Warum ist der Schutz des WLAN wichtig?

Immer noch trifft man auf viele Drahtlosnetzwerke, die nicht ausreichend gesichert sind. Für viele PC User ist die Vielfalt an Sicherungsmöglichkeiten und Technologien schlicht zu unübersichtlich und kompliziert. Im Laufe der Zeit hat es sich außerdem gezeigt, dass viele der vormals etablierten Methoden inzwischen keinen ausreichenden Schutz mehr bieten. Daher ist es wichtig, den Zustand des eigenen Drahtlosnetzwerks zu prüfen und ggf. zu aktualisieren und zu korrigieren. An dieser Stelle kann der G DATA WLAN Security Check helfen. Er erkennt, wenn zur Sicherung des aktuell benutzten Drahtlosnetzwerkes eine bedenkliche Methode genutzt wird und prüft mit Hilfe der von ihm benötigten Windows-Funktionen außerdem bei Windows Betriebssystemen ab Windows Vista, ob das aktuell verwendete WLAN Passwort sicher ist. 

Ein schwach gesichertes WLAN lässt Dritten Tür und Tor offen, sich in dieses Netzwerk einzuklinken. Dies kann für den Anschlussinhaber zu ernsthaften Problemen führen. Sofern ein Schwarzsurfer, also jemand, der unerlaubt über das Netzwerk im Internet aktiv wird, lediglich seine E-Mails abholt oder ein wenig im Internet surft, merkt man in den meisten Fällen erst einmal überhaupt nichts von dieser Fremdnutzung.

Aber offene oder schlecht gesicherte WLAN werden auch von Kriminellen genutzt. Dadurch ist es ihnen möglich, im Namen des WLAN‑Betreibers ihren Machenschaften im Internet nachzugehen. Wie im Mai 2010 vom Bundesgerichtshof entschieden wurde, haftet der Inhaber eines ungesicherten Anschlusses für Taten, die über seinen Anschluss verübt werden. In diesen speziellen Fall, der zum Urteil führte, wurden über den Anschluss des Beklagten urheberrechtlich geschützte Inhalte aus dem Internet heruntergeladen. Der Betreiber des drahtlosen Netzwerkes konnte zwar nachweisen, dass er zum fraglichen Zeitpunkt im Urlaub war, jedoch entschied das Gericht nicht zu seinen Gunsten. Der Beklagte habe seine „Prüfpflicht verletzt, den WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr zu schützen, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden.“ Das schließt die Verschlüsselung des WLAN mit einem hinreichend starken Passwort mit ein. Sofern man dieser Pflicht nicht nachkommt und ein nicht ausreichend gesichertes Drahtlosnetzwerk betreibt, haftet man für eventuell auftretende Schäden!

Wann ist ein WLAN unsicher?

Es gibt diverse Faktoren, die ein WLAN unsicher machen können. Die größte Gefahr besteht jedoch, wenn man überhaupt keine der möglichen Sicherheitsfunktion beachtet. Dann ist es für jedermann in Reichweite des Funksignals ohne großen Aufwand möglich, das Netzwerk zu nutzen, ohne, dass man selbst die Kontrolle darüber hat, was die Schwarzsurfer tun.

Verschlüsselung:

Das Urteil des BGH fordert eine Verschlüsselung des Datenverkehrs. Dabei ist es aber nicht gleichgültig, welche Variante man verwendet. Es wird zwischen drei grundlegenden Arten von WLAN Verschlüsselung unterschieden: WEP, WPA und WPA2. Die Benutzung einer WEP-Verschlüsselung ist inzwischen nicht mehr ausreichend. Diese wurde bereits vor Jahren geknackt und mit den entsprechenden Werkzeugen dauert es für Angreifer nur wenige Augenblicke, bis man Zugriff auf das Netz hat. WPA ist die Nachfolgetechnologie von WEP. Im Gegensatz zu WEP bietet es eine zusätzliche Erstellung von temporären Schlüsseln mit Hilfe eines Protokolls (TKIP). Da mit WPA2 jedoch eine neuere Technologie zur Verfügung steht, sollte eine Codierung mit WPA nur die zweite Wahl sein. WPA2 verwendet im Gegensatz zu WEP und WPA einen neuen Verschlüsselungsalgorithmus: Den Advanced Encryption Standard (AES). WPA2 wird aktuell als sicher empfohlen. Aber auch wenn man eine sichere Verschlüsselung wie WPA2 mit AES nutz, ist man nicht automatisch vor Angriffen sicher. Denn auch hier gilt: Eine Verschlüsselung ist nur so sicher, wie die gewählte Passphrase / das gewählte Passwort, bzw. der daraus resultierende Key. In größeren Firmennetzwerken läuft das Keymanagement häufig über einen zentralen Server (RADIUS) und im Privatanwenderbereich wird in der Regel ein gemeinsamer statischer Schlüssel, der Pre-Shared Key (PSK) im Router und im Client eingetragen. Der PSK wird dabei aus der festgelegten Passphrase und der SSID des WLAN berechnet.

