IT-Recht

WLAN – Router als Sicherheitslücke?

Sollte man als Internetnutzer und Anschlussinhaber seinem Router ohne weiteres vertrauen? Nein! Häufig sind Router ein Risiko. Wenn sie vom Hersteller geliefert werden, sind sie meist nur mit sehr kurzen oder leicht zu erratenden Passwörtern voreingestellt. Dass viele Nutzer ihren Geräten blind vertrauen, ist ein großer Fehler.

W-Lan, Router, Sicherheitsrisiko

©-asrawolf-Fotolia

Ständig machen Meldungen über Sicherheitslücken die Runde. Das US Ministerium für innere Sicherheit stellt beispielsweise eine ganze Liste von Sicherheitslücken zur Verfügung. Unter IT-Experten ist das „Risiko Router“ seit langem bekannt. Da die Bekämpfung der Sicherheitslücken aber aufwendig ist, scheint ohne weiteres kein Patentrezept in Sicht.

Sinn und Zweck eines Routers ist zweierlei: auf der einen Seite ermöglicht der Router den Zugang zum Internet, auf der anderen Seite soll er Schutz vor Zugriffen aus dem Netz bieten. Um den Sicherheitsstandart zu halten, ist eigentlich eine regelmäßige Software-Aktualisierung erforderlich. Davon weiß die Mehrheit der Internetnutzer aber nichts.

Eine weitere Risikoquelle ist, dass Routerhersteller zusehends Techniken anwenden, um den Nutzern mobile Internetnutzung zu erleichtern. Leider trägt das aber nicht zwingend zur Sicherheit der Anschlussinhaber bzw. der Anschlüsse bei. So erfreut sich zum Beispiel „UPnP“ – Universal Plug and Play – immer größerer Beliebtheit bei Routerherstellern. UPnP ermöglicht es, dass Laptops, Tablets oder Smartphones in lokalen Netzwerken (local area network – LAN) automatisch auf andere Geräte zuzugreifen. Dies mag für die Nutzer praktisch sein, weil die Geräte sich – ohne weiteres Zutun – miteinander verbinden.

 

Allerdings setzt eine solche durch UPnP initiierte Geräteverbindung keinen Sicherheits- oder Passwortcheck voraus. Die Technik ist eigentlich für geschlossene LAN-Netzwerke gedacht.  Bedauerlicherweise ist es in der Vergangenheit wiederholt vorgekommen, dass einige Herstellern Router ausgeliefert haben, bei denen UPnP aktiviert war/ist. Dies hat zur Folge, dass  jeder mit einem kompatiblen Gerät in das betreffende Heimnetzwerk eindringen kann. Die Sicherheitsfirma Rapid7 hat diesbezüglich vor kurzer Zeit eine Warnmeldung veröffentlicht und drei denkbare Angriffsmöglichkeiten auf solche Geräte aufgezeigt. Auf der Homepage der Firma Rapid 7 können Nutzer ihren Router prüfen lassen.

Teilweise haben Routerhersteller auf die UPnP-bedingte Sicherheitslücke reagiert und entsprechende Updates zur Verfügung gestellt. Teilweise stehen Reaktionen der Hersteller aber noch aus.

Das Risiko für Anschlussinhaber wird dadurch verstärkt, dass viele Käufer auf voreingestellte Werkseinstellungen von Routern vertrauen, anstatt bei Inbetriebnahme ein eigenes, neues Passwort zu kreieren. Es muss dringend davon abgeraten werden, voreingestellte Passwörter einfach zu übernehmen. Teilweise ist gar kein Passwort voreingestellt, teilwiese handelt es sich um simple, massenweise verwendete Passwörter wie „user“ oder „codeword“.  Im Internet existieren sogar Listen mit voreingestellten Passwörtern, welche es Menschen mit entsprechender krimineller Energie erheblich erleichtern, sich in ein Heimnetzwerk „einzuloggen“.

Hat man erst einmal Zugriff auf einen Router, lässt sich dieser ohne weiteres manipulieren. So kann man – mit ein wenig Fachwissen – die Internet-Aktivitäten des Anschlussnutzers beobachten und Datenflüsse umleiten oder ändern.

Viele Hersteller scheuen sich, aufwändigere Passwörter ab Werk einzuprogrammieren. Sie haben sich der leichten Bedienbarkeit für den Nutzer verschrieben. Leichte Passwörter sind leichter zu merken. Leider geht diese Attitüde zu Lasten der Sicherheit des Anschlusses.

Teilweise gehen Routerhersteller – um den Bedienkomforts zu erhöhen – dazu über, Systeme zu etablieren, die ein Passwort gänzlich verzichtbar machen. Beispielsweise ermöglicht die Technik „Wi-Fi Protected System“ (WPS) die Verbindung von Geräten mit einem Router auf Knopfdruck; das Eingeben eines Passwortes ist in hierbei gar nicht erforderlich. Der Knopfdruck hebt den Passwortschutz kurzzeitig auf, damit eine Geräteverbindung aufgebaut werden kann.

Doch auch WPS weist erhebliche Sicherheitslücken auf. Mitte 2012 nahm die Telekom eine Sicherheitswarnung für WPS zum Anlass, ausgelieferte Router zu aktualisieren bzw. eine Aktualisierung anzubieten.

Mit dem Bundesamt für Sicherheit in der Informationstechnik ist Anschlussinhabern dringend dazu zu raten, den derzeit bestmöglichen Verschlüsselungsstandard einzustellen. Bei WLAN-Routern ist dies eine sog. WPA2-Verschlüsselung. Nutzer sollten den WPA2-Standart wählen und sich ein möglichst vielstelliges, kompliziertes Passwort ausdenken, um sich bestmöglich zu schützen.  Auch ist es empfehlenswert, ab und an nach Software-Updates für den Router zu suchen und das Passwort alle paar Monate zu ändern.

Sicherlich sind auch die folgenden Beiträge für Sie interessant:

 

OLG Frankfurt am Main: Neue Entscheidung zur WLAN-Haftung des Betreibers eines Internetanschlusses

BGH: Betreiber eines unzureichend gesicherten WLAN-Internetzugangs haftet für Urheberrechtsverletzungen Dritter auf Unterlassung und Aufwendungsersatz

Konsequenzen des BGH W-LAN Urteils für Privatpersonen und Unternehmen

LG Magdeburg: Inhaber eines ungesicherten WLAN haftet für Filesharing über seinen Internet-Anschluss

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 4,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.