Ein Student aus Österreich hat bei Millionen von WLAN-Routern eine Sicherheitslücke aufgedeckt. Informatikstudent Stefan Viehböck dokumentiert in seinem Blog sviehb die Schwachstellen des Wi-Fi Protected Setup (WPS)-Verfahrens. Inzwischen hat auch der US-Verbund für Cyber-Sicherheit CERT eine offizielle Warnung herausgegeben und die Lücke bestätigt.
Das System WPS wurde 2007 eingeführt und soll die Einrichtung verschlüsselter WLANs vereinfachen. Über einen Knopfdruck am Router oder einer vorgegebene PIN-Nummer lässt sich das als sicher erachtete Verschlüsselungsverfahren konfigurieren. Danach ist der Laptop ohne weitere Passworteingabe ans Netzwerk angeschlossen. Wird dieser PIN vom Router konfiguriert, kommt es zu der von dem FH-Studenten erkannten Sicherheitslücke. Demnach lassen sich, ohne dass die Verbindung unterbrochen wird, unzählige PIN-Kombinationen ausprobieren. Von der Sicherheitslücke sollen Millionen von Routern betroffen sein.
Die Sicherheitslücke, die Viehböck aufgespürt hat, soll offenbar schon länger bekannt gewesen sein und könnte jetzt ein rechtliches Nachspiel haben. Der Bundesgerichtshof (BGH) hatte im Mai 2010 ein Urteil (Az.: I ZR 121/08) zur Störerhaftung für Betreiber von WLANs verkündet. Demnach können Privatpersonen “auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird”, urteilten die Richter.
Die US-Behörde CERT empfiehlt den Nutzern, WPS zu deaktivieren, bis es eine Lösung für das Sicherheitsproblem gibt. Schützen kann man ein Funknetz vor solchen Angriffen vorerst, indem man in der Konfigurationsoberfläche WPS abschaltet, empfiehlt Vieböck.
http://www.spiegel.de/netzwelt/web/0,1518,806276,00.html
