Egal, ob Sie ein privates oder ein fir­men­in­ter­nes Netzwerk betreiben, nimmt der Wunsch nach Si­cher­heit die oberste Priorität ein. Tra­di­tio­nel­le Netzwerke mit Leitungen und Kabeln bieten aufgrund ihres Wesens einen gewissen Schutz vor externen Angriffen: Ohne phy­si­ka­li­schen Zugriff auf die Leitungen, die lo­gi­scher­wei­se innerhalb eines Gebäudes verlaufen, können Fremde nicht ohne weiteres mithören bzw. -lesen oder Daten abgreifen.

Wer jedoch die prak­ti­schen Mög­lich­kei­ten eines Funk­net­zes nutzen will, hat mit einem deutlich größeren Si­cher­heits­pro­blem zu kämpfen. Hier ist kein Kabel Über­tra­gungs­me­di­um, sondern der freie Raum, und die Reich­wei­te bemisst sich nicht etwa durch die Länge des Kabels, sondern durch die Stärke der Funk­si­gna­le. Sendet ein Gerät im draht­lo­sen lokalen Netzwerk – besser bekannt als WLAN – also Daten, benötigt ein Spion lediglich ein Emp­fangs­ge­rät, das sich in der Reich­wei­te der aus­ge­sen­de­ten Funk­si­gna­le befindet. Ent­spre­chend wichtig ist es, für eine gute WLAN-Sicherung zu sorgen, damit Sie den ka­bel­lo­sen Kom­mu­ni­ka­ti­ons­weg auch ohne Bedenken nutzen können.

Was ist ei­gent­lich ein WLAN?

Wireless Local Area Network, kurz Wireless LAN oder WLAN, ist der eng­lisch­spra­chi­ge Begriff für ein draht­lo­ses lokales Netzwerk. Eine solche Art der Ver­net­zung wird haupt­säch­lich dort ein­ge­setzt, wo die Ver­ka­be­lung der Netz­werk­ge­rä­te nicht möglich oder nur schwer zu rea­li­sie­ren und mit einem hohen Aufwand verbunden ist. Ein Wireless LAN kann al­ler­dings auch aus reinen Be­quem­lich­keits­grün­den exis­tie­ren. Besonders ver­brei­tet sind drahtlose Ver­bin­dun­gen im Pri­vat­sek­tor. Hier stellen WLANs eine her­vor­ra­gen­de Lösung dar, um im gesamten Wohn­be­reich In­ter­net­zu­gang zu rea­li­sie­ren, ohne diverse Kabel zu verlegen. Auch in Büros erweisen sich die Funknetze als nützlich, ins­be­son­de­re, wenn eine Vielzahl portabler Geräte wie Laptops, Tablets oder Smart­phones im Einsatz ist.

Man un­ter­schei­det drei ver­schie­de­ne Modi, drahtlose Netzwerke zu betreiben:

  • In­fra­struk­tur-Modus: Der Aufbau dieses Modus ähnelt dem Mo­bil­funk­netz. Ein Wireless Access Point übernimmt die Ko­or­di­na­ti­on aller Netz­werk­teil­neh­mer und sendet diesen dazu in ein­stell­ba­ren In­ter­val­len kleine Da­ten­pa­ke­te mit In­for­ma­tio­nen über den Netz­werk­na­men, die un­ter­stütz­ten Über­tra­gungs­ra­ten oder die Art der Ver­schlüs­se­lung. Beim Access Point handelt es sich oftmals um einen Router.
  • Wireless Dis­tri­bu­ti­on System: Da WLANs dieselbe Adres­sie­rungs­art wie Ethernet nutzen, können Sie über den Access Point un­kom­pli­ziert Ver­bin­dun­gen zu ka­bel­ge­bun­de­nen Netz­wer­ken (oder auch anderen Funk­net­zen) her­stel­len. So ver­knüp­fen Sie diese Netze und erhöhen bei­spiels­wei­se die Reich­wei­te, weshalb man von einem Wireless Dis­tri­bu­ti­on System (dt. „draht­lo­ses Aus­brei­tungs­sys­tem“) spricht.
  • Ad-hoc-Modus: In Ad-hoc-Netzen fehlt die zentrale Steue­rungs­in­stanz, sodass die Ko­or­di­na­ti­on von den je­wei­li­gen End­ge­rä­ten über­nom­men werden muss. Diese Netzwerke dienen der schnellen, direkten Kom­mu­ni­ka­ti­on einzelner Teil­neh­mer. Wirkliche Ver­brei­tung findet dieser WLAN-Modus al­ler­dings nicht – al­ter­na­ti­ve Techniken wie Bluetooth sind deutlich ge­bräuch­li­cher.

