Schlagwort-Archive: WPS

AG Braunschweig: Keine Haftung bei nachgewiesener Sicherheitslücke des WLAN-Routers (hier: Speedport-Router der Telekom)

Wie die Initiative Abmahnwahn berichtet, hat das AG Braunschweig in einem Filesharing-Fall die Klage auf Schadensersatz und Ersatz der Abmahnkosten abgewiesen, nachdem der Beklagte als Anschlussinhaber dargelegt hatte, dass er zum Zeitpunkt der angeblichen Rechtsverletzung einen WLAN-Router des Typs „Speedport 504 W“ im Einsatz hatte (AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14). Da bei diesem WLAN-Router eine erhebliche Sicherheitslücke bestand, durch die sich Dritte Zugang zum WLAN des Beklagten hätten verschaffen können, hat das Gericht die Vermutung, dass der Anschlussinhaber der Täter sei, zurückgewiesen. Als Folge hat das Amtsgericht weder den Schadensersatzanspruch noch den alternativ auf die Grundsätze der Störerhaftung gegründeten Anspruch auf Ersatz der Abmahnkosten zuerkannt.

Das Urteil ist unter Berücksichtigung der Rechtsprechung des BGH, insbesondere BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, MMR 2010, 565 (PDF), folgerichtig. Zwar sieht der BGH in ständiger Rechtsprechung (zuletzt BGH Urt. v. 8.1.2014 – I ZR 169/12, K&R 2014, 516 – BearShare) eine Vermutung zu Lasten des Anschlussinhabers. Diese kann aber erschüttert werden, indem der Anschlussinhaber in Erfüllung seiner sekundären Darlegungslast Umstände darlegt, die ernsthaft die Möglichkeit belegen, dass ein Dritter die Rechtsverletzung begangen haben kann. So war es im Fall des AG Braunschweig, denn der WLAN-Router wies eine Sicherheitslücke im WiFi-Protected Setup (WPS) auf, durch die Dritte die WPS-PIN erraten konnten (s. auch kürzlich wieder hier). Damit scheidet die Haftung auf Schadensersatz aus.

Interessant wird es, wenn man sich überlegt, ob der Beklagte vielleicht als Störer haften könnte. Aber auch hier kommt dem Anschlussinhaber die Rechtsprechung des BGH „Sommer unseres Lebens“ (s.o.) zu Hilfe: Der private Anschlussinhaber muss nur diejenigen Sicherheitsvorkehrungen treffen, die zum Zeitpunkt der Anschaffung und Einrichtung des WLANs üblich waren – und diesen Standard hat der Beklagte mit Belassung der Voreinstellungen hier wohl erfüllt. Jedenfalls konnte danach vom Anschlussinhaber nicht verlangt werden, auf seinem Router ein Firmware-Update einzuspielen, das die Lücke behoben hätte – zumal das Firmware-Update zum Zeitpunkt der Rechtsverletzung noch gar nicht existierte, und die Lücke auch noch nicht der allgemeinen Öffentlichkeit bekannt war. An genau dieser Stelle zeigt sich übrigens, zu welchen Einzelfallentscheidungen die Rechtsprechung des BGH führt: Obwohl die Lücke noch nicht allgemein bekannt, aber dennoch vorhanden war, bestand nach Auffassung des AG Braunschweig die ernsthafte Möglichkeit, dass ein Dritter diese Lücke ausgenutzt hat, zumal der Beklagte in einem Mehrparteienhaus wohnte …

Berücksichtigen könnte man noch, dass der BGH auf der anderen Seite in der Entscheidung „Sommer unseres Lebens“ festgestellt hat, dass der Anschlussinhaber wenigstens das zur Verschlüsselung genutzte Kennwort ändern muss (dazu hier; s. auch Urteil des AG Frankfurt hier). Mit diesem Argument hätte man hier an eine Störerhaftung des Beklagten denken können. Allerdings lautete der Vortrag des Beklagten hier nicht, dass das standardmäßig eingestellte WLAN-Kennwort seines Routers unsicher war (dazu speziell auch zu Telekom-Routern hier und hier), sondern, dass eine Lücke im WPS-System vorhanden war, durch die sich die PIN des WPS erraten lässt – und das ist wohl vollkommen unabhängig davon, ob man sein Kennwort ändert.

Volltext AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14 (PDF) – zur Orientierung: Eingekleidet ist die Entscheidung in die Aufhebung eines Vollstreckungsbescheides.

Update: Über den Fall berichten u.a. auch:

BSI warnt Vodafone-Nutzer vor schwerer Lücke in WLAN-Routern (WPS)

Es war ja eigentlich schon bekannt, dass einige WLAN-Router von Haus aus unsicher oder unsicher konfiguriert sind (s. hier, hier und hier). Neu ist, dass das Bundesamt für Sicherheit in der Informationstechnik über sein Warnungs-Portal BürgerCERT konkret Nutzer von bestimmten WLAN-Routern warnt (dazu SpOn und heise-online).

