Internet-Law

Onlinerecht und Bürgerrechte 2.0

8.2.13

Filesharing: Risikofaktor Hausanschluss der Telekom

Im Rahmen der Filesharingfälle wird sehr viel über den Missbrauch von schlecht oder nicht gesicherten W-LANs diskutiert, aber bislang wenig über eine andere sich bietende Möglichkeit den Anschluss eines Nachbarn anzuzpafen.

In vielen Wohnanlagen und Mehrfamilienhäusern kommt der telekomseitige Hausanschluss zumeist irgendwo im Keller oder Erdgeschoss an einer zentralen Verteilerstelle im Haus an. Dieser Verteiler ist häufig nicht gesondert gegen unbefugten Zugriff geschützt und damit für sämtliche Hausbewohner ohne weiteres zugänglich. Wie leicht es ist, sich dort auf den Anschluss eines Nachbarn aufzuschalten, wenn man über das entsprechende Know-How verfügt, habe ich kürzlich von einem TK-Techniker vorgeführt bekommen.

Auch im Rahmen meiner Sachbearbeitung habe ich mehrere Fälle auf dem Tisch, in denen von den Mandanten diese Vermutung geäußert worden ist, in einem Fall wurde ein entsprechendes Anzapfen durch einen Nachbarn sogar festgestellt bzw. eingeräumt. Gerade für Bewohner von Wohnanlagen besteht also faktisch ein gesteigertes Risiko eines Missbrauchs, sofern der Vermieter bzw. Hausverwalter insoweit keine Sicherungsmaßnahmen ergriffen hat.

posted by Stadler at 12:01  

27 Comments »

  1. Benötigt T-DSL keine Teilnehmerkennung bzw Passwort?

    Comment by Torsten — 8.02, 2013 @ 12:05

  2. Es sollte nicht nur der Vermieter bzw. Hausverwalter den physischen Schutz des Netzzugangs sicherstellen, sondern der Diensteanbieter sollte auch entsprechende Sicherheitsmaßnahmen für den (logischen) Dienstzugang ergreifen. Letzteres würde ich als die wesentliche und zielführende Maßnahme ansehen.
    Den Zugang zum Kabel selbst innerhalb der Hausinstallation wird man nur schwer (einigermaßen sicher) unterbinden können.

    Comment by Volker — 8.02, 2013 @ 12:11

  3. @1 Es ist zwar schon bischen her, aber man kann auch über ISDN surfen.
    Was DSL betrifft, glaube ich nicht das die Passwort übergabe vom Router zum DSL-Knotenpunkt verschlüsselt ist, d.h. man kann alles mitschneiden was sich vor dem Router auf der Telekomleitung abspielt.

    Comment by Troll — 8.02, 2013 @ 12:20

  4. @Thorsten ist vermutlich standardisiert, weil physischer Zugriff auf DSL-Leitung stand halt nicht im Pflichtenheft ;-)

    Comment by michael — 8.02, 2013 @ 12:22

  5. Der physische Zugang zu Anschlußleitungen ist auch problemlos in den grauen Anschlußkästen der Telekom zu erlangen. Diese können leicht aufgehebelt werden, innerhalb eines Bezirkes passt auf alle diese Kästen auch der gleiche Schlüssel (war jedenfalls früher so). So einen Schlüssel kann man leicht zurechtfeilen.

    Comment by wott — 8.02, 2013 @ 12:48

  6. @wott Genau. Der Schutz vor physischem Zugang bringt nicht wirklich viel. Der Transportweg ist immer unzuverlässig. Der Content/Kommunikationsendpunkte müssen geschützt werden.
    In Analogie zum Briefdienst: Brief zukleben und nicht 100%ige Postbotenüberwachung.

    Comment by Volker — 8.02, 2013 @ 12:54

  7. Darf ich diese Erkenntnisse in meinen zukünftigen Schreiben an die Anwälte von Rechteinhabern verwenden, soweit im Wohnanwesen des Abgemahnten ein Telekom-Hausanschlsss vorhanden ist?
    Freundliche kollegiale Grüße

    Comment by RA Konrad Dienst — 8.02, 2013 @ 14:08

  8. Thomas,
    Diese Ansicht wird Dir von jedem halbwegs kundigen gegenerischen Anwalt auseinandergepflückt – soweit es sich nicht um Modem/ISDN-Einwahl handelt:
    Die Einwahl bei der Telekom mit DSL ist mit einer unmöglich langen Einwahlkennung und Passwort gesichert.

