Bundesamt für Sicherheit in der Informationstechnik

BSI weist auf Schwachstelle in WLAN-Routern hin

Standard-PIN erlaubt Zugriff auf Netzwerke

Ort Bonn
Datum 25.04.2012

Mehrere von der Deutschen Telekom AG vertriebene WLAN-Router haben nach Informationen des Unternehmens eine Schwachstelle, die den unautorisierten Zugriff auf interne Netzwerke ermöglicht. Dabei handelt es sich um die Modelle Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V. Ursache der Schwachstelle ist ein Fehler der WPS-PIN-Methode (Wi-Fi Protected Setup), über die sich Nutzer mit dem WLAN verbinden können.

Da in diesen Routern der gleiche WPS-PIN existiert, kann auch ein fremdes WLAN-fähiges Gerät wie Laptop oder Smartphone von einem Angreifer unbemerkt an ein internes Netzwerk angeschlossen werden. Anschließend kann der Fremdnutzer über den Internet-Zugang der Betroffenen im Internet surfen und auf die Dateien von Netzwerkfestplatten oder freigegebenen Ordnern zugreifen. Anhand des Typenschildes auf der Rückseite des Routers können WLAN-Nutzer überprüfen, ob sie eines der betroffenen Geräte verwenden.

Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B sollten vorübergehend über die Konfigurations-Weboberfläche des Geräts die WPS-Funktionalität deaktivieren. Bei dem Modell Speedport W 921V funktioniert diese Option nicht und auch das Ändern der PIN schließt die Lücke nicht. Deshalb können sich Betroffene momentan nur durch die Abschaltung des WLANs schützen und kabelgebunden ins Internet gehen. Um durch zukünftige Firmware-Updates geschützt zu werden, sollten Nutzer der entsprechenden Router sicherstellen, dass die Funktion automatischer Updates aktiviert ist. Dafür muss die WLAN-Funktion nicht aktiviert sein.

Update vom 03.05.2012 Die Deutsche Telekom hat ein Firmware-Update für den WLAN-Router Speedport W 921V veröffentlicht.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de