Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit „SP-„, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

 Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil „Sommer unseres Lebens“ (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

S. auch:

• WLAN-Router: Voreingestellte WPA-Passwörter teilweise zu unsicher
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze