Netzwerkgeräte wie DSL-Router, WLAN-Repeater, Adapter für Netzwerkaufbau über die Stromleitung, Smart TVs, IP-Kameras und Drucker stehen dieses Jahr wie noch nie zuvor im Kreuzfeuer der Angriffe auf Netzwerke. Deshalb ist es wichtig, sich mit der Absicherung dieser Geräte zu beschäftigen.
Beispiel: Die Easybox von Vodafone
Wer eine Easybox von Vodafone als DSL-Router einsetzt, muss damit rechnen, dass in diesem Gerät eine schon sehr lange existierende Sicherheitslücke immer noch offen steht: und zwar hat Vodafone eine sehr schwache Funktion verwendet, um voreingestellte Passwörter zu generieren, so dass der Router sehr leicht übernommen und umprogrammiert werden kann.
Aus Bequemlichkeit für den Kunden sind die meisten Router und andere Geräte auf einfache Standardeinstellungen vorkonfiguriert. Was aber für den Kunden bequem ist, ist für den Angreifer noch viel bequemer.
Wer seinen DSL-Router im Auslieferungszustand anschließt und die Konfiguration nicht ändert, begibt sich in unnötige Gefahr. Deshalb ist es besonders wichtig, dass Sie sich darüber informieren, wie der Router zunächst korrekt und sicher eingerichtet wird, und in der Folge immer wieder überprüfen, ob es für den Router eine neue Firmware oder ein Sicherheitsupdate gibt, das übrigens auch nützliche neue Funktionen bieten kann.
Im Falle der Easybox wurden die unsicheren Verfahren nach der ersten entdeckten Lücke durch weitere, kaum sicherere Verfahren ersetzt, die jedes Mal binnen kürzester Zeit ebenfalls geknackt wurden. Im August 2013 meldete Vodafone die Lücke auf der eigenen Webseite – wie heise.de aktuell berichtet, hat sich die Situation seither aber nicht wesentlich gebessert.
Grundsätzliche Absicherung von Netzwerkgeräten
Viele Netzwerkgeräte sind im Auslieferungszustand auf Benutzernamen, Zugriffspasswörter und ggfs. Verschlüsselungscodes voreingestellt, die häufig nicht über das Niveau von admin, admin, 1234 hinausgehen. Diese Codes sind auf einem Aufkleber am Gerät oder in der Bedienungsanleitung aufgedruckt. Selbst wenn ein langer Sicherheitsschlüssel den Anschein erweckt, es handele sich z.B. um eine völlig zufällige 16-stellige Zahl, die unmöglich erraten werden kann: häufig werden diese Zahlen nach einem simplen Mechanismus ermittelt, der nur eine Handvoll von Möglichkeiten erlaubt.
Grundsätzlich gilt deshalb für alle Geräte, die sich in das Netzwerk integrieren und das Internet nutzen können:
- Lesen Sie die Bedienungsanleitung genau und konfigurieren Sie das Gerät vollständig. Überspringen Sie z.B. nicht die Konfiguration des neuen Druckers für den WLAN-Zugriff, weil Sie ihn sowieso nur kabelgebunden nutzen wollen. Schalten Sie alle nicht benötigten Funktionen aus.
- Ändern Sie grundsätzlich das Passwort für die Konfiguration und am besten auch, wenn möglich, den Namen des Administrator-Benutzers. Praktisch jedes Gerät bietet einen kleinen Webserver und eine Internetseite für die Konfiguration an, die Sie in Ihrem Browser aufrufen können.
- Verwenden Sie für Ihr WLAN einen selbst festgelegten und möglichst langen Schlüssel und achten Sie darauf, dass WPA2-Verschlüsselung verwendet wird. Das alte WEP-Verfahren, das viele Geräte noch anbieten, ist längst geknackt.
- Schalten Sie Funktionen wie den Fernzugriff aus dem Internet auf Netzwerkgeräte ab, wenn Sie diese Funktion nicht benötigen. Es gibt beispielsweise mittlerweile schon Webseiten, die die Bilder von nicht umkonfigurierten netzwerkfähigen Webkameras ganz öffentlich zugänglich machen. Dies gelingt, weil der Fernzugriff nicht abgeschaltet wurde und die Zugriffsdaten-Kombination admin / admin nicht geändert wurde.
- Schalten Sie Konfigurationshilfen wie WPS ab, die dazu dienen, das Funknetz schnell und bequem einzurichten, sobald Sie sie nicht mehr benötigen.
Wenn Ihnen das alles zu umfangreich und kompliziert erscheint, wenden Sie sich an einen Fachmann, der Ihr Netzwerk überprüft und sinnvolle Einstellungen vornimmt. Im Raum Remscheid, Solingen und Wuppertal können Sie sich gerne an mich wenden.
