Passwort-SchutzWLAN-Router sind viel zu oft ungesichert

Router sind ein Risiko. Viele Hersteller sperren sie kaum ab, um Nutzer nicht mit langen Passwörtern abzuschrecken. Viele Nutzer vertrauen den Geräten trotzdem blind. von 

Router sind wie Vasen. Man stellt sie hin, schaltet sie ein und ab da setzen sie Staub an. Beachtet werden sie erst wieder, wenn etwas zu Bruch geht. Und Scherben gibt es seit vergangener Woche genug. Nahezu täglich erscheinen Meldungen über Sicherheitslücken bei Routern. Sogar das Heimatschutz-Ministerium der USA warnt vor einer ganzen Liste von Lücken. Dass es zahlreiche Risiken bei Routern gibt, ist unter IT-Experten ein offenes Geheimnis. Nur um die Mängel wollte sich bislang niemand kümmern, denn für die Hersteller ist das teuer und für die Nutzer aufwändig.

Ein Router hat kurz umrissen zwei Aufgaben: Er soll das Tor zum Internet öffnen und die Nutzer daheim gleichzeitig vor Eindringlingen schützen. Dazu muss seine Software regelmäßig aktualisiert werden. Das ist aufwändig, beziehungsweise haben viele Nutzer keine Lust dazu oder wissen nicht einmal, dass das notwendig ist. Das Problem haben auch die Hersteller erkannt und setzen auf einfache Lösungen – teilweise mit den besten Absichten.

Anzeige

Eine dieser Lösungen nennt sich UPnP, ein Akronym für Universal Plug and Play. Diese Technik erlaubt es etwa einem Smartphone, in einem lokalen Netzwerk (Local Area Network – LAN) auf andere Geräte automatisch zuzugreifen. Etwa auf einen Netzwerkdrucker. UPnP ist praktisch, denn die Nutzer müssen nichts mehr tun. Die Geräte verbinden sich wie von Geisterhand selbst miteinander, wenn dieser Standard aktiv ist.

"Die Hersteller verletzen ihre Sorgfaltspflicht"

Das Problem: Bei UPnP vertrauen sich die Geräte blind, ohne Passwort. UPnP ist deshalb vor allem für das LAN gedacht. Wird es nach außen, also Richtung Internet geöffnet, kann jeder in das Heimnetz eindringen. Genau diese Einstellung war bei einigen Routern ab Werk aktiviert. Die Sicherheitsfirma Rapid7 warnte deshalb in der vergangenen Woche vor Routern, die UPnP aktiviert haben und veröffentlichte gleich drei mögliche Angriffsmethoden auf die Geräte. Bis zu 50 Millionen sind weltweit betroffen. Nutzer können nun auf der Seite von Rapid7 überprüfen, ob das auch für ihren Router gilt.

Auf die UPnP-Lücke haben Hersteller wie D-Link mittlerweile reagiert und Updates ihrer Router-Software ins Netz gestellt. Das ist nicht die Regel. Vor allem im unteren Preissegment sparen Hersteller an Software und Service. Oft setzen sie ihre Programme aus freier Software zusammen und entwickeln sie nicht weiter.

Das bestätigt auch Michael Horn. Horn beschäftigt sich mit Sicherheit in Netzwerken. Er ist sich sicher, dass das Chaos um UPnP leicht zu verhindern gewesen wäre. "Die Hersteller haben die Verantwortung, ihre Router zuzunageln, sodass UPnP nicht offen steht", sagt er. "Das ist schon eine grobe Verletzung ihrer Sorgfaltspflicht."

Noch dazu, da viele Käufer der Geräte auf die Werkseinstellungen der Router vertrauen. Was geradezu fahrlässig ist. Denn die Mehrheit der Router ist nicht besonders gut vor fremden Zugriff geschützt. Die voreingestellten Passwörter der Hersteller lauten dann beispielsweise "admin" oder "password". Listen solcher voreingestellten Passwörter gibt es sogar im Internet. Viele Geräte haben auch gar kein Passwort.

Leserkommentare
  1. Nachdem ich mein WLAN nicht konfiguriert bekommen habe, nutzte ich einfach weiterhin Netzwerkkabel. Was ich nicht wußte: Das WLAN funktionierte. Das bemerkte ich erst als die KRIPO in meine Wohnung einbrach und meine Rechner stal. Es dauerte über 1 Jahr und brachte mir kosten von 600€ beim Rechtsanwalt ein (Akteneinsicht, ohne Rechtsanwalt bekommt man die nicht.)
    Da is keine perfekte Sicherheit gibt, denn selbst bestgeschützte Firmennetzwerke werden geknackt, ist bei uns nur noch normales LAN. Kabel ordentlich verlegt, nicht sichtbar. Das ist dann zumindest nicht ganz so attraktiv zu hacken weil nicht direkt einsehbar wie WLAN.
    So ein Schei... wünsche ich echt niemandem.