    Höhere Chancen hast Du bei Internet via Kabel.
    Zumindest in München ist die Authentifizierung dort über die MAC-Adresse des Gateways (also der Kabelanschluß->Netzwerk-Box), und aktive gemanagede Netzelemente finden sich nur für Gruppen von Anschlüssen, soweit ich mich erinnere.
    (zu Deutsch, in Neubauten könnte man sich u.U. sogar problemlos einfach die Anschlußbox mit dem Verteiler TV, Radio, Internet anklemmen, und dann Internet benutzen – wobei: DAS habe ich nicht ausprobiert…)
    Interessant wird das ganze aber wieder bei VDSL-Anschlüssen, wenn man die MAC-Adresse des Routers des Nachbarn weiß – da gibt es nämlich Autoconfig – und damit braucht man u.U. kein Passwort mehr – auch noch nicht ausprobiert)

    Comment by Lars Düsing — 8.02, 2013 @ 14:25

  9. W-Lan kann auch mit der jüngsten Technik und Software nicht vor Zugriffen geschützt werden.

    Diese Gesellschaft wird sich daran gewöhnen müssen, zurück zu den Anfängen zu gehen.

    Kabel grüßt.

    Irgendwann lernen es auch die Dümmsten.

    Comment by Rudolf — 8.02, 2013 @ 14:43

  10. ISDN anzapfen geht einfach, weil hier muss man nur die Rufnummer des Nachbarn wissen (MSN) und die steht bekanntlich regelmäßig im Telefonbuch. Mit einem ISDN-Modem auf die Leitung gesetzt gibt es nicht einmal technische Probleme beim Nachbarn (er kann nicht mehr anrufen oder angerufen werden), sofern man ihm nur einen B-Kanal blockiert. Aber Filesharing über 64kbit/s, naja.

    DSL anzapfen ist elektrisch möglich, und die Telekom will Benutzername/Passwort auch bei VDSL im Plaintext (PAP-Verfahren), d.h. hinter dem Modem nutzerseitig kann man diese auf der Ethernetleitung auch mitprotokollieren. Davor, also zwischen DSL-Modem des Nachbarn und Telekom diese Daten abzuhören ist wegen der komplizierten Modulationstechnik anspruchsvoll. Sicher gibt es Geräte von R+S, die eine Protokollierung der notwendigen Einwahldaten ermöglichten, aber diese kosten soviel wie ein Mittelklassewagen.

    Angenommen man hätte die Zugangsdaten, dann brächte die Nutzung eines eigenen Modems den Nachbarn aber wohl sehr sehr schnell in die Telekom-Störungsstelle, denn man kann nur ein Modem an einem Anschluss betreiben. Fliegt also auf.

    Kurz, für eine Chewbacca-Verteidigung sicher eine Möglichkeit so zu argumentieren, vor allem wenn der StA und Richter wie Bärbel Höhn selber immer noch „Internet gucken“. Ein Gutachter mit technischem Verstand zerpflückt die Hausanschluss-Theorie allerdings in wenigen Minuten.

    Comment by Se — 8.02, 2013 @ 15:35

  11. Versuch das mal bei mir. Ich warte.

    Es ist mir noch kein Arsch über mein Kabel gekommen. Bist Du der Erste?

    W-Lan ist out.

    Comment by Rudolf — 8.02, 2013 @ 17:10

  12. @Rudolf: Dann werd‘ ich bei meinem Smartphone und dem eBook-Reader mal die RJ45-Buchse suchen.

    Comment by Johannes — 8.02, 2013 @ 18:43

  13. Bei alternativen DSL-Anbietern wird oft nur über den Port authentifiziert. Als Benutzername kann man beliebige strings verwenden. Ich verwende bei Alice DSL jedenfalls den string „nopassword“

    Comment by Sven — 13.02, 2013 @ 16:07

  14. @8
    Das DSL-Passwort besteht hier beim regionalen Großbetreiber aus meinem Nachnamen und einer zweistelligen Zahl. Naja.

