Sicherheitslücke im Wlan-Router: Gut gemeint, schlecht gemacht

Die "WPS" genannte Technik soll das Einrichten von Wlan-Routern stressfrei gestalten. Doch damit holt man sich eine Sicherheitslücke aufs Gerät. Experten raten zum Abschalten.

Hackt sich gerade einer rein? Wlan-Router. Bild: ap

KÖLN taz | Das Funknetz zu Hause oder am Arbeitsplatz zu konfigurieren ist für die meisten in etwa so angenehm wie die Steuererklärung: Kryptische Abkürzungen wie "WPA-TSK" oder "DHCP" wollen gemeistert sein, man muss auf allen Geräten ein möglichst kompliziertes Passwort eingeben und nachher funktioniert das Einloggen doch nicht, weil man sich vertippt hat, der Funkkanal vom Nachbarn überstrahlt wird oder warum auch immer.

Um diesen Missstand zu beheben, hatte sich die Industrievereinigung WiFi-Alliance im Jahr 2007 auf eine gemeinsame Lösung mit dem beruhigenden Namen "Wi-Fi Protected Setup" – kurz: WPS – geeinigt, die die Handhabung der Router einfacher machen sollte. Statt wirklich zu verstehen, wie ein Router funktioniert, muss man nur einen Knopf drücken oder einen Nummerncode ablesen und die Netzwerkgeräte konfigurieren sich quasi von selbst.

Doch gut gemeint ist zuweilen das Gegenteil von gut gemacht. Der österreichische Informatik-Student Stefan Viehböck hat sich die WPS-Technik genauer angesehen und kam zu einem vernichtenden Ergebnis: "Schlechtes Design trifft hier auf eine armselige Umsetzung", lautet sein Fazit.

Viehböck hat seine Ergebnisse //sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf%E2%80%9C:nun im Internet veröffentlicht hat und damit für Aufsehen gesorgt. Das Computer-Notfallzentrum der USA (US-Cert) gab bereits eine öffentliche Warnung für die meisten gängigen Router heraus.

Einfache Fehler mit katastrophaler Wirkung

Viehböck fand gleich zwei grundlegende Fehler. Fehler Nummer eins: Die Router geben bei einem falsch eingegebenen Passwort Hinweise auf die Art des Fehlers preis. Kommt die Fehlermeldung schnell, ist der Fehler in den ersten zwei Ziffern. Dauert es etwas länger, stimmt die zweite Hälfte des Nummerncodes nicht.

Das klingt nach nicht viel, erleichtert das Knacken aber fundamental: denn statt 100 Millionen Kombinationen muss der Einbrecher nur zwei Mal 10.000 Pins durchprobieren. Dank eines weiteren Designfehlers lässt sich die Zahl sogar auf 11.000 reduzieren.

Fehler Nummer zwei: Die Router akzeptieren quasi unbegrenzt neue Kombinationen, bis ihnen endlich die richtige Nummer gegeben wird. Anders als etwa am Geldautomaten, wo nach ein paar Eingaben die Karte im Schacht verschwindet, kann ein Eindringling am Router lustig weitertesten. Mit einem kurzen Programm lässt sich die Nummernsuche automatisieren.

Viehböck ist nicht der erste, der auf die Schwachstellen stieß. Die US-Firma Tactical Networks Solutions hat sogar schon ein Jahr lang an einer kommerziellen Software gearbeitet, die die WPS-Lücken auszunutzt. Nach der Veröffentlichung Viehböcks wurde die Software als Open-Source freigegeben. "Wenn sich unten am Router ein Aufkleber mit einer PIN befindet, dann ist das Gerät mit hoher Wahrscheinlichkeit verwundbar", sagt Viehböck im Gespräch mit taz.de.

Unentdeckte Mitsurfer sind ein Risiko

Die Folge: ein Angreifer kann bei aktiviertem WPS in wenigen Stunden den Verschlüsselungsschutz brechen und so die Internetverbindung des Router-Besitzers unentdeckt mitnutzen. Wenn der Angreifer beispielsweise Filme oder Musik herunterlädt, kann dies für den Anschlusseigentümer teuer werden – Gerichte gehen dann von einer Mitstörerhaftung des Anschlussinhabers aus, der seinen Router vor unbefugtem Zugriff sichern muss.

Noch schlimmer, wenn strafbare Inhalte von dem Internetanschluss verbreitet werden – zwar sind die Anschlussinhaber juristisch dann nicht direkt haftbar, sie müssen aber mit Wohnungsdurchsuchungen oder Beschlagnahmung der Computer rechnen.

Als Sofortmaßnahme empfielt Viehböcks die WPS-Funktion abzuschalten – sofern das der Router überhaupt zulässt. Wie viele Router in Deutschland betroffen sind, ist unklar. Zwar verfügen die Geräte, die von den Providern Deutsche Telekom und 1&1 ausgeliefert werden die WPS-Funktion, sie ist aber von Hause aus deaktiviert. Anders beim Provider Vodafone: Bei der "Easybox" ist WPS Viehböck zufolge aktiviert und kann so ungebetenen Gästen schnellen Zugriff bieten.

Gegenüber taz.de bestätigt der Router-Hersteller Buffalo, dass die eigenen Geräte von der Attacke betroffen sind. "Generell ist es so, dass dieser Standard eine Schwäche hat. Aber wenn man als Hersteller kompatibel sein will, dann muss man diese Schwächen in Kauf nehmen", erklärt das Unternehmen gegenüber taz.de. Immerhin können die Besitzer dieser Router die WPS-Funktion wieder deaktivieren.