Von nichts kommt nichts: Der eigene 4G-Hotspot ist nicht per se sicher – aber das lässt sich ändern…

Corporate4GHotspot
fingerprinting

Eine kürzlich veröffentlichte Analyse zum Einsatz von 4G-Hotspots zeigt deutliche Sicherheitslücken bei der Nutzung dieser Geräte. Wer ein solches Helferlein verwendet, sollte sich ein paar Minuten Zeit nehmen, um die Einstellungen einem Sicherheits-Check-up zu unterziehen.

Was ist ein 4G-Hotspot?
Einfach gesagt ist ein 4G-Hotspot eine Miniaturform des hauseigenen Routers, der batteriebetrieben und mit einer SIM-Karte ausgestattet ist. Während Heimrouter in der Regel an ein Netzteil für die Stromversorgung sowie an eine Telefon- oder eine Kabelleitung für die Internetverbindung angeschlossen sind, docken die 4G-Hotspots im Taschenformat nirgendwo an, außer um die internen Batterien aufzuladen. Die Mehrheit der aktuellen Smartphones trägt selbst eine Hotspot-Funktion in sich. So lässt sich die 4G-Verbindung eines Handys via Wi-Fi Karte im Telefon nutzen (zum Beispiel, um andere Geräte darüber laufen zu lassen). Aber nach wie vor sind eigenständige Hotspots beliebt, besonders weil sie es einfacher machen, Sprache und Daten auseinanderzuhalten. Viele Provider offerieren zum Beispiel spezielle Angebote mit einem Hotspot-Gerät und einer Prepaid-Daten-Sim-Karte für diejenigen Nutzer, die zuhause kein Festnetztelefon mehr möchten.

Wie steht es dabei um die Sicherheit?
Gibt es Firmware-Upgrades? Sicherheits-Patches? Wie sicher ist ein normales Hotspot-Gerät? Viele Leute tragen ein solches Helferlein gerne mit sich, um den unzähligen, unbekannten und nicht vertrauenswürdigen Access Points in Einkaufszentren, Hotels und Cafés zu entgehen. Theoretisch ist diese Idee auch nicht die schlechteste, denn es sollte tatsächlich sehr viel unwahrscheinlicher sein, über eine vom Nutzer selbst kontrollierte Wi-Fi-Verbindung, die direkt mit einem mobilen Netzwerk kommuniziert, gehackt zu werden, als über eines der unzähligen öffentlichen Gratis-Angebote mit teils dubiosen Routereinstellungen oder Set-up-Konfigurationen. In der Praxis hapert es aber auch bei den eigenen Hotspot-Geräten oftmals am Finetuning. Sie sind nur so sicher wie die getätigten Grundeinstellungen und installierten Firmware-Upgrades. Nicht zu vergessen die verwendete Firmware-Version selbst, auf die der Nutzer zumeist gar keinen Einfluss hat, da sie in den meisten Fällen vom Mobilfunk-Provider vorgegeben werden.

IoT-Geräte: in günstigen Modellen kann kaum in Sicherheit investiert werden
In den letzten Jahren wurden die Sicherheitslücken in Routern für das Hausnetzwerk und andere Internet of Things (IoT)-Geräte vielfach analysiert und beschrieben. Es gibt eine Vielzahl an Gründen, warum IoT-Geräte nicht über den Standard an integrierter Sicherheit verfügen, die man sich dafür wünschen würde. Ein Grund mögen die Kampfpreise sein, mit der Webcams & Co. angepriesen werden. Ein IoT-Gadget für unter 20 Euro lässt nicht viel Spielraum für eine ernstzunehmende Sicherheitsfunktionalität zu. Einfacher Gebrauch sticht oft Funktion und Sicherheit aus, da in einem umkämpften Markt diejenigen Geräte, die dem Nutzer nach dem Einschalten sofort Sicherheitsfragen stellen, oft weniger Chancen beim Konsumenten haben, als solche, die gleich einsatzbereit sind. Nächstes Problem: Massenweise produzierte IoT-Geräte bleiben oft eine ganze Weile im Regal liegen. Kommt sie dann doch irgendwann aufs Kassenband, kann die hauseigene Firmware bereits lange überholt und viele Sicherheitslücken ungepatched sein.

Sicherheitsfalle: Schadcode via Formular einspeisen
So geschehen mit verschiedenen Hotspot-Geräten. Wie Pen Test Partners entdeckte, spielt das Thema Sicherheit bei mehreren Herstellen keine wirkliche Rolle, insbesondere im Web-Interface, das für Setup, Konfiguration und ironischerweise auch Updates genutzt wird. Wie der durchschnittliche Router zuhause, verfügen auch die transportablen Varianten nicht über einen eigenen Bildschirm oder eine Tastatur. Sie vertrauen sich einem kleinen Web-Server für ihr User-Interface an – und hier liegt das Problem: viele dieser Web-Server nutzen potenziell leicht angreifbare Kommunikationswege, um Remote-Befehle entgegen zu nehmen. So kann oftmals via Web-Interface ohne großen Aufwand Schadcode über Formulare auf Betriebssysteme oder Datenbanken eingeschleust werden. Die Kommandos, ausgegeben mit Root-Rechten, können dort verheerenden Schaden anrichten. Extra-Accounts, unerwünschte Server-Prozesse, Löschen von Daten, Verändern der Firewall-Regeln, Passwort-Diebstahl – die Ideen möglichen Missbrauchs sind vielfältig.

Was ist zu tun? Hier drei Tipps, wie die Nutzung des eigenen 4G-Hotspots sicherer wird

4G-Hotspots so umsichtig behandeln wie das eigene Smartphone
Sie mögen günstiger und weniger leistungsfähiger sein, aber in der Sache sind 4G-Hotspots wie Smartphones – nur ohne Stimmenunterstützung. Der Nutzer sollte hier die gleiche Sorgfalt wie bei seinem Handy anwenden und Softwareupdates sowie Patches umgehend einspielen.

Augen auf nach Fehlerberichten
Als erstes sollten Nutzer herausfinden, welcher Hersteller das genutzte Hotspot-Modell entwickelt hat. Mobilfunkanbieter versehen die Geräte oft mit ihrem Logo, so dass Modellnummer und Hersteller nicht leicht zu finden sind. Hier helfen das Handbuch oder das Web-Interface weiter. Wenn Modell und Anbieter bekannt sind, kann online gezielt nach potentiellen Sicherheitslücken gesucht werden. Gegebenenfalls bietet sich auch die Einrichtung eines Alerts für mögliche Bugs an, um schnell informiert zu sein.

Aktives Log-out
Dieser Rat gilt für sämtliche Online Services und entsprechend sollten sich auch 4G-Hotspot-Nutzer nach dem Bearbeiten der Router Einstellungen unbedingt aktiv auf dem Web-Interface abmelden. Denn auch diese Weblinks können in externe Webseiten eingebettet sein, die unter Umständen bösartig sind.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.