Das sind die Schwach­stel­len der draht­lo­sen Netzwerke

Die Rah­men­da­ten für die Kom­mu­ni­ka­ti­on in Funk­netz­wer­ken werden in den IEEE 802.11 vom Institute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE) in der Nähe von New York spe­zi­fi­ziert. Zu Beginn legte man bei der De­fi­ni­ti­on der WLAN-Standards al­ler­dings nur wenig Wert auf Si­cher­heit: Un­ver­schlüs­sel­te Über­tra­gung und keinerlei Not­wen­dig­keit einer Be­nut­zer­au­then­ti­fi­zie­rung gewährten jedem, der sich innerhalb der ent­spre­chen­den Reich­wei­te befand, offenen Zugang zum draht­lo­sen Netz. Die Forderung nach WLAN-Si­cher­heits­maß­nah­men be­güns­tig­te letzt­end­lich die Ent­wick­lung folgender Ver­schlüs­se­lungs- und Au­then­ti­fi­zie­rungs­me­tho­den:

  • Wired Equi­va­lent Privacy (WEP): WEP ist der älteste Standard zur WLAN-Ver­schlüs­se­lung und stammt aus dem Jahr 1997. Er bietet die zwei Au­then­ti­fi­zie­rungs­ver­fah­ren Open System Au­then­ti­ca­ti­on (alle Clients sind frei­ge­schal­tet) und Shared Key Au­then­ti­ca­ti­on (Frei­schal­tung per Passwort). Darüber hinaus be­inhal­tet WEP das Ver­schlüs­se­lungs­ver­fah­ren RC4. Aufgrund ver­schie­de­ner Schwach­stel­len gilt WEP heute als unsicher und veraltet.
  • Wi-Fi Protected Access (WPA): WPA baut auf der WEP-Ar­chi­tek­tur auf und wurde ent­wi­ckelt, um die Schwach­stel­len selbigen Ver­fah­rens zu tilgen. Um dies zu ge­währ­leis­ten, arbeitet WPA mit einem dy­na­mi­schen Schlüssel, der auf dem Temporal Key Integrity Protocol (TKIP) basiert. Da auch WPA gewisse Si­cher­heits­de­fi­zi­te aufweist, dürfen neue Wireless Access Points (seit 2011) und alle WLAN-fähigen Geräte (seit 2012) dieses Protokoll offiziell nicht mehr un­ter­stüt­zen.
  • Wi-Fi Protected Access 2 (WPA2): Mit dem Standard IEEE 802.11i im Jahr 2004 erschien auch die aktuell sicherste WLAN-Ver­schlüs­se­lungs- und Au­then­ti­fi­zie­rungs­me­tho­de WPA2. Anstelle von TKIP nutzt WPA2 das we­sent­lich modernere AES-Ver­schlüs­se­lungs­ver­fah­ren. Wenn Sie ein WLAN ein­rich­ten, sollten Sie WPA2 aus diesem Grund immer den älteren Standards WEP und WPA vorziehen.
  • Wi-Fi Protected Setup (WPS): Beim Standard WPS handelt es sich nicht um eine Über­tra­gungs- oder Ver­schlüs­se­lungs­tech­nik, sondern um eine Kon­fi­gu­ra­ti­ons­au­to­ma­tik, die die WLAN-Kon­fi­gu­ra­ti­on neuer Netz­werk­teil­neh­mer er­leich­tern soll. Die Au­then­ti­fi­zie­rung erfolgt per Knopf­druck (WPS-PBC) – physisch am Access Point bzw. virtuell über eine per Software im­ple­men­tier­te Schalt­flä­che – oder durch PIN-Eingabe (WPS-PIN). Al­ter­na­tiv gibt es die Mög­lich­keit, die Netzwerk-Ein­stel­lun­gen per USB-Stick oder via NFC (Kurz­stre­cken-Funk­tech­nik) aus­zu­tau­schen.