SSID:

Wenn der vergebene Netzwerkname (die SSID oder Service Set Identifier) Rückschlüsse auf den Besitzer des WLAN möglich macht, dann macht er das Netz für gezielte Angriffe lokalisierbar und attraktiv. Enthält die SSID Angaben über den Gerätehersteller oder sogar das Modell, könnten Angreifer gezielt eventuell bekannte Sicherheitslücken zu dem Gerät ausnutzen oder aber über ein bekanntes, nicht verändertes Konfigurationspasswort in den Router / Access Point eindringen und Einstellungen verändern.

Konfigurationspasswort:

Viele Gerätehersteller vergeben im Auslieferungszustand ein universelles Standardpasswort für die Einstellungsoberfläche des Routers / Access Points. Wird dieses Passwort vom Käufer nicht geändert, können Angreifer durch das Ausprobieren mit Listen der Standardpasswörter Zugang zu den Geräten erlangen.


4 Schritte zu einem sicheren WLAN

Der Weg zu einen sicherem WLAN ist einfacher, als es vielleicht zunächst den Anschein hat. Hält man sich an einige Regeln, dann steht einer sorglosen WLAN-Nutzung fast nichts im Wege. Absolute Sicherheit ist nur schwer zu erreichen, aber je höher die Hürden gesetzt werden, desto unattraktiver wird ein WLAN für potentielle Angreifer. Die beiden wichtigsten Elemente von WLAN-Sicherheit sind Authentifizierung und Verschlüsselung! Moderne Router und Access Points bringen ab Werk einige Möglichkeiten mit, das eigene WLAN gegen Eindringlinge zu schützen. Diese muss man jedoch aber auch nutzen! Nach dem Urteil des BGH (I ZR 121/08) ist es die Pflicht eines WLAN-Besitzers, die zum Zeitpunkt der Installation marktüblichen Sicherungen für die private Nutzung von WLAN-Geräten zu prüfen. Dazu gehöre es auch, die werkseitigen Standardeinstellungen durch persönliche Einstellungen zu verändern. 

Schritt 1:

Der Zugang zur Konfigurationsoberfläche des Routers oder Access Points sollte durch ein persönliches Administratorpasswort gesichert werden, damit Änderungen an Einstellungen nur vom Geräte-Administrator durchgeführt werden können. Am besten sollten Konfigurationen auch nur über eine kabelgebundene Verbindung erfolgen.

Zur Anmeldung sollten starke Passwörter ausgewählt werden. Passörter wie „admin“ oder „passwort123“ gehören nicht in diese Kategorie! Eine Kombination aus mindestens 8 Buchstaben in Groß- und Kleinschreibung, Ziffern und Sonderzeichen generiert starke Passwörter, wie z.B. „Hb1&opGT58“. Diese genannte Zeichenfolge ist ein fiktiv zusammengestelltes Passwort, das sicher ist, aber man kann es sich nur schwer merken. Um sich so ein Passwort zu merken, kann man aber zum Beispiel auch ein Passwort mit persönlichem Wiedererkennungswert erstellen, z.B. aus Akronymen des eigenen Lieblingsliedes:The sound of silence von Simon & Garfunkel von 1966 = Tsos_vS&G_v1966Auch die Benutzung von so genannter „Leetspeak“ ist möglich, wobei hier Buchstaben durch ähnlich aussehende Ziffern und Sonderzeichen ersetzt werden: The sound of silence = 7h3_50und_0f_51l3nc3


Schritt 2:

Als nächstes sollte man seinem WLAN einen neuen Netzwerknamen (SSID) geben, der keinen Bezug zur eigenen Person hat. Wenn man selbst Fischer heißt und als SSID „Fischers Fritz Box“ wählt, ist es für einen Angreifer in der Umgebung entsprechend einfach, einen gezielten Angriff zu starten! Der Netzwerkname sollte auch nicht den Gerätehersteller und schon gar nicht den Gerätetypen enthalten. Wird eine Sicherheitslücke zu einem bestimmten Gerät publik, zeigt man den Angreifern durch eine solche SSID direkt, wie er attackieren kann.

Ein Netzwerkname wie „G5ugL4pp0o“ ist schon mal viel sicherer als eine SSID mit konkreten Hinweisen auf den Besitzer oder das Gerät.

Häufig wird WLAN-Betreibern angeraten, das Senden der SSID (SSID Broadcasting) im Router / Access Point zu deaktivieren, damit das Netz scheinbar „unsichtbar“ wird, was jedoch nicht der Fall ist. Diese Abschaltfunktion bringt keinen zusätzlichen Sicherheitsgewinn und führt im ungünstigen Fall sogar eher zu Problemen im Netzwerk.