In diesem Fall sind die zwei WLAN-Router von Vodafone, nämlich die EasyBox 802 und EasyBox 803 (mit Produktionsdatum vor August 2011), betroffen, die vom Hersteller Arcadyan/Astoria Networks stammen. Die Lücke ist bereits seit Ende 2011 öffentlich bekannt (heise-security v. 29.12.2011).

Auch andere WLAN-Router können solche Unsicherheiten aufweisen (hier, hier und hier).

Im Ergebnis empfiehlt es sich, die Voreinstellungen eines neu gekauften WLAN-Routers genau zu studieren und ggf. zu ändern, wobei man auch konstatieren muss, dass es durchaus WLAN-Router zu geben scheint, die von Anfang an sicher konfiguriert sind (s. z.B. das Urteil des AG Frankfurt v. 14.6.2013 – 30 C 3078/12 (75) oder meine Anmerkung (PDF) zum „Sommer unseres Lebens“-Urteil des BGH, Urt. v. 12.5.2010 – I ZR 121/08, s. dazu hier, hier, hier, hier und hier.

Interessant dürfte letztlich die Frage sein, ab wann nach den Vorgaben des BGH die (für Privatnutzer sicher nicht triviale) Umkonfiguration der Sicherheitsparameter eines WLAN-Routers von Privatpersonen erwartet werden kann bzw. ob eine Warnung des BSI hinreichend ist, um den allgemein bekannten Sicherheitsstandard zu verändern. Möglicherweise ist hierfür eine Berichterstattung in Presse und Fernsehen erforderlich (s. dazu z.B. Mantz, K&R 2007, 566: Die Haftung fu?r kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, (PDF)). Wer also Berichte in den großen Zeitungen oder Fernsehnachrichten hierzu sieht, ist herzlich eingeladen, dies in den Kommentaren zu vermerken oder mir eine Nachricht zu schicken – danke!

Vodafone hat übrigens schon ein Update versprochen. Inwiefern die Nutzer dieses tatsächlich einspielen, ist aber fraglich.

Eine weitere spannende Frage wäre übrigens, ob Vodafone verpflichtet ist, alle ihm bekannten Nutzer dieser WLAN-Router (per Brief) anzuschreiben und auf die Lücke hinzuweisen. Hierfür spricht einiges, da die Lücke riesig und leicht auszunutzen ist. Aus dem TK-Vertrag zwischen dem Kunden und den Nutzern ergeben sich nämlich auch bestimmte Schutz- und Informationspflichten. Wenn Vodafone dies unterließe und dadurch Schäden bei einem Anwender entstehen, könnte durchaus ein Anspruch auf Schadensersatz aus dem zwischen Vodafone und dem Kunden bestehenden TK-Vertrag bestehen – ggf. gemindert durch entsprechendes Mitverschulden im Einzelfall.

Sicherheitsproblem bei WLAN-Routern mit WPS

Wie der Standard aus Österreich berichtet, sind Router, die WPS (Wi-Fi Protected  Setup) anbieten, durch Brute Force-Attacken gefährdet. Dabei benötigt man zum Einbrechen in ein WLAN ca. 90 Minuten:

Ein Authentifizierungsvorgang dauerte je nach Router zwischen 0,5 und drei Sekunden. Damit würde es 90 Minuten bis zehn Stunden dauern, bis man Zugang zu den Routern erhält. Im Durchschnitt benötigte das Programm 5.500 Sekunden.

Entdeckt wurde die Sicherheitslücke von Stefan Viehböck. Auf seiner Webseite beschreibt er die Lücke in einem Paper ausführlich. Darin heißt es u.a.:

An attacker can derive information about the correctness of parts the PIN from the AP´s responses.

  • If the attacker receives an EAP-NACK message after sending M4, he knows that the 1st half of the PIN was incorrect.
  • If the attacker receives an EAP-NACK message after sending M6, he knows that the 2nd half of the PIN was incorrect.

This form of authentication dramatically decreases the maximum possible authentication attempts needed from 10^8 (=100.000.000) to 10^4 + 10^4 (=20.000).

As the 8th digit of the PIN is always a checksum of digit one to digit seven, there are at most 10^4 + 10^3 (=11.000) attempts needed to find the correct PIN.

Das US-CERT hat auf Meldung von Stefan Viehböck hin eine Warnung veröffentlicht.

Es ist daher insgesamt zu raten, am WLAN-Router WPS zu deaktivieren.

Die Lücke zeigt erneut, dass WLAN-Router auch mit eingesetzter Verschlüsselung nicht als sicher zu bezeichnen sind.

(via @Muschelschloss)