Obwohl WEP und WPA mit WPA2 einen legitimen, si­che­re­ren Nach­fol­ger besitzen, setzen einige Betreiber diese ver­al­te­ten Standards – insofern sie vom Wireless Access Point un­ter­stützt werden – immer noch ein, um ihr WLAN zu ver­schlüs­seln. Ob dies un­ab­sicht­lich oder aus Kom­pa­ti­bi­li­täts­grün­den (um älteren Geräten den Zugang zu gewähren) geschieht, ist dabei ne­ben­säch­lich. Klar ist: Solche Netzwerke sind einem stark erhöhten Risiko für un­be­rech­tig­te Zugriffe aus­ge­setzt – diese Fahr­läs­sig­keit ist einer der Haupt­grün­de für die kritische Be­ur­tei­lung der WLAN-Si­cher­heit. Weitere Fehler, die Angreifer einladen und dadurch vielen Be­trei­bern von draht­lo­sen Netz­wer­ken zum Ver­häng­nis werden, sind u. a.:

  • Stan­dard­nut­zer­na­men und -pass­wör­ter in Wireless Access Points zu über­neh­men
  • unsichere Grund­kon­fi­gu­ra­tio­nen des Wireless Access Points zu über­neh­men
  • feh­ler­haf­te Im­ple­men­tie­run­gen von WPA2 und WPS ein­zu­set­zen

Darüber hinaus sind drahtlose Netzwerke trotz un­ter­nom­me­ner Standard-WLAN-Si­cher­heits­maß­nah­men anfällig für ge­wöhn­li­che DoS- bzw. DDoS-Angriffe sowie für so­ge­nann­te Evil-Twin-Angriffe. Bei letzteren schleusen Angreifer mit spe­zi­el­ler Firmware einen falschen Wireless Access Point ins Netzwerk, den die Netz­werk­teil­neh­mer fortan für den ei­gent­li­chen Access Point halten und kon­tak­tie­ren. Der Evil Twin reagiert sei­ner­seits mit der Abfrage der Au­then­ti­fi­zie­rung und erhält vom ah­nungs­lo­sen Netz­werk­ge­rät die Zu­griffs­da­ten für das WLAN. Er übernimmt außerdem die MAC-Adresse des Clients (MAC-Spoofing) und hat somit alle not­wen­di­gen Daten, um die Ver­bin­dung her­zu­stel­len. Ins­be­son­de­re öf­fent­lich zu­gäng­li­che WLANs sind durch diese An­griffs­me­tho­de bedroht.

WLAN sicher machen: Eine Frage der Kon­se­quenz

Die auf­ge­führ­ten Schwach­stel­len zeigen, wie wichtig es ist, sich mit den viel­fäl­ti­gen Mög­lich­kei­ten der WLAN-Si­cher­heit aus­ein­an­der­zu­set­zen. Denn wer davon ausgeht, mit einer Firewall und einem geheimen Passwort für den optimalen Schutz zu sorgen, wird im Falle eines gezielten Angriffs schnell vom Gegenteil überzeugt werden. Hinter der um­fas­sen­den Ab­si­che­rung ka­bel­lo­ser Netzwerke steckt mehr als das An­schal­ten eines Routers, eine fünf­mi­nü­ti­ge Ein­rich­tung und die Suche nach einem Ge­heim­wort, das nicht einfach zu erraten, aber auch nicht zu schwer ein­zu­ge­ben sein soll. Je um­sich­ti­ger Sie bei der Kon­fi­gu­ra­ti­on und der an­schlie­ßen­den Ver­wal­tung vorgehen, desto sicherer wird Ihr Netzwerk später sein.

Die Basis der WLAN-Sicherung: Die richtige Kon­fi­gu­ra­ti­on des Wireless Access Points

