Es war ja eigentlich schon bekannt, dass einige WLAN-Router von Haus aus unsicher oder unsicher konfiguriert sind (s. hier, hier und hier). Neu ist, dass das Bundesamt für Sicherheit in der Informationstechnik über sein Warnungs-Portal BürgerCERT konkret Nutzer von bestimmten WLAN-Routern warnt (dazu SpOn und heise-online).
In diesem Fall sind die zwei WLAN-Router von Vodafone, nämlich die EasyBox 802 und EasyBox 803 (mit Produktionsdatum vor August 2011), betroffen, die vom Hersteller Arcadyan/Astoria Networks stammen. Die Lücke ist bereits seit Ende 2011 öffentlich bekannt (heise-security v. 29.12.2011).
Auch andere WLAN-Router können solche Unsicherheiten aufweisen (hier, hier und hier).
Im Ergebnis empfiehlt es sich, die Voreinstellungen eines neu gekauften WLAN-Routers genau zu studieren und ggf. zu ändern, wobei man auch konstatieren muss, dass es durchaus WLAN-Router zu geben scheint, die von Anfang an sicher konfiguriert sind (s. z.B. das Urteil des AG Frankfurt v. 14.6.2013 – 30 C 3078/12 (75) oder meine Anmerkung (PDF) zum „Sommer unseres Lebens“-Urteil des BGH, Urt. v. 12.5.2010 – I ZR 121/08, s. dazu hier, hier, hier, hier und hier.
Interessant dürfte letztlich die Frage sein, ab wann nach den Vorgaben des BGH die (für Privatnutzer sicher nicht triviale) Umkonfiguration der Sicherheitsparameter eines WLAN-Routers von Privatpersonen erwartet werden kann bzw. ob eine Warnung des BSI hinreichend ist, um den allgemein bekannten Sicherheitsstandard zu verändern. Möglicherweise ist hierfür eine Berichterstattung in Presse und Fernsehen erforderlich (s. dazu z.B. Mantz, K&R 2007, 566: Die Haftung fu?r kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, (PDF)). Wer also Berichte in den großen Zeitungen oder Fernsehnachrichten hierzu sieht, ist herzlich eingeladen, dies in den Kommentaren zu vermerken oder mir eine Nachricht zu schicken – danke!
Vodafone hat übrigens schon ein Update versprochen. Inwiefern die Nutzer dieses tatsächlich einspielen, ist aber fraglich.
Eine weitere spannende Frage wäre übrigens, ob Vodafone verpflichtet ist, alle ihm bekannten Nutzer dieser WLAN-Router (per Brief) anzuschreiben und auf die Lücke hinzuweisen. Hierfür spricht einiges, da die Lücke riesig und leicht auszunutzen ist. Aus dem TK-Vertrag zwischen dem Kunden und den Nutzern ergeben sich nämlich auch bestimmte Schutz- und Informationspflichten. Wenn Vodafone dies unterließe und dadurch Schäden bei einem Anwender entstehen, könnte durchaus ein Anspruch auf Schadensersatz aus dem zwischen Vodafone und dem Kunden bestehenden TK-Vertrag bestehen – ggf. gemindert durch entsprechendes Mitverschulden im Einzelfall.