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • spacko
    • 12. Februar 2013 9:03 Uhr

    Okay, man sollte schon ein Grundverständnis haben, wie so ein Netzwerk funktioniert. Wenn das WLAN "nicht geht", dann muss man halt jemanden fragen, der sich damit auskennt, oder das Ding (oder die Antenne) zumindest abklemmen. Einem WLAN-Router über Monate "aus Versehen" laufen zu lassen - bei allem Verständnis, aber das ist schon extrem leichtfertig. Soviel Naivität ist schon unglaublich (glaubt die Polizei die Story eigentlich?) und wird natürlich bestraft.

    Kommt natürlich immer auf das Setting an. In der Großstadtmietskaserne ist es natürlich wichtig aufzupassen, bei mir im Haus reicht das WLAN nichtmal zum Gartenzaun. Ich hab' noch WEP...

    • 29C3
    • 12. Februar 2013 11:53 Uhr

    Hat Ihr Router keinen WLAN-Schalter in Hardware ?

    Meiner schon. Gehe ich aus dem Hause raus, drucke ich auf Knopf, und der WLAN wird abgeschaltet, die Bestätigung erfolgt über das Erlischen des WLAN-Lämpchens, der Router mit dem LAN bleibt an...

    Und selbst wenn kein WLAN-Schalter in HW... meine Güte, da müssen Sie Ihren Umgang mit dem Rechner grundlegend auffrischen, aber wirklich...

  2. Mit dem PC und seinem Netzwerk ist es ja wie mit dem Auto, es muss ständig kontrolliert und gewartet werden.
    Den User/Anwender kann man hier nicht ganz aus der Verantwortung nehmen.

    Ich frage mich auch wo hier das Problem mit den Passwörtern ist? Jeder kann ganz einfach bei der Ersteinrichtung des Routers ein geeignetes, eigenes Passwort eingeben. Daß das nicht unbedingt der eigene Name oder "Passwort" sein soll dürfte klar sein.

    Aber ich habe auch schon das Dollste erlebt, keine Internetsecurity installiert, WLAN offen ohne Passwort..... Es gibt eben nichts was es nicht gibt!!! :-)

  3. Falls Sie sich auch nur im Mindestmaß für Sicherheit im Internet interessieren, und auch nur über ein Mindestmaß an Englischkenntnissen verfügen, dann schauen Sie mal hier vorbei:

    http://twit.tv/sn

    Worum es speziell bei UPnP geht und wie man sich schützt, wissen Abonnenten von Leo Laporte und Steve Gibson schon lange. Es macht sogar Spaß, den beiden zuzuhören, jeden Mittwoch neu.

    • spacko
    • 12. Februar 2013 9:03 Uhr

    Okay, man sollte schon ein Grundverständnis haben, wie so ein Netzwerk funktioniert. Wenn das WLAN "nicht geht", dann muss man halt jemanden fragen, der sich damit auskennt, oder das Ding (oder die Antenne) zumindest abklemmen. Einem WLAN-Router über Monate "aus Versehen" laufen zu lassen - bei allem Verständnis, aber das ist schon extrem leichtfertig. Soviel Naivität ist schon unglaublich (glaubt die Polizei die Story eigentlich?) und wird natürlich bestraft.

    Kommt natürlich immer auf das Setting an. In der Großstadtmietskaserne ist es natürlich wichtig aufzupassen, bei mir im Haus reicht das WLAN nichtmal zum Gartenzaun. Ich hab' noch WEP...

    3 Leserempfehlungen
    Antwort auf "Nix WLAN mehr"
    Reaktionen auf diesen Kommentar anzeigen

    Die Polizei hat das garnicht interessiert. Die haben nur nach Daten gesucht und als sie gemerkt haben das die Daten auz den Rechnern / Datenträgern nicht vorhanden waren, war das Thema durch.
    Ich habe nicht einmal daran gedacht jemanden zu fragen der sich damit auskennt. Denn das Netzwerk ansich funktionierte, das wollte ich ja. Das WLAN funktionierte (nach dem was ich feststellen konnte) eben nicht. Deswegen habe ich es ja nicht genutzt. Und wie soll jemand auf ein nicht funktionierendes WLAN zugreifen?
    Das ist ja das Problem. Man merkt erst hinterher das etwas faul war. Danach habe ich den WLAN Router ja auch entsorgt. Das war nur leider zu spät.
    Ausserdem: Können sie sicher sein das niemand in Ihr WLAN kommt? Selbst Sony-Server werden geknackt oder Twitter. Ich bin leider kein studierter Computerspezialist der alles aus schliessen kann. Also reduziere ich das Risiko einfach dadurch das mein Netzwerk von "Aussen" nicht sichtbar ist.
    Soviel Schutz gibts nicht, daß ich mir wieder WLAN zulegen.

    Zum Thema Naivität:

    WEP ist in etwa so sicher wie Ihr WLAN gar nicht mit einem Passwort zu versehen. Wer rein möchte, kann WEP ziemlich leicht knacken, da sind nicht einmal große Kenntnisse notwenig. WPA2 ist deutlich sicherer.
    DIe Reichweite Ihres WLANs ist auch immer von Ihrem Empfangsgerät abhängig. Nur weil Sie mit Ihrem Laptop/Smartphone nicht mehr darauf zugreifen können, heißt dass nicht, dass Fremde das nicht können. Mit der Argumentation dann WEP zu nutzen, das ist naiv.

  4. Mein Router hängt zusammen mit Laptop, Bildschirm, Drucker etc. an einer Steckerleiste. Bin ich nicht zuhause bzw. schlafe ich, was für 19 Stunden des Tages gilt, ist der Router einfach ausgeschaltet. Für die restliche Zeit muss der WEP2-Schlüssel reichen.
    Das gilt natürlich nur für Privatanwender.

    Reaktionen auf diesen Kommentar anzeigen

    ...meinte ich...

  5. Hier rächt sich die Technikfeindlichkeit der letzten Jahrzehnte. Kurz vorweg: mit technikfeindlich meine ich nicht, dass man sich keine technischen Spielereien kauft, sondern dass man nicht interessiert ist, daran wie die Dinge funktionieren.

    Welcher Autohersteller traut einem noch zu die Zündkerzen zu wechseln? In welcher Bedienungsanleitung gibt es noch Reparaturtipps. Es herrscht immer mehr die Devise:

    ENTHÄLT KEINE ZU WARTENDEN TEILE. NICHT ÖFFNEN. GARANTIE ERLISCHT.

    Wem nicht mehr erlaubt wird unter die Haube zu blicken, wird irgendwann nicht mehr verstehen was unter der Haube los ist.

    Erzählen Sie der Plug&Play Generation nichts über Konfiguration, diese wurde darauf hin konditioniert alles an Konfiguration den default-settings zu überlassen.

    Fragen Sie mal ihre Bekannten ob sie sich vorstellen könnten Linux zu verwenden. - um Gottes willen, viel zu kompliziert.

    3 Leserempfehlungen
    • rahotcl
    • 12. Februar 2013 9:52 Uhr

    Selbst wenn UPnP von Haus aus ausgeschaltet wird...Wer mit Playstation oder XBox Online unterwegs ist, der wird über kurz- oder lang der Versuchung nahekommen UPnP zu aktivieren. Einfach weil die manuelle Portfreigabe umständlich ist, bzw. nicht das gewünschte Resultat liefert.

    Daß bei diesen ganzen Spielereien eine unsichere Konfiguration zurückbleibt ist leider sehr wahrscheinlich.

    Reaktionen auf diesen Kommentar anzeigen

    Also ich habe auf meinem Router einen Passwortschutz, sowohl für die Einstellung des Routers selbst (und das stand ausdrücklich in der sehr kurzen, aber guten Bedienungsanleitung, an die man ganz offensichtlich viele erst mal erinnern muss...) als auch für den Zugriff auf diesen.
    Wenn man mehrere Geräte auf den Router zugreifen lassen will, reicht es doch aus, das Router Zugriff Passwort in diesen zu hinterlegen. Oder geht das nicht bei XBox und ähnlichem? Auf meinem neuen SmartTV und meinem WINDOWS 8 Rechner ist das jedenfalls kein Problem. Auch bei WINDOWS 7 und XP ging das problemlos.

  6. Die Polizei hat das garnicht interessiert. Die haben nur nach Daten gesucht und als sie gemerkt haben das die Daten auz den Rechnern / Datenträgern nicht vorhanden waren, war das Thema durch.
    Ich habe nicht einmal daran gedacht jemanden zu fragen der sich damit auskennt. Denn das Netzwerk ansich funktionierte, das wollte ich ja. Das WLAN funktionierte (nach dem was ich feststellen konnte) eben nicht. Deswegen habe ich es ja nicht genutzt. Und wie soll jemand auf ein nicht funktionierendes WLAN zugreifen?
    Das ist ja das Problem. Man merkt erst hinterher das etwas faul war. Danach habe ich den WLAN Router ja auch entsorgt. Das war nur leider zu spät.
    Ausserdem: Können sie sicher sein das niemand in Ihr WLAN kommt? Selbst Sony-Server werden geknackt oder Twitter. Ich bin leider kein studierter Computerspezialist der alles aus schliessen kann. Also reduziere ich das Risiko einfach dadurch das mein Netzwerk von "Aussen" nicht sichtbar ist.
    Soviel Schutz gibts nicht, daß ich mir wieder WLAN zulegen.

    Eine Leserempfehlung
    Antwort auf "Nix Ahnung - Nix WLAN!"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Telekom | Blog | Blogger | IT-Sicherheit | Internet | Smartphone
Service