Spätestens das jüngste BGH-Urteil (ChannelPartner berichtete) dürfte WLAN-Besitzer aufgerüttelt haben: Wer ein nicht oder nur schlecht gesichertes WLAN betreibt, ist mitschuldig, wenn andere darüber Online-Straftaten begehen.Gerade als Händler sollten Sie Ihre Kunden gezielt darauf ansprechen, es lockt einiges an Service-Geschäft. Wir zeigen, wie Sie ein WLAN eines Kunden absichern.
Ein unsicheres WLAN in vielerlei Hinsicht gefährlich: Einerseits können Fremde in das interne Netzwerk eindringen und Zugriff auf freigegebene Dateien erlangen. Wenn PCs oder andere Netzwerkgeräte über bekannte Schwachstellen verfügen, wäre es sogar denkbar, dass die Eindringlinge auf alle Daten der Festplatte(n) zuzugreifen.
Andererseits könnten Fremde auch über den Anschluss ins Internet gehen - und zwar im Namen des Besitzers. Denn anhand der IP-Adresse, die der WLAN-Router vom Provider zugewiesen bekommt, lässt sich von Strafverfolgungsbehörden Name und Adresse des Anschlussinhabers ermitteln.
Wenn Fremde also über Ihren WLAN-Router im Internet Tauschbörsen nutzen, illegale Inhalte publizieren oder andere kriminelle Dinge tun, wird die Polizei vor der Tür des Besitzers stehen und dessen Geräte beschlagnahmen. Welchem Kunden möchten Sie das zumuten? Selbst falls er seine Unschuld beweisen können - Ärger, Kosten und Imageschaden hat er trotzdem. Zudem haften Sie bei Urheberrechtsverletzungen als Mitstörer, wie der Bundesgerichtshof jüngst entschieden hat.
Grund genug also, ein WLAN mit allen verfügbaren technischen Möglichkeiten abzuschotten. Wie das funktioniert und was es zu beachten gilt, erklären wir Ihnen in diesem Beitrag. Die einzelnen Schritte sind nach Wichtigkeit beziehungsweise Effektivität sortiert. Ein Tipp vorneweg: Um zu verhindern, dass ein zugelassener WLAN-Nutzer Ihre Sicherheits-Einstellungen ändert, sollten Sie den WLAN-Router mit einem Passwort schützen.
Verschlüsselung - so stark wie möglich
Die Grundlage für ein sicheres WLAN ist eine starke Verschlüsselung. Während vor einigen Jahren WLAN-Router mit deaktivierter Verschlüsselung ausgeliefert wurde, ist es heute Standard, dass ab Werk ein individueller Schlüssel voreingestellt ist, der auf der Rück- oder Unterseite des Geräts verzeichnet ist. Die Standardeinstellungen lassen sich aber noch weiter verbessern.
1. Verschlüsselungsmethode überprüfen
Die meisten WLAN-Router werden mit aktivierter WPA-Verschlüsselung ausgeliefert. Diese bietet einen ausreichenden Schutz. Noch sicherer ist allerdings WPA2. Manche Router besitzen einen Kombimodus mit WPA und WPA2. Dieser bietet jedoch keinen höheren Schutz, da eine Verbindung per WPA ja weiterhin möglich ist. Wenn alle Ihre WLAN-Geräte WPA2 unterstützen, sollten Sie daher den reinen WPA2-Modus im Router einschalten.
Zwar ist auch WPA nach derzeitigem Kenntnisstand einbruchsicher - aber WPA2 gehört auf jeden Fall die Zukunft. Keinesfalls benutzt werden sollte WEP. Diese Verschlüsselungsmethode lässt sich leicht knacken. Einen Überblick über alle WLAN-Verschlüsselungsmethoden lesen Sie auf Seite 6 dieses Beitrags. Windows XP unterstützt WPA2 übrigens erst mit installiertem SP3. Falls der Kunde noch SP2 nutzt, rüsten Sie WPA2 mit diesem Update nach.
2. Schlüssellänge und -komplexität optimieren
Der werksseitig voreingestellte WLAN-Schlüssel besteht häufig nur aus Ziffern und ist nutzt auch nicht die maximal mögliche Länge von 63 Zeichen aus. Je kürzer und einfacher strukturiert der Schlüssel ist, desto einfacher lässt er sich durch automatisiertes Ausprobieren mit Spezial-Software und leistungsfähiger Hardware ermitteln (Brute-Force-Methode).
Gerade wenn von einem bestimmten Router-Typ bekannt ist, dass er nur Zahlen als Standardschlüssel einsetzt, könnte er gezielt Opfer eines Angriffs werden. Besser ist es daher, einen Schlüssel zu benutzen, der sowohl aus Nummern als auch aus Klein- und Großbuchstaben besteht. Mit Sonderzeichen und Umlauten sollten Sie vorsichtig sein, da nicht alle unterstützt werden. Bedenkenlos können Sie zum Beispiel +,-,),( und $ benutzen. Die Länge sollte sechzehn Zeichen betragen - je mehr je besser. Maximal sind 63 Zeichen möglich. Falls Sie selber keine zündende Idee für ein sicheres Passwort haben: Die Freeware RK-WLAN-Keygen generiert eins für Sie.