Der Wireless Access Point – in der Regel ein Router – ist als zentrale Steu­er­ein­heit des Netzwerks auch das ent­schei­den­de Puz­zle­teil für dessen Si­cher­heit. Genauer gesagt geben die Ein­stel­lun­gen, die Sie für diese Hardware-Kom­po­nen­te vornehmen, den Ausschlag dafür, ob ein Angreifer sich innerhalb weniger Sekunden Zugriff zu Ihrem WLAN ver­schafft oder ob es bei dem Versuch bleibt. Das sind die wich­tigs­ten Kon­fi­gu­ra­ti­ons­schrit­te: Schritt 1: Erstellen Sie einen in­di­vi­du­el­len Ad­mi­nis­tra­tor-Zugang Damit ein Access Point kon­fi­gu­riert werden kann, läuft auf ihm so­ge­nann­te Firmware, die Ihnen in jedem ge­wöhn­li­chen In­ter­net­brow­ser ein Be­nut­zer­inter­face prä­sen­tiert, sobald Sie die IP-Adresse des Access Points aufrufen. Der Zugriff auf diese Ober­flä­che gelingt über ein Ad­mi­nis­tra­tor-Konto, für das ein Stan­dard­nut­zer­na­me und -passwort exis­tie­ren. Diese Log-in-Daten sind nicht in­di­vi­du­ell, sondern für alle Geräte des je­wei­li­gen Modells gleich und zudem auch sehr schlicht wie z. B. „admin“ (Passwort und Nut­zer­na­me) oder „1234“. Vergeben Sie daher gleich zu Beginn der Kon­fi­gu­ra­ti­on eigene An­mel­de­da­ten für den Ad­mi­nis­tra­tor-Account. Sie können diese auf­schrei­ben und an einem sicheren Ort auf­be­wah­ren, sollten sie jedoch auf keinen Fall ohne ge­eig­ne­ten Pass­wort­spei­cher auf dem Computer ablegen. Schritt 2: WPA2 als Ver­schlüs­se­lungs­ver­fah­ren auswählen Um Ihr WLAN zu ver­schlüs­seln, sollte Ihre Wahl unbedingt auf WPA2 fallen, da die beiden Vorgänger WPA und WEP wie erwähnt veraltet sind und ihre Nutzung ein erhöhtes Si­cher­heits­ri­si­ko bedeutet. Auch die Kom­bi­na­ti­ons­mög­lich­kei­ten „WPA/WPA2“ bzw. „mixed“ sind nicht zu empfehlen. Planen Sie statt­des­sen mit Netz­werk­ge­rä­ten, die WPA2 un­ter­stüt­zen und nicht auf die alten Ver­schlüs­se­lungs­ver­fah­ren an­ge­wie­sen sind. Insofern Sie mit der Kon­fi­gu­ra­ti­ons­au­to­ma­tik WPS arbeiten, sollten Sie diese nur ein­schal­ten, wenn sie benötigt wird. Schritt 3: Ein sicheres WLAN-Passwort erstellen Bisher sind für WPA2 aus­schließ­lich Passwort-Angriffe bekannt, ins­be­son­de­re Brute-Force-Attacken und Wör­ter­buch­an­grif­fe erfreuen sich bei Cy­ber­kri­mi­nel­len großer Be­liebt­heit. Der Wert eines komplexen WLAN-Passworts ist demnach gar nicht hoch genug an­zu­sie­deln. Sie begegnen den Ent­schlüs­se­lungs­al­go­rith­men und Wör­ter­lis­ten der ein­ge­setz­ten Tools am besten, indem Sie einen WLAN-Schlüssel ein­rich­ten, der aus möglichst vielen Zeichen besteht, wobei Sie sowohl Groß- und Klein­buch­sta­ben als auch Zahlen und Son­der­zei­chen verwenden sollten. Vermeiden Sie außerdem sinnvolle Wörter und verteilen Sie die Zeichen zufällig. Auch das WLAN-Passwort können Sie in Pa­pier­form an einem sicheren Ort auf­be­wah­ren, während von einem digitalen Spei­cher­ort abzuraten ist. Schritt 4: Einen nicht iden­ti­fi­zier­ba­ren Netz­werk­na­men angeben Eine WLAN-Si­cher­heits­maß­nah­me, die vor allem Ihrem per­sön­li­chen Schutz dient, ist die For­mu­lie­rung eines nicht auf Sie zu­rück­führ­ba­ren Service Set Iden­ti­fiers (SSID). Der SSID stellt die Be­zeich­nung für Ihr Netz dar und wird allen, die sich in Si­gnal­reich­wei­te befinden, prä­sen­tiert. Wenn Sie nicht gerade einen öf­fent­li­chen Hotspot betreiben, sollten Sie daher per­sön­li­che Angaben, die auf Sie selbst, Ihre Firma oder Ihren Standort hinweisen, vermeiden. Viele sehen ein Si­cher­heits­up­grade darin, den WLAN-Namen zu ver­ste­cken (Hidden SSID). Al­ler­dings stellt diese Technik für Angreifer keine allzu hohe Hürde dar und erschwert zu­sätz­lich den Ver­bin­dungs­auf­bau für die be­rech­tig­ten Clients. Wenn Sie die SSID Ihres WLANs ver­ste­cken, kann es sogar dazu kommen, dass einige Geräte den Access Point gar nicht mehr sehen und dem­zu­fol­ge auch keine Ver­bin­dung her­stel­len können. Schritt 5: Au­to­ma­ti­sche Firmware-Ak­tua­li­sie­rung ein­schal­ten Für die generelle WLAN-Si­cher­heit ist es zwingend er­for­der­lich, dass die Firmware des Wireless Access Points immer auf dem neuesten Stand ist. Wie bei jeder Software können Angreifer sich auch hier entdeckte Si­cher­heits­lü­cken zunutze machen und sich z. B. Ad­mi­nis­tra­tor­rech­te ver­schaf­fen oder Schad­soft­ware ein­schleu­sen. Einige Access Points besitzen eine au­to­ma­ti­sche Update-Funktion für die in­stal­lier­te Firmware, die Sie be­den­ken­los ak­ti­vie­ren können. Ist dies nicht der Fall, sollten Sie sich re­gel­mä­ßig darüber in­for­mie­ren, ob es Ak­tua­li­sie­run­gen für Ihr Gerät gibt, und diese manuell her­un­ter­la­den und in­stal­lie­ren.