    Comment by Feuerwehrmann B. — 13.02, 2013 @ 18:57

  15. An dieser Stelle darf man anmerken, dass man auch die gängigen WLAN-Verschlüsselungen wie WPA2 cracken kann. Und da der Schutz des eigenen WLANs so nicht gewährleistet werden kann, ist auch diese Anschlusshaftung Müll.

    (und ja, das Cracken dauert, aber da praktisch keiner regelmäßig sein WLAN-Passwort ändert, ist das auch egal)

    Comment by geheim — 13.02, 2013 @ 19:30

  16. @10:
    1. welcher Anbieter erlaubt Modem/ISDN-Einwahl OHNE Zugangsdaten (und identifiziert nur ueber die Rufnummer)?

    2. bei T-DSL ist (seit LANGEM) CHAP, d.h. verschluesselte Uebertragung der Zugangsdaten) moeglich!

    Comment by Anonymous coward — 13.02, 2013 @ 20:03

  17. Könnten die ganzen Leute, die hier behaupten „WPA2 ist knakbar“ mal einfach zu Zeug, von dem sie keine Ahnung haben schweigen? Wenn sie meinen das doch können wir mal gerne Wetten. Gerne auch 4:1 oder so. Mit heutigen Methoden ist nicht absehbar, dass das in unter 45 Jahren hinzubekommen ist. (Wenn man von Moors Law ausgeht. Mit heutigen Rechnern ist es eher eine Frage von mehreren 100 Millionen von Jahren.)

    Comment by wanne — 13.02, 2013 @ 22:44

  18. @wanne

    Stimmt schon, WPA2 ist bei einem guten Passwort und ohne eigene Serverfarm nicht zu knacken.
    Man sollte aber auch bedenken, dass viele Anweder ihre Router einfach im Auslieferungszustand belassen und einige Anbieter(zb O2) WEP voreingestellt haben.
    Dazu kommen noch diverse routerspezifische Sicherheitsprobleme wie zb WPS oder die Standardpasswörter von einigen Speedports, die aus MAC und SSID generiert werden.

    Comment by carl — 13.02, 2013 @ 23:27

  19. Bei alice besteht die Authentifizierung aus der Rufnummer als Benutzername und einem beliebigen String als Passwort.
    Außerdem bieten ja die manche Anbieter so eine Autokonfiguration an, das Protokoll dazu heißt TR-069. Ich weiß nicht, ob man das nicht auch angreifen könnte. Für einen (zugegeben versierten) Angreifer sollte es auch möglich sein, den Router des Nachbarn so umzuprogrammieren, dass er sich wie ein Computer in das LAN des Angreifers hängt. Dann fällt das zweite Modem nicht auf.
    Vielversprechend sind auch die zahlreichen Lücken, die immer wieder in den Firmwares der Router auftauchen, zuletzt bei D-Link. Wenn man die IP des Nachbarn kennt (was nicht allzu schwer herauszufinden ist, es reicht, ihm einen Link auf ein Bild zu schicken und die zugreifende IP zu loggen) ist es dann ein leichtes, die Passwörter auszulesen.

    Comment by Jonas — 13.02, 2013 @ 23:36

  20. Kleiner Nachtrag zum doppelten Routerproblem: Durch ein einfaches Relais ließe sich auch der eigene Router abschalten, sobald der Eigentümer des Anschlusses eine Verbindung aufbauen möchte.

    Comment by Jonas — 13.02, 2013 @ 23:38

  21. @1
    Teilnehmerkennung ist die Telefonnummer, kein Passwort

    Comment by karl — 14.02, 2013 @ 00:59

  22. Die telefonnummer wurde vor vielen Jahren mal als Teilnehmerkennung benutzt. Angefangen hat das bei BTX ende der 80er. Wurde aber dann in den 90er umgestellt. Heute ist die Teilnehmerkennung eine seperate Zahl, die weder mit der Telefonnummer noch mit der Kundennummer direkt zusammenhängt. Der Zusammenhang zur Telefonnummer kann schon deswegen nicht mehr funktionieren, weil man Anschlüsse auch ohne Telefon bekommt. Also nur DSL. Dann gibt es keine Telefonnummern, die man benutzen könnte. Und man sollte sich auch mal den Zettel durchlesen auf dem diese Daten geschickt werden. Dort steht klar und deutlich das man weder Passwort NOCH Teilnehmerkennung rausgeben sollte. Beides sind „geheime“ Daten.

