WLAN-Schlüssel: Unsichere Datensicherung auf Google-Servern

In den Android-Einstellungen ist klar ersichtlich, dass WLAN-Passwörter auf Googles Server geladen werden.
Screenshot: teltarif.de Android-Nutzer haben die Möglichkeit, Ein­stellungen ihrer Smart­phones auf Google-Servern zu sichern. Ein Fehler­bericht im offi­ziellen Bug-Tracker zeigt: Möglicher­weise speichert Google die WLAN-Pass­wörter un­verschlüsselt auf seinen Servern. Denn vor dem Upload der Daten fragt Google kein Passwort zur Verschlüsselung der Passwörter ab.

Am besten: Funktion bei erster Einrichtung deaktivieren

Bei der ersten Einrichtung eines Android-Smartphones fragt Google, ob diverse Einstellungen des Handys auf den Servern gesichert werden sollen. Aus der Meldung geht zunächst nicht hervor, dass dabei unter anderem auch WLAN-Passwörter übertragen werden. Besonders problematisch: Es gibt keine Möglichkeit, die gesicherten Daten mit einem Passwort zu verschlüsseln oder zu schützen. Die Folge: Auf Googles Servern könnten Millionen von WLAN-Schlüsseln herumliegen, die nur darauf warten, von Geheimdiensten oder Angreifern genutzt zu werden.

In den Android-Einstellungen ist klar ersichtlich, dass WLAN-Passwörter auf Googles Server geladen werden.
Screenshot: teltarif.de Die zuletzt aufgedeckten Spionage- und Überwachungsprogramme PRISM & Co. zeigen: Die Daten auf den Google-Servern können von Regierungsbehörden zu diversen Zwecken abgerufen werden. Das dürfte für private Haushalte kaum von großem Interesse sein, für Unternehmen hingegen um so mehr: Das Problem beginnt dann, wenn die Schlüssel der privaten, beruflichen und öffentlichen WLAN-Netze auf Google-Server und ein Google-Account in die Hände eines Angreifers geraten. Dann steht das Netzwerk und die darin aufrufbaren Daten - zum Beispiel freigegebene Dateien oder interne Server - ungeschützt da. Google selbst unterhält eine Datenbank, in der Positionen von drahtlosen Netzwerken gespeichert sind. Angriffe wären so ein leichtes. Auch die NSA, die nach Informationen des Whistleblowers Edward Snowden leicht auf entsprechende Datensätze zugreifen kann, könnte im Ausland mit diesen Daten leicht Spionage betreiben.

Eine zusätzliche Gefahr für Unternehmensnetze besteht darin, dass private Smartphones vielfach auch zu beruflichen Zwecken genutzt werden - das sogenannte "Bring your own device"-Konzept. Hat ein Mitarbeiter die Sicherungsfunktion aktiviert, sind die Netze potenziell ungeschützt. Das Online-Magazin Heise Security berichtet, dass die vergleichbare Funktion von Apples iOS von einer solchen Problematik nicht betroffen ist. Apple speichere die Daten verschlüsselt mit einem vom Nutzer gewählten Passwort.

Verhindern lässt sich die Sicherung des Smartphones nur pauschal. Passwörter oder App-Einstellungen lassen sich nicht einzeln auswählen. Hätte ein Angreifer Zugriff auf den Google-Account, könnte er sich leicht die gespeicherten WLAN-Schlüssel auf ein Smartphone laden. Wird die Funktion nachträglich deaktiviert, ist allerdings nicht sichergestellt, dass die betreffenden Daten gelöscht werden. Hier heißt es also: WLAN-Schlüssel ändern.

Zur Sicherheit: Bei WLAN-Schlüsseln richtige Kombination wählen

Nutzern wird generell empfohlen, möglichst lange WLAN-Schlüssel zu verwenden. Die maximale Länge beträgt beim aktuellen Verschlüsselungsprotokoll WPA2 63 Zeichen. Gute WLAN-Schlüssel sollten neben Buchstaben auch Zahlen und Sonderzeichen enthalten. Es empfiehlt sich, den Schlüssel hin- und wieder zu wechseln. Wer auf eine schnelle und komfortable Einrichtung neuer Geräte nicht verzichten möchte, kann dafür WPS verwenden. Dieses Protokoll sorgt dafür, dass nicht der gesamte WLAN-Schlüssel eingegeben werden muss, sondern nur eine kurze Zahlenreihenfolge eingegeben oder gar nur ein Knopfdruck getätigt werden muss.

Die beste Verschlüsselung nützt aber natürlich nichts, wenn der Schlüssel nicht vertraulich aufbewahrt wird. Oder, wie Google es in einem offiziellen Blog-Beitrag schreibt: "Genauso wie Sie Ihren Haustürschlüssel nicht an Fremde geben sollten, sollten Sie auch Ihr WiFi-Passwort nur an Personen weitergeben, denen Sie vertrauen" (im Englischen Original: "Just like you wouldn’t give a stranger a key to your house, you should only give your WiFi password to people you trust"). Das scheint tatsächlich die entscheidende Frage zu sein: Vertrauen Sie Google? Zu wünschen wäre, dass Google die Funktion künftig feiner einstellbar macht. Auch muss dringend eine echte Verschlüsselung - gerade der WLAN-Schlüssel - eingeführt werden.