Die Technik, die Probleme, die Lösungen

Ganz gleich ob ein Notebook, Tablet oder Smartphone verwendet wird - die meisten Anwender sind fast immer online. Dazu tragen nicht zuletzt WLAN-Netze und Hotspots bei: Unsere FAQ erläutert die Technik, benennt die Probleme und deren Lösungen.
von Thomas Bär (freier IT-Journalist) und Frank-Michael Schlede (freier IT-Fachjournalist in Pfaffenhofen an der Ilm)

Wurde Bill Gates vor zehn Jahren noch belächelt, als er seine Vision vom "Internet always on your fingertips" verbreitete, denken die meisten Menschen heute nicht mal mehr darüber nach, ob und wann sie online sind: Ihre mobilen Geräte sind entweder über die Verbindung zum Mobilfunk-Provider oder über ein WLAN fast immer mit dem Internet verbunden.

Die drahtlosen Netzwerke, zuhause sehr häufig mit einer Fritzbox eingerichtet, sind eine gute Sache, erleichtern sie es doch, überall schnell und problemlos online zu gehen. Viele Anwender schätzen diese Technik im privaten Umfeld auch deshalb, weil sie ihnen den "Kabelsalat" der normalen Netzwerkverbindungen über Ethernet-Kabel erspart.

Doch wer diese Art der Verbindung einsetzt und sich beispielsweise auch unterwegs an den sogenannten Hotspots anmeldet, um so mobil zu surfen, sollte die Technik verstehen, die dahintersteckt: So lassen sich dann auch Probleme und Sicherheitsrisiken bei ihrem Einsatz deutlich minimieren.

WLAN 802.11 mit "g" oder "n" - wo sind die Unterschiede?

IEEE 802.11 ist die Bezeichnung für eine Funknetz-Norm. Diese werden vom amerikanischen IEEE (Institute of Electrical and Electronics Engineers) herausgeben. Der ursprüngliche Standard wurde nach und nach um verschiedene Erweiterungen ergänzt. Diese betreffen unter anderem die Übertragungsgeschwindigkeiten und die verwendeten Frequenzbänder. Dabei können auf einer WLAN-Strecke mittels 802.11g bis zu 54 MBit/s und bei 802.11n sogar bis zu 600 MBit/s übertragen werden. Das sind allerdings Bruttowerte, die beim realen Datentransfer nicht erreicht werden. Wer sich für diese Thematik interessiert, findet auf den Seiten von Intel einen interessanten Artikel (in englischer Sprache) zu diesem Thema.

Wie schnell darf es denn sein?
Mit den unterschiedlichen Versionen des 802.11-Standards sind auch unterschiedliche Geschwindigkeiten bei der Datenübertragung verbunden – der Router muss diese verschiedenen Versionen unterstützen.

Ganz wichtige Einstellungen:
Die Verschlüsselung der Übertragung – hier sollte nach Möglichkeit mindestens WPA besser noch WPA2 zum Einsatz kommen.

Sicherheit durch den MAC-Adressfilter:
Sicherheit durch den MAC-Adressfilter: Mit seiner Hilfe kann genau festgelegt werden, welche Geräte sich mit dem Router verbinden dürfen. Allerdings lassen sich MAC-Adressen leicht fälschen.

Der MAC-Adressfilter steht auch auf den Fritzbox-Routern von AVM bereit:
Die Software weist dabei zu Recht darauf hin, dass sich dazu zunächst einmal mindestens ein Gerät auf der Liste der berechtigten Gerät befinden muss.

Die SSID eines Hotspots erleichtert das Finden eines Netzwerkzugangs deutlich:
Tools wie das hier gezeigte WirelessNetView haben aber auch keine Probleme Netze ohne SSID (Service Set Identifier) anzuzeigen.

Auch Windows 8 zeigt WLAN-Netze ohne SSID an:
Dieses Netz ist zudem ungesichert, weil der Besitzer vermutlich meinte, dass ihn ein Verbergen des Namens ausreichend schützen würde – ein Irrglaube.

Eine weitgehend sichere Verbindung:
Hier kommt WPA2 mit dem Algorithmus AES unter Windows 8 zum Einsatz – wurde das Passwort entsprechend gut angelegt, ist diese Verbindung nur schwerlich zu „knacken“.

Einer der vielen Gründe, warum Anwender immer online sein wollen:
Die App „WhatsApp“ ermöglicht mobiles Messaging über jede Internet-Verbindung

Das mobile Telefon wird zum Hotspot:
Mittels der Tethering-Funktion, die bei den meisten Smartphone-Betriebssystemen (hier unter Android) zur Verfügung steht, wird das leicht möglich.

