WLAN-Sicherheit: So machen Sie Ihr kabelloses Netzwerk zur Festung

Egal, ob Sie ein privates oder ein firmeninternes Netzwerk betreiben, nimmt der Wunsch nach Sicherheit die oberste Priorität ein. Traditionelle Netzwerke mit Leitungen und Kabeln bieten aufgrund ihres Wesens einen gewissen Schutz vor externen Angriffen: Ohne physikalischen Zugriff auf die Leitungen, die logischerweise innerhalb eines Gebäudes verlaufen, können Fremde nicht ohne weiteres mithören bzw. -lesen oder Daten abgreifen.

Wer jedoch die praktischen Möglichkeiten eines Funknetzes nutzen will, hat mit einem deutlich größeren Sicherheitsproblem zu kämpfen. Hier ist kein Kabel Übertragungsmedium, sondern der freie Raum, und die Reichweite bemisst sich nicht etwa durch die Länge des Kabels, sondern durch die Stärke der Funksignale. Sendet ein Gerät im drahtlosen lokalen Netzwerk – besser bekannt als WLAN – also Daten, benötigt ein Spion lediglich ein Empfangsgerät, das sich in der Reichweite der ausgesendeten Funksignale befindet. Entsprechend wichtig ist es, für eine gute WLAN-Sicherung zu sorgen, damit Sie den kabellosen Kommunikationsweg auch ohne Bedenken nutzen können.

Wireless Local Area Network, kurz Wireless LAN oder WLAN, ist der englischsprachige Begriff für ein drahtloses lokales Netzwerk. Eine solche Art der Vernetzung wird hauptsächlich dort eingesetzt, wo die Verkabelung der Netzwerkgeräte nicht möglich oder nur schwer zu realisieren und mit einem hohen Aufwand verbunden ist. Ein Wireless LAN kann allerdings auch aus reinen Bequemlichkeitsgründen existieren. Besonders verbreitet sind drahtlose Verbindungen im Privatsektor. Hier stellen WLANs eine hervorragende Lösung dar, um im gesamten Wohnbereich Internetzugang zu realisieren, ohne diverse Kabel zu verlegen. Auch in Büros erweisen sich die Funknetze als nützlich, insbesondere, wenn eine Vielzahl portabler Geräte wie Laptops, Tablets oder Smartphones im Einsatz ist.

Man unterscheidet drei verschiedene Modi, drahtlose Netzwerke zu betreiben:

• Infrastruktur-Modus: Der Aufbau dieses Modus ähnelt dem Mobilfunknetz. Ein Wireless Access Point übernimmt die Koordination aller Netzwerkteilnehmer und sendet diesen dazu in einstellbaren Intervallen kleine Datenpakete mit Informationen über den Netzwerknamen, die unterstützten Übertragungsraten oder die Art der Verschlüsselung. Beim Access Point handelt es sich oftmals um einen Router.

• Wireless Distribution System: Da WLANs dieselbe Adressierungsart wie Ethernet nutzen, können Sie über den Access Point unkompliziert Verbindungen zu kabelgebundenen Netzwerken (oder auch anderen Funknetzen) herstellen. So verknüpfen Sie diese Netze und erhöhen beispielsweise die Reichweite, weshalb man von einem Wireless Distribution System (dt. „drahtloses Ausbreitungssystem“) spricht.

• Ad-hoc-Modus: In Ad-hoc-Netzen fehlt die zentrale Steuerungsinstanz, sodass die Koordination von den jeweiligen Endgeräten übernommen werden muss. Diese Netzwerke dienen der schnellen, direkten Kommunikation einzelner Teilnehmer. Wirkliche Verbreitung findet dieser WLAN-Modus allerdings nicht – alternative Techniken wie Bluetooth sind deutlich gebräuchlicher.

Die Rahmendaten für die Kommunikation in Funknetzwerken werden in den IEEE 802.11 vom Institute of Electrical and Electronics Engineers (IEEE) in der Nähe von New York spezifiziert. Zu Beginn legte man bei der Definition der WLAN-Standards allerdings nur wenig Wert auf Sicherheit: Unverschlüsselte Übertragung und keinerlei Notwendigkeit einer Benutzerauthentifizierung gewährten jedem, der sich innerhalb der entsprechenden Reichweite befand, offenen Zugang zum drahtlosen Netz. Die Forderung nach WLAN-Sicherheitsmaßnahmen begünstigte letztendlich die Entwicklung folgender Verschlüsselungs- und Authentifizierungsmethoden:

• Wired Equivalent Privacy (WEP): WEP ist der älteste Standard zur WLAN-Verschlüsselung und stammt aus dem Jahr 1997. Er bietet die zwei Authentifizierungsverfahren Open System Authentication (alle Clients sind freigeschaltet) und Shared Key Authentication (Freischaltung per Passwort). Darüber hinaus beinhaltet WEP das Verschlüsselungsverfahren RC4. Aufgrund verschiedener Schwachstellen gilt WEP heute als unsicher und veraltet.

