Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit “SP-”, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

 Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil “Sommer unseres Lebens” (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

S. auch:

• WLAN-Router: Voreingestellte WPA-Passwörter teilweise zu unsicher
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze

Mit Blick auf das Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier, hier und hier) erhält die heute auf heise-online veröffentlichte Meldung mit dem Titel “WPA-Key von Speedport-Routern zu einfach” neue Bedeutung:

In der Meldung wird berichtet, dass insbesondere bei den (von der Telekom häufig zu DSL-Anschlüssen gelieferten und daher relativ weit verbreiteten) WLAN-Routern der Speedport-Reihe (W700V, W500V; dagegen ist W701V wohl nicht betroffen das voreingestellte Kennwort vom Hersteller zu einfach gewählt wurde. Zwar ist das Kennwort auf den Router individualisiert, aber mit den durch die gesendeten Pakete veröffentlichten Informationen lässt sich der Schlüssel bis auf 3 Ziffern ableiten. Die restlichen 3 Ziffern mit nur 4096 Möglichkeiten lassen sich hingegen leicht durch ein Skript ausprobieren. Damit sind diese Router mit Standardkennwort tatsächlich als unsicher zu bezeichnen.

Der BGH hatte in seinem Urteil vom 12.5.2010 – I ZR 121/08 (Sommer unseres Lebens) den Beklagten deshalb nach den Grundsätzen der Störerhaftung verurteilt, weil er ein solches Routerkennwort nicht geändert hatte. Dabei war der BGH wohl fälschlicherweise davon ausgegangen, dass es sich um ein Standardkennwort wie “1234″ handelte. Der Hersteller AVM hingegen hatte darauf hingewiesen, dass die gewählten Kennwörter zufällig und damit sicher seien (s. hier). Für die o.g. Konkurrenzprodukte stimmt diese These aber nun nicht mehr.

Daher ist jedem Betreiber eines verschlüsselten WLAN – unabhängig vom Hersteller des Routers – mit Blick auf das Urteil des BGH und diese neuen Erkenntnisse zu raten, sein Kennwort individuell festzulegen. Dabei ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.