Sollte auf keinen Fall vergessen werden:
Auch der mobile Hotspot über ein Smartphone will abgesichert sein und sollte mit einer eindeutigen SSID gekennzeichnet sein.

Bis auf die Bezeichnung für die SSID ...
... deutet nichts darauf hin, dass es sich hier um ein Smartphone handelt, dass sich hier dem Notebook als Hotspot anbietet.

Sollte nach Gebrauch komplett abgeschaltet werden:
Hier ist der mobile Hotspot auf Android-Smartphone aktiv und Geräte können sich mit ihm verbinden.

So können vertrauliche Daten auch über eine offene Verbindung verschickt werden:
Viele mobile Betriebssysteme (wie hier Android) bieten bereits standardmäßig Clients an, die eine VPN-Verbindung ermöglichen.

Was bedeutet das für die WLAN-Praxis?

Wenn Sie sich heute dafür entscheiden, ein WLAN einzusetzen beziehungsweise neu zu installieren, so sollten Sie beim Router (WLAN-Access-Point) darauf achten, dass dieser die Norm 802.11n unterstützt. Heute können sowohl aktuelle Notebooks als auch Tablets und Smartphones zumeist diese schnellere Übertragung unterstützen. Ein weiterer Vorteil: Bei 802.11n können sie auf ein zweites Frequenzband ausweichen (5 GHz), das in der Regel nicht so überfüllt ist wie das 2,4 GHz-Band von 802.11g - das zudem auch von anderen Funktechniken wie Bluetooth verwendet wird.

WEP, WPA2 und noch mehr Abkürzungen - wichtig fürs WLAN?

Diese Abkürzungen sind wichtig, denn sie betreffen die Verschlüsselung der Datenübertragung bei einer WLAN-Strecke. Eine Übertragung per Funk ist relativ leicht abzuhören und mitzuschneiden, deshalb sollten grundsätzlich alle Übertragungen verschlüsselt erfolgen.

Es sollte mittlerweile auch bekannt sein, dass der Sicherheitsstandard WEP (Wired Equivalent Privacy), der ein Teil des ursprünglichen IEEE 802.11-Standards ist, nicht sicher ist: Die Verschlüsselung erfolgt mit einem 40 Bit langem statischen Schlüssel (einige Hersteller verwenden auch längere Schlüssel), der mit aktuellen Computer-Systemen sehr leicht und einfach zu knacken ist.

Sicherer ist der Einsatz der Standards WPA (Wi-Fi Protected Access) beziehungsweise WPA2. Bei WPA2 kommt ein AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard) zum Einsatz. Er verwendet variable Schlüssellängen von bis zu 256 Bit und gilt nach heutigem Standard als nicht zu knacken, solange entsprechend komplexe Passworte eingesetzt werden.

Wie wird mein WLAN im Büro sicherer?

Es gibt eine Reihe von einfachen Regeln, die bei Einrichtung und Betrieb eines WLANs, ob nun mit einer Fritzbox oder einem anderen WLAN Router, beachtet werden sollten - ganz gleich, ob diese Technik daheim oder am Arbeitsplatz zum Einsatz kommt:

• Konfigurieren Sie den Router, bevor Sie das WLAN in Betrieb nehmen: Nie mit den "Werkseinstellungen" weiterarbeiten

• Falls eine Verschlüsselung nicht schon standardmäßig eingerichtet ist: Konfigurieren Sie die Verschlüsselung und wählen Sie dabei mindestens WPA besser WPA2 (wird in der Regel von allen modernen Geräten, auch Tablets und Smartphones, unterstützt).

• Wählen Sie ein entsprechend "gutes" Passwort aus: Keine Eigennamen und grundsätzlich keine Worte, die im Wörterbuch zu finden sind (dort kann die Software der Angreifer nämlich auch nachschauen. Stichwort: Wörterbuchangriff)

• Sichere Passwörter bestehen gerade für den WLAN-Zugang aus einer möglichst langen zufälligen Zeichenkette (32 Zeichen und mehr), gemischt aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen.

• Deaktivieren Sie (falls vorhanden), die Möglichkeit der Wartung via Fernzugriff in den Einstellungen Ihres Routers.

• Auch die Möglichkeit, den Router über eine WLAN-Verbindung zu konfigurieren, sollte abgeschaltet werden - die Konfiguration sollte nach Möglichkeit nur über eine kabelgebundene Verbindung erfolgen.

• Halten Sie auch die Firmware Ihres Routers immer auf dem aktuellen Stand.

• Deaktivieren Sie alle Protokolle und Server-Software auf Ihrem Router, die Sie nicht einsetzen: Viele Router stellen zusätzliche Drucker-, FTP- oder auch Video-Server bereit.

