Scheinbar ist WPS als komfortable WLAN-Verbindung per Knopfdruck nicht mehr sicher. Wir zeigen, welche Router von der „WPS-Lücke“ betroffen sind und wie Sie Ihr Drahtlosnetzwerk zu Hause grundsätzlich gegen unerwünschte Zugriffe abschirmen.

Was ist WPS?

Aktuelle WLAN-Geräten sind inzwischen standardmäßig mit der Verbindungstechnik WPS ausgestattet. Mit WPS lassen sich Router und Computer allein durch das Drücken eines Knopfes oder einer Schaltfläche sicher miteinander verbinden. Ende letzten Jahres stießen ein Student und ein IT-Sicherheitsingenieur unabhängig voneinander auf eine Lücke bei der WPS-Methode. Damit lässt sich ein gesichertes WLAN in relativ kurzer Zeit knacken.

WPS-Lücke gefährdet die Sicherheit

Tatsächlich geht es bei der WPS-Lücke gar nicht um die Knopfdruck-Methode, die auch als "Push Botton Configuration" (PBC) bezeichnet wird. Geräte mit diesem Komfort-Feature sind nicht gefährdet.

WPS unterstützt neben "PBC" zusätzlich die PIN-Methode. Dabei handelt es sich um eine weitere Möglichkeit der einfachen Verschlüsselung. Dabei wird die Verbindung zwischen WLAN-Router und -Client über eine kurze Zahlenfolge (PIN) hergestellt.

PINMethode macht Angriff möglich

Meist gibt der Router die PIN vor – manchmal generieren aber auch Computer oder andere WLAN-Gerät die Zahl. Angriffe auf WPS sind bei allen WLAN-Routern mit aktivierter PINMethode möglich. Das gilt ebenfalls bei Routern, die selbst die PIN vorgeben. Da diese nur aus maximal acht Ziffern besteht, kann ein Angreifer die PIN durch Ausprobieren erraten. Ist ihm das gelungen, sendet der Router dem Angreifer das zur WLAN-Verbindung benötigte WPA2-Passwort.

Tipp 1: Überprüfen Sie ob Sie von der WPS-Lücke betroffen sind

Leider ist auf den ersten Blick nicht ersichtlich, ob ein bestimmter WLAN-Router von der zuvor beschriebenen WPS-Lücke betroffen ist oder nicht. Ältere WLAN-Router, die noch nicht den Wireless-n- oder Draft-n-Standard unterstützen, besitzen grundsätzlich keine WPS-Ausstattung und sind somit auch nicht anfällig für die WPS-Lücke.

Die Entdecker der WPS-Lücke stellen kostenlose Tools bereit, mit denen sich ein solcher Angriff auf einen WPS-Router durchführen lässt. Dazu gehören wpscrack oder reaver-wps. Allerdings sind diese Tools nicht für die Nutzung durch den herkömmlichen Windows-Anwender ausgelegt.

Dafür findet hier eine öffentlich zugängliche Google-Tabelle. Dort haben fortgeschrittene Anwender oder Sicherheitsspezialisten deren Testergebnisse mit diversen WLAN-Routern hinterlegt. Mit etwas Glück findet Sie in der nach dem Herstellernamen alphabetisch geordneten Router-Liste auch das eigene Router-Modell. Wichtig ist dabei die Spalte F "Vulnerable (yes/no)". Ein "yes" steht dabei für angreifbar, ein "no" für "nicht angreifbar" oder "sicher".

Auf seinem englischsprachigen Blog beschreibt einer der beiden Entdecker des Sicherheitslecks, was die WPS-Lücke ist und wie sie sich für einen Angriff missbrauchen lässt.

Tipp 2: Deaktivieren Sie WPS falls möglich

Ob sich WPS-PIN deaktivieren oder gleich die gesamte WPS-Technik abschalten lässt, hängt vom jeweiligen Router-Modell ab. Bei manchen Geräten ist WPS-PIN grundsätzlich immer aktiviert, bei anderen WLANRoutern ist der explizite Start der Funktion notwendig. Hier kann eventuell die in Tipp 1 genannte Google-Tabelle weiterhelfen .

In Spalte E unter "WPS enabled by default" ist angegeben, ob WPS-PIN in dem entsprechenden Router standardmäßig aktiviert ist. Ob sich die WPS-Funktion abschalten lässt, steht in Spalte I mit der Bezeichnung "WPS can be disabled (and stays off)". Alternativ prüfen Sie selbst in den Sicherheitseinstellungen Ihres WLANRouters, ob WPS aktiv ist. Sie können natürlich die entsprechenden Änderungen vornehmen.

Bei aktuellen WLAN-Modellen der Fritz!Box-Serie ist die PIN-Methode in den Standardeinstellungen deaktiviert und es funktioniert nur die PBC-Methode per Knopfdruck. Durch Entfernen des Hakens bei WPSFunktion, deaktivieren Sie den Service.

Tipp 3: Aktualisieren Sie die Router-Firmware

Im Hinblick auf die kürzlich aufgedeckte WPS-Lücke, sollte der Router mit der aktuellen, vom Hersteller offiziell freigegebenen Firmware-Version ausgestattet sein. Damit verhindern Sie andere mögliche Schwachstellen im Router. Viele WLAN-Router erledigen diesen Vorgang inzwischen automatisch oder weisen den Anwender zumindest auf neue Versionen auf der Hersteller-Webseite hin.

