Eine der besten Massnahmen für mehr Nachhaltigkeit in der IT-Branche ist es, die Nutzungsdauer von Hardware zu erhöhen. Ein Mobiltelefon 5 Jahre zu nutzen ist nachhaltiger, als jedes Jahr das neuste Gerät zu kaufen. Deshalb versuchen wir wo immer möglich, unsere Hardware einzusetzen bis sie defekt ist.

Das Security Dilemma & die Updateversprechen der Hersteller

Aus der Security Perspektive sollten nur Geräte eingesetzt werden, deren Firmware auf dem aktuellsten Stand ist. Erhalten wir keine Patches für neu entdeckte Sicherheitslücken, machen wir uns angreifbar.

Deshalb geben Hardwarehersteller Update-Versprechen heraus. Gerade erst hat Google bekannt gegeben, dass ihre Pixel 6 und Pixel 7 Geräte zwei weitere Jahre Android Updates erhalten. Eine gute Entwicklung.

Die Open Source Community springt ein. Wenn sie denn könnte…

Die Hersteller wollen die verkaufte Geräte nicht ewig mit Updates versorgen, schliesslich haben sie nur einmalig beim Verkauf Umsatz gemacht. Deshalb beschränken sie ihren Aufwand zur Pflege der Geräte. Das ist wirtschaftlich nachvollziehbar.

Für alle, die IT-Security ernst nehmen, sind solche Geräte ab diesem EoL-Zeitpunkt Elektroschrott.

Es gibt dann natürlich noch die Open Source Community, die solche Geräte weiter mit Updates versorgt. Ein löbliches Beispiel ist OpenWrt, das viele (aktuell >2500) Netzwerkgeräte auch nach Ablauf des Updateversprechens der Hersteller weiter unterstützt.

Wir wollten deshalb einige Unifi Access Points (UAP), die bei unseren Kunden im Einsatz sind und vom Hersteller nicht mehr weiter unterstützt werden, auf OpenWrt umstellen. Sie funktionieren ja noch einwandfrei und OpenWrt stellt auch aktuelle Firmware Images für diese Geräte bereit.

Dem Hersteller Ubiquiti scheint das aber nicht zu gefallen. Die Kunden sollen doch lieber neue Geräte bei ihnen kaufen.

Deshalb blockiert Ubiquiti seit Juli 2018 fremde Firmwareinstallationen auf gewissen Access Points und verhindert dadurch, dass diese Geräte weiterhin sicher betrieben werden können. OpenWrt schreibt dazu:

„NOTE for UAP-v2: As for July 2018, Ubiquiti seems to have blocked custom firmware installation possibility by using signatures on all 3.7 and later brand firmwares. As long as there is no brand pre-3.7 firmware available (in order to downgrade) for UAP-v2 devices, installing OpenWrt/LEDE could be impossible, as seen on the [forum](https://forum.lede-project.org/t/are-ubiquiti-actively-blocking-installation-of-third-party-firmware/4301)… If you want liberty, do not buy Ubiquiti.“

Wir werden unseren Kunden daher ab sofort vom Kauf der Ubiquiti / Unifi Geräte abraten und testen im Moment geeignete Alternativen.