Eines gleich vorab: dieser Beitrag dient nicht dazu A1 kategorisch als unsicher oder völlig unfähig zu bezeichnen – ich nutze A1 Produkte selbst seit rund 15 Jahren und führe in keinster Weise persönlichen Vendetta gegen diese Firma. Dieser Text soll symbolisch für ein – meiner Meinung nach – großes Problem unserer Gesellschaft stehen: Produkte und Software werden per default unsicher einer breiten Masse zur Verfügung gestellt.
Vor ein paar Wochen war ich bei meinen Schwiegereltern auf Besuch und das Unumgängliche ist passiert: das Internet funktionierte nicht. Ob ich mir das als „ITler“ anschauen könne? Sicher 😉
Nerdom to the rescue! Ab ins WLAN und rein in den Terminal. Doch was als einfaches Problem begonnen hat (Netzwerkkarte des PCs hat gejammert), wurde nach einer kurzen Konsultierung des Routers zu einer klaffenden Sicherheitslücke.
Kontext: vor nicht allzu langer Zeit wurde ein “neues Internet” aka Vertrag abgeschlossen. A1 lieferte dabei ihren Flagschiff-Router aus: die A1 Hybrid Box aka Huawei HA35-22/AM. Auch wenn ich persönlich kein Fan von diesen mitgelieferten Kisten bin, weil oft technologisch veraltet, sollte der Router für “normale” Haushalte ausreichen. Was mich eher schockiert hat, war die Absicherung dieses Produkts – nämlich keine.
You read that right: A1-Router kommen per default ohne Passwort. Jede/r im Netzwerk kann also tun und lassen was ihm/ihr gefällt. Nice!
Als First-Class-Jammerer und mitteilungswütiger Mitbürger musste ich natürlich gleich meinen Unmut kundtun:
Liebes @A1Telekom. Das Ausliefern von Routern OHNE Passwort ist ein Verbrechen an der Sicherheit eurer Kunden! #network #security
— Michael Goldbeck (@m_goldbeck) June 17, 2017
So weit, so groovy. Was mich dann aber wirklich von den Socken gehauen hat, war die darauf folgende Konversation mit dem A1-Account. Und ich meine dabei nicht die offensichtlich mangelnde technische Expertise des Antwortenden – nicht jeder muss sich zwangsläufig mit dem Thema auseinandersetzen, immerhin werden die meisten Anfragen zu Paketen und Abrechnungen sein; so zumindest meine Annahme. Was mich zutiefst schockiert hat, war die entgegengebrachte Ignoranz und Gleichgültigkeit der Antworten.
Eigentlich sollte jeder Internetnutzer sich Gedanken über die Sicherheit seines Internetzgangs machen. ^LG Frederic
— A1 (@A1Telekom) June 17, 2017
I mean, wtaf? Der User ist selbst schuld, wenn er/sie ein vom Unternehmen als Plug-and-Play beworbenes Produkt nicht selbst absichert? Sonst geht’s aber schon noch, oder? In Zeiten des Internet-of-Bad-Things sollten vor allem ISPs ihrer Verantwortung gerecht werden und gängige Standards einhalten. Und wenn schon nicht dynamisch beim ersten Start des Routers ein Passwort generiert wird, dann sollte zumindest mit der Auslieferung des Geräts eines gesetzt sein. Vor allem wenn man sich auf der Website mit “Smart Home” Absicherung bewirbt (dabei aber eher Kameras als Netzwerksicherheit meint).
Aber ja, so ist das bei vielen Anbietern leider der Fall.
Es wird aber noch besser. Gestern war ich wieder zu besuch. Natürlich wundervoll mit dem WLAN verbunden und ready to roll. Aufgabe: kurz meinen Telefonvertrag checken. Rein in den Browser, auf zu a1.net und einloggen. Hang on – warum bin ich schon eingeloggt? Hang on – mit welchem Account bin ich automatisch eingeloggt worden?
Natürlich mit dem Account meiner Schwiegereltern.
Naaa, das kann nicht stimmen. Telefon raus, ins WLAN verbunden, a1.net und BOOM! Wieder mit dem Account der Schwiegereltern verbunden. You’ve got to be kidding me.
Aber das kann doch nicht der volle Zugriff sein, oder? As it turns out, it is. Ich habe Einsicht auf Rechnungen, Zahlungsdaten, das volle Programm.
Zu deren „Verteidigung„: diese Einstellung kann zumindest abgestellt werden. Trotzdem ist mir schleierhaft, warum der Auto-Login standardmäßig aktiviert ist. Auch ein Logout hilft nicht; bei allen im Netzwerk befindlichen Geräten ist man automatisch eingeloggt – ergo müsste man alle Geräte einzeln ausloggen. Tausende Haushalte, die die Standardeinstellungen niemals zu Gesicht bekommen, sind durch diese Praktiken angreifbar und zutiefst unsicher.
Vor allem wenn der einzige Schutz ein Router ohne Passwort ist.
Liebes A1 und alle anderen Anbieter da draußen: die Sicherheit eurer Produkte ist kein Add-on, dass ihr nur auf der eigenen Website bewerben müsst. Gängige Standards sollten eingehalten und dem Endverbraucher die Absicherung der gekauften Produkte erleichtert werden. Und nicht nur das: Security sollte per default auch aktiviert sein. Kein Versteckspiel in User-Einstellungen oder Untermenüs.