Dein WLAN-Passwort hat 37 Stellen, besteht aus Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, klingonischen Zeichen und Shaper-Glyphen? Dann ist es ja sicher. Bestimmt. Oder doch nicht?
Immer mehr mobile Devices sind in unseren Taschen, immer mehr Menschen haben ein Smartphone in der Tasche und immer mehr Menschen haben das Bedürfnis, online zu sein. Das ist so ok, ich gehöre ja auch dazu.
Immer öfter bekomme ich, wenn ich zu Besuch bin, auch das WLAN-Passwort mit. Manchmal wird es mir gesagt, damit ich mein Smartphone, das Tablet oder Notebook anmelden kann, manchmal tippt die Hausherrin (oder der Hausherr) es ein, damit ich es nicht sehen kann.
Man vertraut mir, dass ich nicht das Passwort am Ende doch auslese. Es gibt für Windows entsprechende Programme, mit denen man es auslesen kann. Auch unter Linux geht das und für den Mac gib es sicher auch entsprechende Software.
Gerootete Android-Handies geben die Passworte ebenso preis – die Apps dazu sind sogar im PlayStore vorhanden – wie es bei gejailbreakten iPhones und iPads geht.
Gut, ich bin vertrauenswürdig wie wohl die meisten unserer FreundInnen, Geschwister, SchwägerInnen, Schwiegereltern. Die Gefahr, dass ich mich mit dem Notebook vor irgendjemandes Haus stelle und Filme in Tauschbörsen lade oder Erpresserbriefe maile, was dann alles über die IP-Adresse dem Inhaber des WLAN zugerechnet würde, liegt bei ungefähr 0.
Die neulich geknackten iCloud-Speicher von vornehmlich weiblichen Promis haben mich nachdenklich gemacht.
Android, das ist jedem bewusst, der mal ein zusätzliches bzw. neues Handy oder Tablet unter seinem Google-Account angemeldet hat, speichert die WLAN-Passworte. Setze ich mein Handy oder Tablet auf Werkseinstellungen zurück oder richte ich ein neues ein, sind alle WLANs automatisch konfiguriert.
Ich hab das neulich beim Android-Modul meines Fernsehers gemacht. Obwohl der seit drei Jahren mein Wohnzimmer nicht verlassen hat, könnte er sich ohne weiteren Eingriff meinerseits nun in zwei Hotels auf Mallorca, im Café Katzenberger, dem BurgerKing in Calla Millor und noch anderen passwortgeschützten WLANs anmelden, in denen mein Handy mal online war.
Wer in der Lage ist, mein Google-Passwort zu erraten, hätte damit Zugriff auf all diese WLAN-Passworte. Gut, ich habe eine zweifaktorielle Authentisierung aktiviert, das macht es extrem schwieriger, aber das macht nicht jeder.
Die Speicherung der Passworte ist bei iOS und der iCloud ähnlich. Zwar werden die Passworte unabhängig von der Apple-ID nur auf dem Gerät wieder hergestellt, auf dem sie mal eingegeben wurden, da die Verschlüsselung über die UDID des Gerätes erfolgt, aber auch iOS 7 kann per Jailbreak geöffnet werden, und wenigstens in der Piracy-Szene gibt es Programme, um die UDID zu faken bzw. zu ändern.
Wer das Passwort zu einem Google- oder Apple-Account knackt, hat daher mit ausreichend krimineller Energie die Möglichkeit, alle WLAN-Passworte auszulesen. Indem er ein Gerät zurücksetzt und aus der Google- bzw. iCloud-Sicherung wiederherstellt, dann rootet bzw. jailbreakt und das Passwort ausliest.
„Aber wer macht denn sowas, nur um mein WLAN nutzen zu können?“
Niemand. Jedenfalls nicht gezielt. Zumal die meisten Passworte bei Google recht sicher sein können. Bei der Apple-ID bin ich mir da nicht sicher. Mein dienstliches iPhone fragt bei jedem Zugriff auf den AppStore nach dem Passwort, ich muss es also jedes Mal neu eingeben. Ein starkes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und einer Länge oberhalb von 8 Zeichen ist da lästig genug.