Schritt 3:

Sofern alle im Netzwerk zu nutzenden Geräte den WPA2 Standard unterstützen, sollte man die WLAN Verschlüsselung im Heimnetzwerk und in kleineren Firmennetzwerken auf WPA2-PSK einstellen. Der Verschlüsselungsalgorithmus AES ist dabei dem Sicherheitsprotokoll TKIP mit RC4‑Algorithmus vorzuziehen.

Die Passphrase sollte aus mindestens 20 komplex angeordneten Zeichen bestehen, wobei das obere Limit bei 64 Zeichen liegt. Dieses Limit sollte man auch ruhig nutzen. Das Passwort sollte aus Ziffern, groß und klein geschriebenen Buchstaben, sowie Sonderzeichen bestehen. Das Passwort sollte keine Wörter enthalten, die in Wörterbüchern enthalten sind und auch keine persönlichen Angaben wie Namen, Adressen oder Geburtsdaten. Ein sicheres Passwort könnte z.B. so aussehen: '%%NILpE`YSfi[54MNSp3d}K|0"WSGAT#zBg$g9j/@}K[7Natürlich kann man sich solch ein Passwort nur schwerlich merken, aber für den Einsatz im WLAN ist dies für gewöhnlich kein Problem, da man hier die Passwörter jeweils nur einmal eingeben muss. Danach sind sie auf dem entsprechenden Gerät gespeichert. 


Schritt 4:

Viele Router bieten zusätzlich die Möglichkeit, einen so genannten MAC-Filter einzurichten. Bei der MAC-Adresse (Media Access Control Address) handelt es sich um eine eindeutige, individuelle Bezeichnung, die jede Netzwerk- und WLAN-Karte besitzt. Am sinnvollsten ist es, eine Liste mit erlaubten MAC-Adressen (also eine White-List) zu pflegen. Das heißt: Nur Geräte, deren MAC-Adresse in der White-List des Access Points / Routers stehen, dürfen das Netzwerk benutzen.

In vielen Fällen klebt die MAC-Adresse als Aufkleber auf der Rückseite des jeweiligen Gerätes. Um die MAC-Adresse die Ihr Client-Rechner nutzt, auch ohne diesen Aufkleber herauszufinden, geht man z.B. unter Windows folgendermaßen vor:

  1. Klick auf „Start > Ausführen“, bzw. das Windows-Symbol in der Starleiste 
  2. Im Eingabefeld den Befehl „cmd“ eingeben und „Enter“ klicken 
  3. Nun „ipconfig /all“ eingeben und die Enter-Taste drücken 


In der nun erscheinenden Auflistung steht unter „Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung“ beim Unterpunkt „Physikalische Adresse“ die MAC-Adresse (z.B. 00-02-56-59-00-86). Teilt man dem WLAN‑Gerät diese Adresse mit, wird es Clients ohne diese Adresse keinen Zugriff mehr gestatten. 

Eine entsprechende Anleitung zur Einrichtung der oben genannten Maßnahmen, für das jeweilige Gerät, findet sich meist im Handbuch des Routers oder Access Points. Sollte das Gerät von einem Internetanbieter gestellt worden sein, so leistet dieser meist auch Support dafür. 

Abgesehen von diesen wichtigen Sicherheitseinstellungen gilt es, die Firmware (also die fest installierte Betriebssoftware) des Routers oder Access Points immer auf dem aktuellsten Stand zu halten. Nur so erhält man zeitnah wichtige, sicherheitsrelevante Updates. Und falls es die Arbeitsumgebung zulässt, sollten die WLAN-Zugangspunkte einfach ausgeschaltet werden, wenn sie nicht in Benutzung sind – vor allem wenn man für längere Zeit verreist. Abgesehen von der erhöhten Sicherheit, ist hier die Stromersparnis ein nicht uninteressanter Faktor. 

Sollte es sich um sehr alte Geräte handeln, kann es möglich sein, das sie noch keine Verschlüsselung mit WPA2 unterstützen. In diesem Fall sollten sicherheitsbewusste Nutzer die Geräte gegen aktuellere Modelle austauschen. Man sollte vor dem Neukauf aber das Handbuch oder die Website des Herstellers konsultieren und prüfen, ob vielleicht ein Update verfügbar ist, das diese WPA2‑Funktion nachliefert. 


Fazit

Experten warnen seit Jahren, dass es wichtig ist, sein Drahtlosnetzwerk gegen Zugriffe durch Dritte zu sichern. Trotzdem finden sich leider immer noch genug Netze, die verwundbar sind. Fehl am Platz ist ein nachlässiges Sicherheitsdenken nach dem Grundsatz: „Ach was soll da schon passieren, ich mache doch nichts Schlimmes und mir will auch keiner etwas Böses.“ Spätestens das erwähntwe Urteil des BGH bestätigt die Wichtigkeit von Schutzmaßnahmen. Dementsprechend sollte es im Interesse eines jeden liegen, sein WLAN gegen Zugriffe von Unbefugten so gut wie möglich zu sichern.