• Schalten Sie das WLAN grundsätzlich aus, wenn es nicht gebraucht wird. Einige Router bieten hier auch die Möglichkeit, entsprechende Zeiträume zu definieren, in denen das WLAN automatisch an- beziehungsweise ausgeschaltet wird.

Gewinn an Sicherheit durch MAC-Adressen?

Viele Router erlauben es, sogenannte MAC-Adressen-Filter zur Identifikation der Geräte einzusetzen, die sich an einem Zugangspunkt fürs WLAN anmelden. MAC-Adressen (Media Access Control) werden von den Herstellern der Netzwerkadapter vergeben. Sie besitzen den großen Vorteil, dass sie eine eindeutige Identifizierung eines Geräts ermöglichen, da sie wirklich jeweils nur einmal für einen bestimmten Netzwerkadapter vergeben werden. Wird dieser Filter auf dem Router eingeschaltet, so können sich nur noch Endgeräte mit diesem Zugangspunkt verbinden, deren MAC-Adresse zuvor hier registriert wurde.

Je nach Router-Typ kann beispielsweise in Abhängigkeit von der MAC-Adresse auch individuell festgelegt werden, ob bestimmte Systeme dann Zugriff auf das Internet oder andere Systeme im eigenen Netzwerk erhalten.

Praxistipp: Auf den ersten Blick erscheint ein MAC-Adressen-Filter eine gute Sache zu sein - zumal im heimischen Umfeld und in kleinen Büros in der Regel immer die gleichen Geräte zum Einsatz kommen. Allerdings ist der Sicherheitsgewinn, der durch diese Maßnahme erreicht wird, eher gering: Das Fälschen der MAC-Adressen - das sogenannte MAC-Spoofing - ist mit Hilfe einschlägiger Software recht einfach.

Zumal es zu bedenken gilt, dass beim Einsatz eines solchen Filters jedes neue Gerät zunächst einmal beim Router "eingetragen" werden muss: Ziemlich umständlich und zeitaufwändig, wenn Freunde oder Geschäftspartner "mal schnell" mit dem Tablet oder Smartphone ins Netz wollen. Unsere Erfahrung zeigt, dass der Aufwand hier in keinem Verhältnis zum Sicherheitsgewinn steht, weshalb wir den Einsatz dieses Filters nicht empfehlen.

Sollte der Name des drahtlosen Netzwerkes verborgen werden?

Dieser Tipp wird immer noch (und immer wieder) als Maßnahme zur Erhöhung der WLAN-Sicherheit propagiert: das Verbergen des SSID (Service Set Identifier). Diese SSID stellt den vom Nutzer frei wählbaren Namen dar, der dann von anderen Nutzern bei der Suche nach WLAN-Netzen beziehungsweise einem Zugriffspunkt gefunden und angezeigt werden kann. Wird dieser Name nicht angegeben, so wird der eigene WLAN-Zugangspunkt bei der Suche weder auf einem Windows- oder Mac OS X-System noch auf einem Smartphone angezeigt. Diese "Schutzmaßnahme" hält aber nur sehr unerfahrene Nutzer ab und macht das Anmelden für die berechtigten Anwender nur unnötig komplizierter. Bekannte Tools wie WirelessNetView von Nirsoft sowie Windows 8 zeigen auch die drahtlosen Netzwerke ohne SSID an.

Praxistipp: Keine SSID zu vergeben bringt kaum mehr Sicherheit - aber den Namen des Zugangs zu Ihrem WLAN sollten Sie trotzdem mit Bedacht wählen:

• Verwenden Sie nach Möglichkeit nicht Ihren Namen oder gar ihre Telefonnummer für diese Bezeichnung.

• Auch die standardmäßig vergebenen Bezeichnungen der Router-Hersteller, die das Modell des verwendeten Geräts genau benennen, sollten Sie ändern

Solche Informationen sind wahre "Goldgruben" für Angreifer, die so versuchen mit "Social Engineering"-Techniken in Ihr Netzwerk einzudringen.

Verwendung von Hotspots - was ist dabei zu beachten?

WLAN-Verbindungen sowie frei zugängliche und häufig auch kostenfreie Hotspots haben die Idee vom "Always On" überhaupt erst möglich gemacht. Moderne Smartphones sind mit ihrer kompletten Funktionalität ebenso wie Tablets und Notebooks nur noch recht selten ohne direkten Internet-Zugriff im Einsatz. Neben der kostenpflichtigen und trotz aller "Flat-Versprechen" der Mobilfunk-Provider zumeist limitierten Internet-Zugänge via GSM oder 3G setzen viele Anwender hier auf WLAN-Hotspots, um ihre mobilen Systeme mit dem Internet zu verbinden. Dabei sollte man folgende Grundregeln beachten:

1. Grundsätzlich sollten Sie das WLAN im mobilen Gerät ausschalten, wenn Sie es nicht brauchen: Das spart nicht nur Strom, sondern erhöht die Sicherheit. Das gilt auch für die Bluetooth-Verbindungen.