• Wi-Fi Protected Access (WPA): WPA baut auf der WEP-Architektur auf und wurde entwickelt, um die Schwachstellen selbigen Verfahrens zu tilgen. Um dies zu gewährleisten, arbeitet WPA mit einem dynamischen Schlüssel, der auf dem Temporal Key Integrity Protocol (TKIP) basiert. Da auch WPA gewisse Sicherheitsdefizite aufweist, dürfen neue Wireless Access Points (seit 2011) und alle WLAN-fähigen Geräte (seit 2012) dieses Protokoll offiziell nicht mehr unterstützen.

• Wi-Fi Protected Access 2 (WPA2): Mit dem Standard IEEE 802.11i im Jahr 2004 erschien auch die aktuell sicherste WLAN-Verschlüsselungs- und Authentifizierungsmethode WPA2. Anstelle von TKIP nutzt WPA2 das wesentlich modernere AES-Verschlüsselungsverfahren. Wenn Sie ein WLAN einrichten, sollten Sie WPA2 aus diesem Grund immer den älteren Standards WEP und WPA vorziehen.

• Wi-Fi Protected Setup (WPS): Beim Standard WPS handelt es sich nicht um eine Übertragungs- oder Verschlüsselungstechnik, sondern um eine Konfigurationsautomatik, die die WLAN-Konfiguration neuer Netzwerkteilnehmer erleichtern soll. Die Authentifizierung erfolgt per Knopfdruck (WPS-PBC) – physisch am Access Point bzw. virtuell über eine per Software implementierte Schaltfläche – oder durch PIN-Eingabe (WPS-PIN). Alternativ gibt es die Möglichkeit, die Netzwerk-Einstellungen per USB-Stick oder via NFC (Kurzstrecken-Funktechnik) auszutauschen.

Obwohl WEP und WPA mit WPA2 einen legitimen, sichereren Nachfolger besitzen, setzen einige Betreiber diese veralteten Standards – insofern sie vom Wireless Access Point unterstützt werden – immer noch ein, um ihr WLAN zu verschlüsseln. Ob dies unabsichtlich oder aus Kompatibilitätsgründen (um älteren Geräten den Zugang zu gewähren) geschieht, ist dabei nebensächlich. Klar ist: Solche Netzwerke sind einem stark erhöhten Risiko für unberechtigte Zugriffe ausgesetzt – diese Fahrlässigkeit ist einer der Hauptgründe für die kritische Beurteilung der WLAN-Sicherheit. Weitere Fehler, die Angreifer einladen und dadurch vielen Betreibern von drahtlosen Netzwerken zum Verhängnis werden, sind u. a.:

• Standardnutzernamen und -passwörter in Wireless Access Points zu übernehmen

• unsichere Grundkonfigurationen des Wireless Access Points zu übernehmen

• fehlerhafte Implementierungen von WPA2 und WPS einzusetzen

Darüber hinaus sind drahtlose Netzwerke trotz unternommener Standard-WLAN-Sicherheitsmaßnahmen anfällig für gewöhnliche DoS- bzw. DDoS-Angriffe sowie für sogenannte Evil-Twin-Angriffe. Bei letzteren schleusen Angreifer mit spezieller Firmware einen falschen Wireless Access Point ins Netzwerk, den die Netzwerkteilnehmer fortan für den eigentlichen Access Point halten und kontaktieren. Der Evil Twin reagiert seinerseits mit der Abfrage der Authentifizierung und erhält vom ahnungslosen Netzwerkgerät die Zugriffsdaten für das WLAN. Er übernimmt außerdem die MAC-Adresse des Clients (MAC-Spoofing) und hat somit alle notwendigen Daten, um die Verbindung herzustellen. Insbesondere öffentlich zugängliche WLANs sind durch diese Angriffsmethode bedroht.

