigen Berliner Beauftragten für Datenschutz und Informationsfreiheit.

6

Halli Hallo @oW5sCh,

Scheinbar bist du aber einer der wenigen, die das auch offen aussprechen. Wobei die Formulierung „durchaus“ mir suggeriert, daß da noch teilweise Diskussionsbedarf sein könnte.

Aus diesem Grund probiere ich, bordeigene Mittel als Unterstützung heranzuziehen. Hierzu zählen in erster Linie die Filterlisten. Da mir aber eine direkte Überwachsgmöglichkeit nicht zur Verfügung steht, braucht es halt etwas Zeit. Doch scheinbar ist es so, daß diese Listen eine gute Möglichkeit sein könnten, die Kommunikation nach Hause teilweise zu unterbinden. Noch bin ich da am Anfang und gestehe, daß ich dabei auch fachkundige Hilfe nötig habe. Für’s erste habe ich deshalb auch diese Anleitung hier mit eingestellt.

Punkt 1 ist mir tatsächlich noch nicht in den Sinn gekommen. Punkt 2 ist aber schon in Vorbereitung. Dafür hatte ich eben diesen Thread eröffnet, um zuvor noch Meinungen anderer zu diesem Thema einholen zu können. Doch wie es scheint, bin ich da wohl eher allein in weiter Flur. Das stimmt nicht gerade positiv. Hindert mich aber nicht daran, den eingeschlagenen Weg weiterzugehen.

Mit freundlichem Gruß
Teoma

7

Nun, auch ich hatte in der Vergangenheit mit dem AVM Support Kontakt und kann die Argumentation daher gut nachvollziehen. Das „durchaus“ war darauf bezogen, dass ich ja einen Lösungsvorschlag dargelegt habe, dieser deinerseits aber richtigerweise nicht als solches betrachtet wird. Es ist eher ein „quick and dirty fix“ aber sicher keine dauerhafte, sowie nutzerfreundliche Lösung.

Ich denke nicht, dass du allein in weiter Flur bist. Die fehlende Resonanz ist eher den üblichen Verdächtigen geschuldet. Ohne ein Fass aufreißen zu wollen, aber die Thematik ist doch eher speziell und obwohl es Millionen von Nutzern betrifft, kommt wohl nur ein sehr kleiner Bruchteil damit überhaupt in bewussten(!) Kontakt. Das sind die wenigen, die das GUI tatsächlich Schritt für Schritt durchgehen und Einstellungen tätigen die darüber hinaus gehen, einfach nur eine funktionierende Internet- und Telefonleitung zu haben. Die allermeisten Nutzer geben sich wie überall sonst mit „es funktioniert“ zufrieden. Dies bedient aber nur in den allerseltensten Fällen auch überhaupt Anforderungen an IT-Sicherheit und/oder Datenschutz. Der geringe Prozentsatz an, man kann schon sagen Nerds (zur sprachlichen Abgrenzung dem Durchschnittsnutzer gegenüber) sieht überhaupt, dass da noch etwas aktiv ist (wie USP). Dann weiter zu gehen und das deaktivieren zu wollen bedarf einer leider außergewöhnlichen Motivation. Selbst wenn man von Außerhalb darauf aufmerksam gemacht wird, stößt dies mangels Verständnis und unbegründetem Vertrauen in jegliche Instanzen zumeist auf ein „ist mir egal“ oder „was wollen die schon mit den Daten“.

Hinzu kommt, dass dieses Verhalten ja auch gefördert wird bzw. gar erwünscht ist, denn es handelt sich um eher versteckte Bereiche (hier:) des FRITZ!OS. Selbst in einem IT-Sicherheit Forum wie diesem wage ich die These aufzustellen, dass, um ein Beispiel zur Veranschaulichung zu nennen, die meisten aller Nutzer kein GrapheneOS benutzen. Die meisten von denen die GrapheneOS tatsächlich nutzen, verzichten wohl kaum auf die sandboxed Google Play services. Der verbleibende sehr geringe Bruchteil an Nutzern die nun auch bewusst auf Google Play usw. verzichten sind potentiell eher diejenigen, die sich dann auch an einem weiteren Kontrollverlust über die FRITZ!Box stören. Daraufhin etwas dagegen unternehmen (wollen), das bedarf wohl ein noch höheres Nerd-Level. Die seit Jahrzehnten perfektionierte und ursprünglich von Google losgetretenen Desensibilisierung zeigt ihre Wirkung.

Daher Hut ab vor deinem Engagement und den wirklich detaillierten Beiträgen! Die Einstellungsempfehlungen sind einwandfrei, toller Beitrag, wobei das Heimtelefonieren zu Update-Zwecken eine für den Durchschnittsnutzer vertretbare Ausnahme darstellt, denn IT-Sicherheit sollte stets vor dem Datenschutz stehen (wenn auch beides eng miteinander verbunden ist, sodass das eine ohne dem anderen nicht existieren kann).

Zu guter Letzt sollte man meinen das Vorhandensein an Gesetzen wie DSGVO und TDDDG reicht, um alle Nutzer vor solchen und ähnlichen Übergriffen zu bewahren… leider eine Utopie.

1 „Gefällt mir“