Au­then­ti­fi­zie­rung mit IEEE 802.1X op­ti­mie­ren

Bei IEEE 802.1X handelt es sich um ein port­ba­sier­tes Si­cher­heits­kon­zept, das ver­bin­d­ung­auf­neh­men­den Clients erst dann den Zugang gewährt, wenn sie von einem Au­then­ti­fi­zie­rungs­ser­ver (RADIUS) überprüft und zu­ge­las­sen wurden. Dieser greift auf eine zuvor de­fi­nier­te Liste zurück, die ihm Auf­schluss darüber gibt, ob sich der an­fra­gen­de Client mit dem Wireless Access Point verbinden darf. Das Au­then­ti­fi­zie­rungs­ver­fah­ren stützt sich auf das Ex­ten­si­ble Au­then­ti­ca­ti­on Protocol (EAP), das auch WPA2 un­ter­stützt. Man spricht bei dieser Variante auch von WPA2 En­ter­pri­se, WPA2-1X oder WPA2/802.1X.

Weitere sinnvolle WLAN-Si­cher­heits­maß­nah­men

Haben Sie Ihren Wireless Access Point ent­spre­chend kon­fi­gu­riert, besitzt Ihr draht­lo­ses Netzwerk bereits einen or­dent­li­chen Schutz. Abhängig vom Ver­wen­dungs­zweck gibt es jedoch auch nach der Ein­rich­tung ver­schie­de­ne Aufgaben, die es zu erledigen gilt. Da der Großteil aller WLANs z. B. mit einem weiteren Netzwerk – größ­ten­teils mit dem Internet – verbunden ist, sollten Sie unbedingt die im Access Point ent­hal­te­ne oder eine eigene Firewall ein­rich­ten, um un­er­wünsch­te Ver­bin­dun­gen her­aus­zu­fil­tern. Außerdem ist es sinnvoll, über den Einsatz eines Intrusion Detection bzw. Intrusion Pre­ven­ti­on Systems nach­zu­den­ken, um Angriffe früh­zei­tig zu erkennen und zu ver­hin­dern.

Wenn Sie Kunden über WLAN In­ter­net­an­schluss gewähren wollen, sollten Sie im Übrigen immer mit einem separaten SSID arbeiten, den Sie zu­sätz­lich zu Ihrem Ar­beits­platz-WLAN bzw. -LAN erstellen und kon­fi­gu­rie­ren. In jedem Fall sind Sie als Betreiber des Funk­net­zes mit­ver­ant­wort­lich für die Nut­zungs­art des An­schlus­ses; etwaige Ur­he­ber­rechts­ver­let­zun­gen können schnell auf Sie zu­rück­fal­len. Um auf Nummer sicher zu gehen, sollten Sie daher die Aus­nut­zung der Band­brei­te im Auge behalten und unseriöse Websites in den Router-Ein­stel­lun­gen sperren.

Betreiben Sie ein WLAN im pro­fes­sio­nel­len Umfeld, sind re­gel­mä­ßi­ge Si­cher­heits­test mithilfe spe­zi­fi­scher Tools von großem Nutzen. Auf diese Weise si­mu­lie­ren Sie gängige Hacker-Angriffe und erfahren, ob Ihre WLAN-Si­cher­heits­maß­nah­men greifen. Auch hierbei gilt – stell­ver­tre­tend für den gesamten Prozess der WLAN-Sicherung – der Grundsatz: Je ge­wis­sen­haf­ter und de­tail­lier­ter Sie vorgehen, desto besser. Machen Sie sich die Mühe und

  • kon­fi­gu­rie­ren Sie Ihren Wireless Access Point überlegt,
  • bauen Sie zu­sätz­li­che Si­cher­heits­kom­po­nen­ten wie IEEE 802.1X, eine Firewall oder ein Intrusion Detection System ein,
  • betreiben Sie Arbeits- und Gäs­te­netz­wer­ke getrennt
  • und über­prü­fen Sie re­gel­mä­ßig Ak­tua­li­tät und Leis­tungs­fä­hig­keit der Netz­werk­kom­po­nen­ten.

So wird der Zugriff auf Ihr WLAN für Angreifer zu einer nur schwer über­wind­ba­ren Mauer.

Zum Hauptmenü