Die aufgeführten Schwachstellen zeigen, wie wichtig es ist, sich mit den vielfältigen Möglichkeiten der WLAN-Sicherheit auseinanderzusetzen. Denn wer davon ausgeht, mit einer Firewall und einem geheimen Passwort für den optimalen Schutz zu sorgen, wird im Falle eines gezielten Angriffs schnell vom Gegenteil überzeugt werden. Hinter der umfassenden Absicherung kabelloser Netzwerke steckt mehr als das Anschalten eines Routers, eine fünfminütige Einrichtung und die Suche nach einem Geheimwort, das nicht einfach zu erraten, aber auch nicht zu schwer einzugeben sein soll. Je umsichtiger Sie bei der Konfiguration und der anschließenden Verwaltung vorgehen, desto sicherer wird Ihr Netzwerk später sein.

Der Wireless Access Point – in der Regel ein Router – ist als zentrale Steuereinheit des Netzwerks auch das entscheidende Puzzleteil für dessen Sicherheit. Genauer gesagt geben die Einstellungen, die Sie für diese Hardware-Komponente vornehmen, den Ausschlag dafür, ob ein Angreifer sich innerhalb weniger Sekunden Zugriff zu Ihrem WLAN verschafft oder ob es bei dem Versuch bleibt. Das sind die wichtigsten Konfigurationsschritte: Schritt 1: Erstellen Sie einen individuellen Administrator-Zugang Damit ein Access Point konfiguriert werden kann, läuft auf ihm sogenannte Firmware, die Ihnen in jedem gewöhnlichen Internetbrowser ein Benutzerinterface präsentiert, sobald Sie die IP-Adresse des Access Points aufrufen. Der Zugriff auf diese Oberfläche gelingt über ein Administrator-Konto, für das ein Standardnutzername und -passwort existieren. Diese Log-in-Daten sind nicht individuell, sondern für alle Geräte des jeweiligen Modells gleich und zudem auch sehr schlicht wie z. B. „admin“ (Passwort und Nutzername) oder „1234“. Vergeben Sie daher gleich zu Beginn der Konfiguration eigene Anmeldedaten für den Administrator-Account. Sie können diese aufschreiben und an einem sicheren Ort aufbewahren, sollten sie jedoch auf keinen Fall ohne geeigneten Passwortspeicher auf dem Computer ablegen. Schritt 2: WPA2 als Verschlüsselungsverfahren auswählen Um Ihr WLAN zu verschlüsseln, sollte Ihre Wahl unbedingt auf WPA2 fallen, da die beiden Vorgänger WPA und WEP wie erwähnt veraltet sind und ihre Nutzung ein erhöhtes Sicherheitsrisiko bedeutet. Auch die Kombinationsmöglichkeiten „WPA/WPA2“ bzw. „mixed“ sind nicht zu empfehlen. Planen Sie stattdessen mit Netzwerkgeräten, die WPA2 unterstützen und nicht auf die alten Verschlüsselungsverfahren angewiesen sind. Insofern Sie mit der Konfigurationsautomatik WPS arbeiten, sollten Sie diese nur einschalten, wenn sie benötigt wird. Schritt 3: Ein sicheres WLAN-Passwort erstellen Bisher sind für WPA2 ausschließlich Passwort-Angriffe bekannt, insbesondere Brute-Force-Attacken und Wörterbuchangriffe erfreuen sich bei Cyberkriminellen großer Beliebtheit. Der Wert eines komplexen WLAN-Passworts ist demnach gar nicht hoch genug anzusiedeln. Sie begegnen den Entschlüsselungsalgorithmen und Wörterlisten der eingesetzten Tools am besten, indem Sie einen WLAN-Schlüssel einrichten, der aus möglichst vielen Zeichen besteht, wobei Sie sowohl Groß- und Kleinbuchstaben als auch Zahlen und Sonderzeichen verwenden sollten. Vermeiden Sie außerdem sinnvolle Wörter und verteilen Sie die Zeichen zufällig. Auch das WLAN-Passwort können Sie in Papierform an einem sicheren Ort aufbewahren, während von einem digitalen Speicherort abzuraten ist. Schritt 4: Einen nicht identifizierbaren Netzwerknamen angeben Eine WLAN-Sicherheitsmaßnahme, die vor allem Ihrem persönlichen Schutz dient, ist die Formulierung eines nicht auf Sie zurückführbaren Service Set Identifiers (SSID). Der SSID stellt die Bezeichnung für Ihr Netz dar und wird allen, die sich in Signalreichweite befinden, präsentiert. Wenn Sie nicht gerade einen öffentlichen Hotspot betreiben, sollten Sie daher persönliche Angaben, die auf Sie selbst, Ihre Firma oder Ihren Standort hinweisen, vermeiden. Viele sehen ein Sicherheitsupgrade darin, den WLAN-Namen zu verstecken (Hidden SSID). Allerdings stellt diese Technik für Angreifer keine allzu hohe Hürde dar und erschwert zusätzlich den Verbindungsaufbau für die berechtigten Clients. Wenn Sie die SSID Ihres WLANs verstecken, kann es sogar dazu kommen, dass einige Geräte den Access Point gar nicht mehr sehen und demzufolge auch keine Verbindung herstellen können. Schritt 5: Automatische Firmware-Aktualisierung einschalten Für die generelle WLAN-Sicherheit ist es zwingend erforderlich, dass die Firmware des Wireless Access Points immer auf dem neuesten Stand ist. Wie bei jeder Software können Angreifer sich auch hier entdeckte Sicherheitslücken zunutze machen und sich z. B. Administratorrechte verschaffen oder Schadsoftware einschleusen. Einige Access Points besitzen eine automatische Update-Funktion für die installierte Firmware, die Sie bedenkenlos aktivieren können. Ist dies nicht der Fall, sollten Sie sich regelmäßig darüber informieren, ob es Aktualisierungen für Ihr Gerät gibt, und diese manuell herunterladen und installieren.

