Veröffentlicht am

Grenzen der Bequemlichkeit

WLAN SicherheitEin WLAN abzusichern kann man jedem zumuten.

Kann man.
Sollte man aber nicht.

 

Sicherheit bleibt etwas Individuelles.

 


Aktuell in der Presse und sogar im Fernsehen: Massenhaft eingesetzte Endgeräte der Telekom haben eine „Sicherheitslücke“.

Was einem dabei zu denken geben sollte? Ganz einfach. Ob man Sicherheitsfeatures im IT-Bereich so umsetzen kann und muss, dass jeder, der einen Toaster bedienen kann sich zutraut das eigene IT-Equipment zu bedienen.

Das mag provokant klingen, aber machen wir uns die Situation einmal klar.

Die Rechtsprechung verlangt vom Betreiber eines Drahtlos-Netzwerks (WLAN), dass dies so konfiguriert sein muss, dass es dem Stand der Technik entspricht. Das bedeutet klar eine Absicherung gegen unbefugte Nutzung und leitet aus dem Nichtvorhandensein von Sicherungsmaßnahmen eine Haftung ab. Den Beteuerungen von Beklagten wurde zum Beispiel nie Glauben geschenkt, dass Netz nicht offen betrieben zu haben. Klare Beweislastumkehr, die im Zivilprozess so auch immer funktionierte, wenn es um Schadenersatzforderung der Film- oder Musikindustrie ging.

Mit dieser Argumentation war klar, dass ein WLAN mit der im Auslieferungszeitpunkt bestmöglichen Verschlüsselung abzusichern ist. Im Grunde kann man als Hersteller bei allen in Deutschland verkauften Geräten eigentlich die Modi „offenes WLAN“, „WEP“ und „WPA“ aus der Firmware heraus lassen. Also rückte „WPA2“ in den Fokus. Längere Passworte, andere Verschlüsselungverfahren und sogar Authentisierungen per Radius-Server…

Und damit wird es problematisch. Die Hersteller trauen oder muten den Anwendern ja nicht einmal zu, Passworte einer bestimmten Länge in all ihre WLAN-Geräte einzutippen. Statt als Hersteller aber hier klar zu empfehlen „Suchen Sie sich einen Experten“, versucht man diese Funktionen durch Automatismen mit Knöpfendrücken zu umschiffen.

Also statt den User für Sicherheit in der IT zu sensibilieren, macht man Sicherheit simpel.

Leider ist IT auch im Heimbereich schon lange nicht mehr simpel. Die kleinsten Router bringen schon Sicherheitsfeatures mit, bei denen der Normalanwender völlig überfordert ist. Wie viele Menschen können denn beurteilen, ob sie Prioritizing, Paketshaping, QoS oder LowLatency Ping brauchen? Oder welche Ports in der Firewall freizugeben sind und welche nicht? Richtig. Das wissen 5% der Anwender. Also von 100.000 Betroffenen im aktuellen Fall 5000. Bei den restlichen 95.000 Anwendern stehen die Geräte mit ziemlicher Sicherheit in den unveränderten Werksvoreinstellungen.

Ist ja auch alles ganz einfach. Gerät verkabeln, Strom drauf, läuft.

Damit man als Hersteller oder Provider auch noch Support leisten kann, falls der Anwender doch mal experimentiert und im Endergebniss nun wirklich alles zerschraubt hat, werden Hintertüren eingebaut. Für die Konfiguration des Router wurde z.B. TR-069 entwickelt. Ein Verfahren, bei dem sich der Router alle notwendigen Konfigurationsdaten selber holt. Und es sind noch weit mehr Dinge damit möglich. Der obige Wikipedia-Artikel sei dem interessierten Leser sehr empfohlen!

Nebenbei werden in die Geräte vermutlich auch feste Testkonfigurationen einprogrammiert, um das WLAN zu testen. Das wäre nämlich eine mögliche Erklärung für das aktuell gefundene Sicherheitsloch. Im Grunde sind beides aus Sicht der Hersteller und Provider völlig nachvollziehbare Funktionen.

Diese Fakten sollten aber vor dem Aspekt Sicherheit klar kommuniziert werden! Und diese Funktionen haben so umgesetzt zu werden, dass der Anwender diese abschalten kann. Zum Beispiel gelten für den Home-Office-Zugang die gleichen Sicherheitsrichtlinien wie im Betrieb. Und da hat niemand ohne explizite Zustimmung Funktionen zu aktivieren oder Logdateien auszuwerten. Auch Software-Updates sind ohne Freigabe durch den Eigentümer fast nach §202 und §303 StGB zu werten.

Vor dem rechtlichen Hintergrund ergibt sich eigentlich nur eine Konsequenz: Wenn ich keinen Einfluss auf die Sicherheit meines WLANs habe, lehne ich auch die Haftung dafür ab! Es ist doch wohl ein schlechter Witz, dass mein WLAN trotz Abschaltung der „Knöpfchen“-Lösung und sogar bei expliziter ABSCHALTUNG des WLAN einen Zugang mit fest einprogrammierten PIN bietet. Und dann auch noch „01234567“.

Die von Hersteller und Inverkehrbringer gezeigte Art mit IT-Sicherheit umzugehen, ist aus meiner Sicht mehr als grob fahrlässig.

Letztendlich liefen in Deutschland einige Prozesse, bei denen es den verklagten Anwendern unmöglich war, den Nachweis zu erbringen, dass das ausreichend abgesicherte WLAN unbefugt genutzt worden sein könnte. Richter haben stets argumentiert, dass die eingesetzten Verfahren zur Absicherung des WLAN sicher sein. Sind die Verfahren auch. Nur die Implementierung in der Hardware aber nicht. Was nun hinreichend bewiesen ist. Bereits gefällte Urteile sollten vor dem Hintergrund der jetzt verfügbaren Informationen noch einmal hinterfragt werden!

Man sollte dem Inverkehrbringer die Geräte auf den Hof kippen und sämtliche Prozesskosten seit der Inverkehrbringung weitergeben!