Sicherheitslücke

15. Januar 2016 07:46; Akt: 15.01.2016 11:33 Print

Cablecom-Kunden sollten jetzt ihr Passwort ändern

Die Standardpasswörter der WLAN-Router der UPC können leicht geknackt werden. 20 Minuten zeigt, wie Sie jetzt handeln sollten.

storybild

Die Website eines Hackers spuckt die WLAN-Standardpasswörter von Routern der UPC Cablecom aus. (Foto: Flickr / Tom Page)

Zum Thema
Fehler gesehen?

Was ist das Problem?
Jedes UPC-Modem wird mit einem vordefinierten Passwort für das WLAN-Modul ausgeliefert. Dieses ist auf der Unterseite des Geräts auf einem Etikett vermerkt. Doch dieses Standardpasswort können Angreifer vergleichsweise einfach knacken. Denn das Passwort wird anhand der ebenfalls vordefinierten SSID, also des Namens des WLAN-Netzwerks, berechnet. Seit einigen Wochen kursiert im Netz ein Tool, das diese Aufgabe übernimmt. Kennt ein Angreifer also die SSID, kann er an das Wi-Fi-Passwort gelangen und so potenziell den gesamten Internetverkehr mithören. Laut ersten Medienberichten sind vermutlich Router in ganz Europa betroffen. Experten stufen das Leck als «gravierend» ein.

Bin ich betroffen?
Von der Lücke betroffen sind potenziell viele Leute – da viele Kunden ihre Standardpasswörter nicht ändern, wie ein IT-Experte aus Österreich gegenüber dem Portal Futurezone.net sagt. Ob und welche Router von Schweizer Kunden betroffen sind, werde derzeit analysiert, so ein Sprecher des Unternehmens. Der UPC sei bisher kein Fall von Missbrauch bekannt, heisst es auf Anfrage.

Was kann ich tun?
Die UPC empfiehlt Schweizer Kunden, zur Sicherheit das Standardpasswort des WLAN-Netzwerks zu ändern. Dazu ruft man im Browser die IP-Adresse 192.168.0.1 oder alternativ 192.168.100.1 auf. Dann gibt man Benutzernamen und Passwort (je nach Geräte zum Beispiel admin/admin) ein. Im Menü «Wireless» unter dem Punkt «Sicherheit» kann dann das Passwort für das drahtlose Netzwerk geändert werden. Die UPC empfiehlt den Kunden, das Wi-Fi-Passwort schon bei der ersten Inbetriebnahme zu ändern. Eine detaillierte Anleitung gibt es auf der Website der UPC. Wer schon jetzt ein persönliches Passwort hat, oder einen eigenen Wi-Fi-Hotspot am UPC-Router betreibt, muss nichts unternehmen.

Für den Hacker, der das UPC Recovery Tool online gestellt hat, könnte dies Konsequenzen haben. Laut UPC Austria prüfT man derzeit rechtliche Schritte. Der Sicherheitsexperte hatte UPC allerdings bereits letzten Frühling über die Lücke informiert – geschehen ist seither offenbar nichts.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • A. Nonymous am 15.01.2016 08:04 via via Mobile Report Diesen Beitrag melden

    Langsam sollte es jedet wissen

    Wer default Passwörter nicht sofort bei der Inbetriebnahme eines Gerätes ändert, handelt grobfahrlässig!

    einklappen einklappen
  • HG am 15.01.2016 08:05 via via Mobile Report Diesen Beitrag melden

    admin/admin

    Aha, das gibt es noch immer? Was soll das? Ich dachte, das hat in der Zwischenzeit jeder gelernt dass das voreingestellte Passwort immer zu ändern ist. Nicht nur beim WLAN, auch Ihr Hinweis auf admin/admin ist schon das nächste PW was geändert werden muss. Die Hersteller sollten dafür sorgen das ich keine Konfiguration sichern kann mit dem voreingestellten PW... Mann, da kann man endlos darüber reden. Aber die Leute sind einfach überfordert oder zu faul.

    einklappen einklappen
  • Mr. Right am 15.01.2016 08:00 via via Mobile Report Diesen Beitrag melden

    ssid

    Also wenn ich das richtig verstehen kann man entweder das Password ODER die SSID (netzwerknamen) änder und gut ist.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Oberschlau am 15.01.2016 21:20 via via Mobile Report Diesen Beitrag melden

    Aenderung Pflicht

    Das standard Passwort ist sowieso viel zu kompliziert, kann sich ja niemand merken. Ich brauch da schon was einfaches was ich mir auch nerken kann. So 111111 oder 222222.

    • Heiner am 16.01.2016 03:18 via via Mobile Report Diesen Beitrag melden

      @Oberschlau

      Ach das ist mir immer noch zu kompliziert! Wie können sie sich den blos merken, wie viele 1en das jetzt waren? Ich finde daher, dass 123456789 das beste Passwort ist! Da weiss ich dann auch gleich die Anzahl an Ziffern!

    einklappen einklappen
  • Peter Inderbizin am 15.01.2016 21:12 Report Diesen Beitrag melden

    UPC ist mit einem Bein im Gefängnis

    In Sachen Abhörsicherheit sind Carrier wie UPC und Swisscom bereits mit einem Bein im Gefängnis. Das Fernmeldegesetz schreibt vor, dass der Carrier seine Kunden vor dem abgehört werden schützen muss. Das gilt für Telefonie und Datenkommunikation. Leider ist das Gegenteil der Fall. Alles wird einfach massenüberwacht durch die NSA und ähnliche Organisationen. Dies weil UPC und Swisscom Ihre Dienste nicht oder nur ungenügend verschlüsseln oder sonst wie schützen. Das ist Grobfahrlässig und sollte geahndet werden.

  • markus am 15.01.2016 18:41 via via Mobile Report Diesen Beitrag melden

    Wird bei Swisscom das selbe sein.

    Irgendwie muss der Code einprogrammiert werden. Das ist immer aus einem der Strichcodes gerechnet.

  • Romano Serio am 15.01.2016 18:10 Report Diesen Beitrag melden

    Routerzwang gehört sowieso abgeschafft

    Die Deutschen machen es vor. Die Internetdienstleister sollen in Zukunft dem Kunden nicht mehr ihren billigen Mist aufdrücken können. Der Kunde kann sich alternativ mit einem Router seiner Wahl ins Web wagen. Wahrscheinlich wird er dabei auch ein bisschen verantwortlicher mit seiner Sicherheit umgehen.

    • Joe Johnson am 16.01.2016 00:34 Report Diesen Beitrag melden

      Kabelmodem

      Tja ist aber ein Kabel Modem/Router und sehr wahrscheinlich abgestimmt auf das Kabelnetz, also nix mit selber kaufen.

    einklappen einklappen
  • Rudolf Häni am 15.01.2016 17:31 Report Diesen Beitrag melden

    Schlimm in diesem Fall

    In der Anleitung von Cablecom wird man sogar ermutigt dieses ihr preset Passwort zu benutzen. Sie "drohen" sogar damit, dass der Support nicht gewährleistet sei, wenn man den Router selber konfiguriert. Zudem ist es ein Passwort mit 7 grossbuchstaben ohne Sonderzeichen oder Zahlen. Darum würde ich in diesem Fall nicht den Kunden beschludigen, wie das hier z.T. gemacht wird.