Router-Schwachstelle Bundesamt warnt Vodafone-Kunden

Es gibt eine gravierende Sicherheitslücke in Vodafone-Routern. Angreifer können vertrauliche Informationen der Kunden kopieren oder den Internetzugang für illegale Aktivitäten nutzen. Vodafone kennt die Schwachstelle seit Monaten, nun warnt das Bundesamt BSI.

Hamburg - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt  Kunden des Telekommunikationsanbieters Vodafone vor einer schwerwiegenden Sicherheitslücke. Angreifer können unbemerkt Kontrolle über die von Vodafone vertriebenen DSL-Router Easybox 802 und 803 (mit Produktionsdatum vor August 2011) erlangen.

Das BSI hat die Sicherheitslücke mit der zweithöchsten Risikostufe überhaupt bewertet. Die Schwachstelle liegt bei der sogenannten WPS-Konfiguration. Eigentlich soll WPS es Nutzern vereinfachen, ihren neu gekauften Router zu konfigurieren. Auf vielen WPS-Geräten klebt dazu eine Folie mit einer aufgedruckten achtstelligen PIN. Will man sich von seinem Computer aus beim Router einloggen, um Einstellungen zu ändern, muss man diese PIN eintippen.

BSI rät: WPS deaktivieren

Bei den von Vodafone ausgegebenen Routern können allerdings Angreifer in Reichweite des W-Lans eines solchen Routers die Standard-WPS-PIN sowie das Passwort der W-Lan-Verschlüsselung ermitteln und so Zugriff auf das interne Netz erlangen. Die Folgen können gravierend sein: Die Angreifer können für die Besitzer unbemerkt deren Internetanbindung mitnutzen - zum Beispiel zum Herunterladen oder Anbieten illegaler Daten (Raubkopien, Kinderpornografie). Angreifer können auch Daten im Netzwerk ausspähen, Logins oder ähnlich sensible Informationen mitschneiden.

Das BSI empfiehlt  den Besitzer eines solchen Vodafone-Routers folgende Maßnahmen:

  • Die vorgegebene WPS-Pin ändern.
  • WPS generell deaktivieren.
  • Das W-Lan-Passwort ändern.

Vodafone seit Monaten informiert

Vodafone hat auf eine Anfrage von SPIEGEL ONLINE bis zur Veröffentlichung dieses Artikels nicht reagiert.

Entdeckt hat die Sicherheitslücke Stefan Viehböck von der Sicherheitsberatung SEC Consult. Aus seiner Dokumentation  geht hervor, dass Vodafone seit Dezember 2012 von der Sicherheitslücke weiß. Bis heute hat das Unternehmen seine Kunden nicht über die Schwachstelle informiert.

In den vergangen acht Monaten hat Vodafone kein Sicherheitsupdate für die Software der eigenen Geräte veröffentlicht. Selbst nach der öffentlichen Warnung des BSI schweigt das Unternehmen. Die Firma greift auf den eigenen Twitter- und Facebook-Konten nicht einmal die BSI-Warnung auf.

Anmerkung der Redaktion: Nach Veröffentlichung dieses Artikels teilte Vodafone mit, welche EasyBox-Geräte genau betroffen sind. Man könne dies anhand der ersten vier Zeichen der Seriennummer ("Rxxx") feststellen. Betroffen sind Geräte mit Seriennummern, die mit "R134" oder kleiner beginnen, also auch R121, R034. Vodafone entwickelt nun eine neue Firmware für die älteren EasyBoxen.

Die Wiedergabe wurde unterbrochen.