Auf dem Dienst-iPhone brauche ich das Passwort nur alle Jubeljahre, aber was ist mit all den jüngeren und älteren Leuten, die über das iPhone oder iPad ihr komplettes Entertainmentprogramm beziehen? Die also jeden Tag etliche Male nach dem Passwort gefragt werden, um z.B. ihre Serien beziehen zu können?
Denkbar ist wohl folgendes Szenario:
Jemand schreibt eine App für eine bestimmte Zielgruppe, die schnell um sich greift und einen Hype auslöst. Sowas wie der Yo-Messenger neulich, wobei ich nicht unterstellen will, dass die Entwickler sowas beabsichtigt haben.
Zur Identifizierung des Spielers oder Nutzers wird die Apple- bzw. Google-ID ausgelesen und an die Zentrale geschickt. Das ist erstmal ungefährlich.
Irgendwie wollen wir mit der App auch Geld verdienen. Um die einem Nutzer in Köln keine Werbung für ein Restaurant in Hong Kong zu zeigen, wird der Standort ausgelesen.
Nun hängt die Sicherheit der WLANs, zu denen die Geräte mit dieser App Zugriff haben, von der Stärke der Passworte ab, die für die entsprechenden Apple- oder Google-IDs benutzt werden.
Die Liste der 25 häufigsten Passworte ist ja ein Running Joke im Internet, aber wenn man alle Nutzer einer hypenden App wie Flappy Bird, Yo, Goat Simulator etc. mal durchprobiert, wird man meiner Überzeugung nach erschreckend oft auf entsprechend unsichere Kennnwörter stoßen.
Durch die Ortsbestimmung ist dem Bösewicht hinter der App auch bekannt, wo der Nutzer sich so rumtreibt, in welcher Gegend die WLAN-Passworte also nützlich sind. Möglicherweise hat er auch Zugriff auf die Datenbanken eines WLAN-basierten Ortungsdienstes? Google und Apple haben sowas, man kann in der Google API derzeit wohl nur nach der MAC-Adresse des Routers suchen, aber auch da sind Sicherheitslücken technischer und menschlicher Art denkbar und es gibt auch noch einige andere Anbieter.
Was hat man nun von solchen Daten?
Bezogen auf die Länder, in denen die Medienindustrie das Internet kontrollieren will, weil es ja voller Raubkopierer steckt, sehr viel. Auch Menschen, die illegale Inhalte tauschen wollen, würden sehr gerne in fremde WLANs gehen, egal, ob sie Drogen, Waffen der Kinderpornos vertreiben wollen.
Kommen wir zur Eingangsfrage zurück.
Dein WLAN-Passwort hat 37 Stellen, besteht aus Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, klingonischen Zeichen und Shaper-Glyphen. Ist es also sicher?
Nein, es ist nur so sicher, wie die Passworte, über die all die Geräte in der Cloud gesichert werden, denen das Passwort bekannt ist.
Was können wir tun?
Entweder niemandem das Passwort geben – das wäre unkollegial. Oder einen Router mit zwei Passworten – einem für Gäste – nutzen, das letztere ändern wir dann immer wieder mal.
Oder für ein paar Euro einen zweiten Router mit der Firmware für Freifunk ans Netz hängen. Der Router braucht kein Kennwort. Freifunk routet allen Traffic über ein virtuelles privates Netz (VPN) über das Ausland und verhindert strafrechtliche Verfolgung. Gleichzeitig tut man was Gutes für alle anderen, indem man seine Flatrate mit der Öffentlichkeit teilt.
Und wenn es erstmal genügend Freifunk-Knoten gibt und der eigene Provider mal ein technisches Problem hat, routen die Freifunk-WLANs auch Deinen Traffic untereinander weiter bis zum ersten Knoten, der noch ins Netz kommt (Mesh-Network nennt man das).
Und wir können das vielleicht nutzen: Wenn beispielsweise eine Anwältin oder ein Anwalt mit entsprechender Kenntnis in Netzdingen diese theoretische Möglichkeit des WLAN-Missbrauchs nutzt, um vor Gericht die Störerhaftung eines Anschlussinhabers auszuhebeln.