Allerdings finden sich weiterhin noch einige Router-Modelle, die einen solchen Service nicht bieten. Hier muss der Anwender dann in eigener Regie in regelmäßigen Abständen die Support-Seite des Herstellers prüfen. Nach dem Herunterladen des Firmware-Updates, erfolgt die Aktualisierung dann über das Web-Menü des Routers.

Von den Sicherheitslücken einmal abgesehen, erweitern Updates in der Firmware häufig die Funktionalität des Routers. Vor allem der Hersteller AVM ist dafür bekannt, alle seine Fritz!Box-Modelle immer wieder mit neuen Firmware-Updates zu versorgen, die den Router meist mit einer Reihe neuer Funktionen versorgt. Manchmal dient ein solches Update auch der Umstrukturierung der Benutzeroberfläche des Routers.

Tipp 4: Ändern Sie die Verschlüsselung

Jeder moderne Router unterstützt die als sicher geltende Verschlüsselungsmethode WPA2-PSK. Sie gilt als nicht knackbar. Allerdings verwenden die meisten vorverschlüsselten WLAN-Router neben der WPA2-Verschlüsselung auch deren Vorgänger WPA (TKIP), was wiederum die Kompatibilität für angeschlossene WLAN-Geräte erhöhen soll. Manche ältere WLAN-Adapter unterstützen den WPA2-Standard noch nicht, da dieser aufgrund der stärkeren Verschlüsselung auch höhere Hardware-Anforderungen verlangt.

Falls alle Ihre WLAN-fähigen Geräte (Notebooks, Webradios usw.) mit WPA2 beziehungsweise WPA2-PSK klarkommen, so sollten Sie Ihren Router auf diesen Standard umschalten. Der Kasten "3 Schritte: Umschalten auf reines WPA2" zeigt, wie Sie diese Einstellung in einem aktuellen Fritz!Box-Modell vornehmen.

Beachten Sie, dass alle WLAN-Verbindungen zum Router nach der Umschaltung kurzzeitig unterbrochen sind. Alle Ihre WLAN-Clients stellen kurze Zeit später die Verbindung zum Router automatisch wieder her.

Tipp 5: Generieren Sie ein sicheres Passwort

Ein gutes Passwort für Ihre WLAN-Verschlüsselung sollte aus mindestens 16, besser 20 oder auch mehr Stellen bestehen. Die maximal zulässige Länge für einen solchen WPA-Schlüssel beläuft sich auf 63 Stellen. Er sollte sich aus Groß- und Kleinbuchstaben (A-Z, a-z) sowie aus Ziffern (0-9) zusammensetzen. Sonderzeichen sind zwar ebenfalls erlaubt, können jedoch bei manchen WLAN-Clients zu Problemen führen. Deshalb sollten Sie solche Zeichen besser nicht verwenden.

Idealerweise sollte Ihr Passwort möglichst "unsinnig" sein. Also in keinem Wörterbuch stehen und sich nicht aus aneinander gereihten Wörterbuchworten zusammensetzen. Bitte auch keine berühmten Zitate oder ähnliches verwenden. Ein starkes Passwort könnte wie folgt aussehen: p93XdfruZlq09asDoQtde5i3

Nach der Änderung des neue WPA-Passworts, notieren Sie es oder drucken sich die Daten aus.

Tipp 6: Vergeben Sie ein Zugangspasswort für die Benutzeroberfläche zu Ihrem Router

In letzter Zeit nehmen bestimmte Schadanwendungen Änderungen direkt am Router vor. Dann kann jedes Gerät manipuliert werden, das über diesen Router eine Online-Verbindung herstellt. Möglich wäre beispielsweise die Umleitung von bestimmten Webanfragen oder das Öffnen bestimmter Zugänge in der Firewall des Routers, sodass ein Angriff aus dem Internet erfolgen kann.

Das Passwort muss dabei gar nicht so sicher sein, wie das zu Ihrer WPA2-Verschlüsselung. Als Empfehlung sollten Sie aber dennoch nicht weniger als zehn Stellen verwenden. Um sich das Passwort besser zu merken, verwenden Sie ein längeres Wort wie "Eselsbruecke". Ersetzen Sie bestimmte Buchstaben durch Ziffern wie das "e" durch "4". Schreiben Sie jeden zweiten Buchstaben groß. Mit "4S4LsBrU4Ck4" haben Sie schon ein sicheres Zugangspasswort für Ihren Router.

Tipp 7: Schalten Sie das WLAN vorübergehend ab

Wer schläft, benötigt in der Regel keine Verbindung ins Heimnetz. Deshalb bieten mehr und mehr WLANRouter-Modelle in Ihren Einstellungen die vorübergehende Deaktivierung des Funknetzes an. Dort lässt sich dann beispielsweise einstellen, dass das Funknetz im WLAN-Router täglich von Mitternacht bis 7.00 Uhr morgens abgeschaltet wird. Das hat gleich mehrere Vorteile: Ausgeschaltete WLANs geben Angreifern keine Chance.

Außerdem spart Ihr Router während der Abschaltung Energie. Bei Fritz!Box-WLAN-Routern läuft diese vorübergehende Abschaltung unter "Nachtschaltung". Sind Sie für mehrere Tage oder gar Wochen (Urlaub, Geschäftsreise) außer Haus, sollten Sie Ihren Router ausstecken. Falls Sie sich übers Internet in Ihr Heimnetz einwählen möchten, müssen Sie den Router natürlich eingeschaltet lassen. Deaktivieren Sie dann aber zumindest das WLAN im Router.