2. Achten Sie darauf, dass Sie bei einer Verbindung über einen Hotspot immer dann, wenn es um eine Anmeldung beispielsweise mit Namen und Passwort oder um die Übertragung vertraulicher Daten geht, im Web-Browser eine gesicherte SSL-Verbindung (Secure Sockets Layer) verwenden.

3. Besondere Vorsicht ist natürlich bei "offenen" Hotspots geboten: So bieten manche Hotels beispielsweise einen offenen Zugang auf eine eigene Web-Seite an, bei der sich der Nutzer dann anmelden muss: Achten Sie in diesen Fällen darauf, dass die Webseite auch schon bei der Anmeldung verschlüsselt ist - mache Seiten schalten die SSL-Verbindung erst NACH dem Verbindungsaufbau ein, wodurch Ihr Name und das Passwort unverschlüsselt übertragen werden.

4. Der Zugriff auf Web-Mail-Konten sollte grundsätzlich nur über eine SSL- und nie über eine offene Verbindung erfolgen.

5. Eine weitere, sehr gute aber aufwändigere Möglichkeit, eine sichere Verbindung beispielsweise auch über einen offenen Hotspot herzustellen, besteht darin, eine VPN-Verbindung (Virtual Private Networks) zu verwenden. Viele mobile Geräte bringen bereits einen entsprechenden Client mit, so dass nur noch sichergestellt werden muss, dass auch der Server am "anderen Ende" die Verschlüsselung versteht. Das funktioniert beispielsweise mit Android-Endgeräten und den Protokollen PPTP und L2TP zumeist ohne zusätzliche Software, wie ein Artikel auf Tecchannel zeigt.

Was versteht man unter "Tethering"?

Wer sich mit drahtlosen Netzwerken und mobilen Anbindungen beschäftigt, wird in diesem Zusammenhang auch immer wieder auf den Begriff Tethering treffen: Das bedeutet übersetzt "Anbinden" und steht für die Möglichkeit, ein Smartphone so einzusetzen, das es als Hotspot für ein anderes Gerät wie ein Tablet oder ein Notebook fungieren kann, das ansonsten nur via WLAN auf das Netz zugreifen kann. Das Telefon stellt dann die Verbindung zum Internet über die GSM- oder UMTS-Anbindung wie ein Modem her. Viele Mobilfunk-Provider erlauben in der Zwischenzeit diese Art der Verbindung, die von den meisten Smartphone-Betriebssystemen aus möglich ist. Grundsätzlich sind das die folgenden Versionen

1. Android ab 2.2

2. Windows Phone ab Version 7.5 und

3. iOS ab Version 3.0.

Allerdings müssen auch die Hardware-Hersteller die Geräte entsprechend für das Tethering eingerichtet haben, so dass nicht unbedingt alle Telefone mit diesen Betriebssystem-Versionen eine entsprechende Möglichkeit anbieten müssen. Bei einigen Systemen ist ein Tethering auch über eine USB- oder eine Bluetooth-Verbindung zwischen Notebook/Tablet und Smartphone möglich.

Praxistipp: Wer sein Smartphone für das Tethering über das WLAN einrichtet, sollte dabei immer daran denken, dass er jetzt einen mobilen Hotspot bereitstellt. Deshalb sollten die folgenden Punkte beachtet werden:

• Schalten Sie die Tethering-Funktion nur ein, wenn Sie diese direkt benötigen und vergewissern Sie sich, dass die Funktion danach vollständig ausgeschaltet ist.

• Alle zuvor erwähnten Hinweise zur SSID und zu den Passworten gelten natürlich auch für den eigenen mobilen Hotspot.

• Denken Sie auch daran, die Verschlüsselung (WPA2) für Ihren mobilen Hotspot zu aktivieren.

• Vorsicht: Derartige mobile Hotspots sind schnell und einfach aufgesetzt, deshalb verwenden Sie als "Endabnehmer" nur solche Hotspots, die Sie kennen oder deren Seriosität sie nachvollziehen können. Gerade im Umfeld großer Veranstaltung werden über die Tethering-Funktion gerne "kostenlose Hotspots" angeboten, um arglose Anwender in die Falle zu locken. Hat man sie erst einmal auf einem solchen Gerät angemeldet, sind die Daten schnell abgefangen.
  

Dieser Artikel stammt von unserer Schwesterpublikation Computerwoche. (kv)