    Leider haben andere Anbieter nicht alle ein solches ausgereiftes System. Daher ist Missbrauch möglich, wenn auch eher unwahrscheinlich.

    Zum Relais: Ein DSL-Modem ist in dem Moment wo es Strom bekommt in Dauerverbindung zum Port in der Anschlusstelle. Dies ist der sogenannte Sync, es ist eine Art Messverfahren, das ermittlet in welchen Frequenzbereichen man senden kann und diese Daten synchronisiert mit der Gegenstelle. Es wird permanent diese Leistungsqualität überwacht. Sobald man also die Leitung irgendwo im Haus auftrennt, meldet das Modem Fehler. Man könnte also nur dann erfolgreich sein, wenn der Nachbar schläft und man sicher sein kann, das er den Anschluss nicht benutzen will. Das könnte dann schon an dem Tag schief gehen, wo der Nachbar mal nicht schlafen kann und doch nochmal an den PC geht. Dieses Relais ist gewagt, da eine Leitung dann ja in die Wohnung desjenigen geht, der den Anschluss anzapft. Sobald ich Störung habe und jemand kommt diese Störung zu suchen fliegt man auf. Und zwar Hieb und Stichfest. Extrem hohes Risiko

    Comment by chefin — 14.02, 2013 @ 07:49

  23. Es geht nicht nur ums Internet, mit dem (Telefon)anschluß ist es ebenso leicht. Ich selbst zog mal in einem Doppelhaus von der einen in die andere Seite um. Die Telekom wollte mir die Rufnummer nicht mitgeben. Also habe ich es selbst getan. Das war in 2 Minuten erledigt, der Anschluß war draußen, für jedermann erreichbar.

    Comment by Foni — 14.02, 2013 @ 08:35

  24. @1: Oh doch nur sind die meisten Consumer ISPs mit PAP auth per PPP zufrieden. Dabei werden Username und Password im Klartext übertragen.

    Comment by Anonymous — 14.02, 2013 @ 12:24

  25. @ 24
    Ob PAP oder CHAP ist bei DSL praktisch eigentlich egal.
    Es gibt zur Zeit Möglichkeit das reine DSL Signal abzuhören (für Ottonormalhacker).
    Ein DSL Modem parallel zu einem anderen zu hängen und dann zu sniffen bringts nix…
    Die Gefahrt ist für die Anschlüsse wo der ISP kein gesondertes Kenntwort verlangt (u.A. alte Aliace Direktanschlüsse – also nicht NGN).
    Da kann man dann den eigentlichen Kunden im Keller abklemmen und sein eigenes DSL Model dran und gleich lossurfen… zumindest solange bis der Kunde die Störung gemeldet hat.. denn das passiert zwangsweise… außer der Kunde ist im Urlaub
    Das ist im Übrigen DER Unterschied zu WLAN.. ein gehacktes WLAN bekommt man (im Besten Falle) gar nicht mit…

    Comment by christian — 14.02, 2013 @ 23:14

  26. @wanne: Jein. Es geht nicht in Echtzeit. Aber wenn man gute Rainbow Tables hat, muss man das auch gar nicht. Das hilft zwar nicht viel, wenn man ein bestimmtes WLAN knacken will – und der ein gutes Passwort hat und/oder die SSID seines Routers keine übliche ist (wie z.B. die Modellbezeichnung des Routers). Aber wenn man nur irgend ein WLAN kapern will, findet man schon was.
    Wie bei so vielen Sachen ist auch bei Computersicherheit die Umsetzung im Detail oft wichtiger als die schönsten mathematischen Spielereien.

    Comment by Autolykos — 15.02, 2013 @ 00:28

  27. Fuer WPA2 gibts cloudbasierte Dienstleitster, die schaffen angeblich 300 Mio Passwoerter/20min fuer 17$ quelle:
    https://www.cloudcracker.com/

    Die 15€ kriegt man fuer „kostenfreies“ Internet schon zusammen…

    Comment by Peter Griffin — 17.02, 2013 @ 01:54

RSS feed for comments on this post.

Leave a comment