Dem deutschen Hardwarehersteller AVM ist ein Fehler unterlaufen, der weitreichende Konsequenzen für die Sicherheit deutscher Kabelnetze haben soll, wie heise.de berichtet. Sicherheitsexperten haben in der FritzBox-Software einen geheimen Krypto-Schlüssel entdeckt, der es erlauben soll, zentrale Sicherheitsmechanisment zu unterwandern.

Zertifikate

Bei dem gefundenen Schlüssel handelt es sich um jenen, mit dem AVM die Zertifikate signiert, mit denen sich Kabelrouter gegenüber dem Provider autorisieren. Durch den Leak können nun Dritte nach Belieben als echt akzeptierte Zertifikate basteln. Im schlimmsten Fall könnte dies dazu genutzt werden, um den Kabel-Account eines Kabelkundens zu übernehmen. Alles was ein Angreifer dafür benötigt ist die Mac-Adresse des betreffenden Fritzbox-Modems.

Das besonders Unerfreuliche daran: So einfach lässt sich das dadurch entstandene Problem nicht bereinigen. Zwar ist es theoretisch möglich, einfach einen neuen Schlüssel zu etablieren, und alle Zertifikate, die mit dem alten signiert wurden, abzulehnen. Dies bedeutet allerdings auch, dass der Provider einen bedeutenden Teil seiner eigenen Kunden von einem Tag auf den anderen aussperrt. Also müssen auch sämtliche Fritzboxen parallel mit Updates versorgt werden.

Seit langem bekannt, AVM dementiert Gefahr

Dass dies nicht so einfach ist, fand heise in den eigenen Recherchen schnell heraus. Der Leak dürfte bei AVM nämlich bereits seit zwei Jahren bekannt sein, seitdem habe man mit den Providern versucht, die Lage zu bereinigen. Offenbar mit begrenztem Erfolg, mit dem alten Schlüssel erstellt Zertifikate werden weiterhin als korrekt akzeptiert.

Dass derzeit Gefahr bestehe, wird von AVM gegenüber dem WebStandard allerdings dementiert. Seit 2015 würden bereits "vorsorglich neue Hersteller-Zertifikate" verwendet. In den Kabelnetzen sei der Wechsel "nahezu vollzogen", Besitzer der Fritzbox Cable müssten auch keine Schritte setzen. Zudem ist dem Unternehmen bislang kein Fall von Missbrauch bekannt. (red, 11.11.2016)

Update, 16:20 Uhr: Stellungnahme von AVM ergänzt.