Bei IEEE 802.1X handelt es sich um ein portbasiertes Sicherheitskonzept, das verbindungaufnehmenden Clients erst dann den Zugang gewährt, wenn sie von einem Authentifizierungsserver (RADIUS) überprüft und zugelassen wurden. Dieser greift auf eine zuvor definierte Liste zurück, die ihm Aufschluss darüber gibt, ob sich der anfragende Client mit dem Wireless Access Point verbinden darf. Das Authentifizierungsverfahren stützt sich auf das Extensible Authentication Protocol (EAP), das auch WPA2 unterstützt. Man spricht bei dieser Variante auch von WPA2 Enterprise, WPA2-1X oder WPA2/802.1X.

Haben Sie Ihren Wireless Access Point entsprechend konfiguriert, besitzt Ihr drahtloses Netzwerk bereits einen ordentlichen Schutz. Abhängig vom Verwendungszweck gibt es jedoch auch nach der Einrichtung verschiedene Aufgaben, die es zu erledigen gilt. Da der Großteil aller WLANs z. B. mit einem weiteren Netzwerk – größtenteils mit dem Internet – verbunden ist, sollten Sie unbedingt die im Access Point enthaltene oder eine eigene Firewall einrichten, um unerwünschte Verbindungen herauszufiltern. Außerdem ist es sinnvoll, über den Einsatz eines Intrusion Detection bzw. Intrusion Prevention Systems nachzudenken, um Angriffe frühzeitig zu erkennen und zu verhindern.

Wenn Sie Kunden über WLAN Internetanschluss gewähren wollen, sollten Sie im Übrigen immer mit einem separaten SSID arbeiten, den Sie zusätzlich zu Ihrem Arbeitsplatz-WLAN bzw. -LAN erstellen und konfigurieren. In jedem Fall sind Sie als Betreiber des Funknetzes mitverantwortlich für die Nutzungsart des Anschlusses; etwaige Urheberrechtsverletzungen können schnell auf Sie zurückfallen. Um auf Nummer sicher zu gehen, sollten Sie daher die Ausnutzung der Bandbreite im Auge behalten und unseriöse Websites in den Router-Einstellungen sperren.

Betreiben Sie ein WLAN im professionellen Umfeld, sind regelmäßige Sicherheitstest mithilfe spezifischer Tools von großem Nutzen. Auf diese Weise simulieren Sie gängige Hacker-Angriffe und erfahren, ob Ihre WLAN-Sicherheitsmaßnahmen greifen. Auch hierbei gilt – stellvertretend für den gesamten Prozess der WLAN-Sicherung – der Grundsatz: Je gewissenhafter und detaillierter Sie vorgehen, desto besser. Machen Sie sich die Mühe und

• konfigurieren Sie Ihren Wireless Access Point überlegt,

• bauen Sie zusätzliche Sicherheitskomponenten wie IEEE 802.1X, eine Firewall oder ein Intrusion Detection System ein,

• betreiben Sie Arbeits- und Gästenetzwerke getrennt

• und überprüfen Sie regelmäßig Aktualität und Leistungsfähigkeit der Netzwerkkomponenten.

So wird der Zugriff auf Ihr WLAN für Angreifer zu einer nur schwer überwindbaren Mauer.