Reichweite verringern
Am sichersten ist ein WLAN natürlich, wenn es gar nicht erst über die Grenzen der Wohnung oder des Geschäftsgebäudes hinaus erreichbar ist. Das hundertprozentig hinzubekommen ist schwierig - aber zumindest kann man dem Ziel nahe kommen.
1. Sendeleistung verringern
Die einfachste Möglichkeit ist es, in der Konfiguration des WLAN-Routers die Sendeleistung zu verringern - sofern er diese Option bietet. Bei Fritzboxen zum Beispiel erledigen das unter "Einstellungen -> Erweiterte Einstellungen -> WLAN -> Funkkanal -> Maximale Sendeleistung". Der Punkt wird nur angezeigt, wenn unter "Einstellungen -> Erweiterte Einstellungen -> System -> Ansicht" die "Expertenansicht" aktiviert ist.
Setzen Sie die maximale Sendeleistung auf den niedrigsten Wert und prüfen Sie, ob sie an allen gewünschten Stellen in Ihrer Wohnung stabilen Empfang haben. Die Windows-WLAN-Verwaltung sollte mindestens eine "niedrige" Signalstärke anzeigen (zwei grüne Balken). Erst ab dem Status "Sehr niedrig" (ein grüner Balken) wird es kritisch. Dann sollten Sie die Sendeleistung schrittweise erhöhen. Zusätzlich empfiehlt es sich, die Option "Sendeleistung automatisch auf den tatsächlichen Bedarf verringern" zu aktivieren.
2. n-Standard abschalten
Wenn der Kunde keine WLAN-Geräte benutzt, die den n-Standard unterstützen, oder er dessen schnellere Übertragungsgeschwindigkeit von bis zu 300 MBit/s sowieso nicht ausreizt, sollten Sie ihn im Router ausschalten. Denn ein weiterer Vorteil des n-Standards ist eine verbesserte Reichweite durch den Einsatz mehrerer Sende-/Empfangmodule und Antennen. Dieser Vorteil kann sich in puncto WLAN-Sicherheit jedoch als Nachteil erweisen. Bei Fritzboxen zum Beispiel deaktivieren Sie den n-Standard, indem Sie unter "Einstellungen -> Erweiterte Einstellungen -> WLAN -> Funkkanal -> WLAN- Standard" den Eintrag "802.11b+g" auswählen.
3. Standort optimieren
Wenn möglich, sollte der WLAN-Router nicht in der Nähe des Fensters und der Außenwände stehen, sondern möglichst mittig innerhalb des Einsatzgebietes. Einen gewissen dämpfenden Effekt hat es auch, wenn die Antennen mit Alufolie umwickelt werden. Das ist einfach und schnell zu bewerkstelligen und verblüfft so manchen.
WLAN-Name (SSID) unterdrücken
Normalerweise sendet ein WLAN-Router seinen Namen (SSID) aus, wenn ein Gerät in Reichweite nach verfügbaren Drahtlosnetzen sucht. Dem Anwender werden daraufhin, zum Beispiel in der Windows-Netzwerkumgebung, alle WLANs in der Umgebung angezeigt. Bei manchen Routern ist ab Werk ein zufälliger Name eingestellt, zum Beispiel "WLAN-0F7H0E6GS8", manchmal nur die Geräte-Bezeichnung ("Fritzbox Fon WLAN 7270", ...) und manchmal ein generischer Name ("WLAN", ...). Manche Anwender ändern die SSID deshalb, zum Beispiel in "Marcels-WLAN" oder "Fahrschule_Huber".
Die SSID lässt sich aber auch komplett unterdrücken. Dann wird das WLAN in der Netzwerkliste von kontaktsuchenden PCs entweder gar nicht oder mit einem Eintrag wie "Unbenanntes WLAN" angezeigt. Die Verbindung kann erst aufgebaut werden, wenn man die SSID kennt und korrekt eingibt. Manche WLAN-Geräte haben allerdings Probleme mit unterdrückten WLAN-Namen.
Experten streiten sich darüber, ob es sicherheitstechnisch Sinn macht, die SSID zu unterdrücken. Denn mit speziellen Tools, die den Netzwerkverkehr belauschen, lässt sie sich trotzdem ermitteln. Andererseits könnte es durchaus den Gelegenheits-Hacker abhalten, der größere Mühe scheut. Auf jeden Fall aber sollte die SSID keinen Rückschluss auf den Einsatzzweck des Netzwerks, den Modellnamen des Routers und den Firmennamen zulassen.
Adressfilter nutzen
Jedes Netzwerkgerät verfügt über eine eindeutige hexadezimale Kennung ("MAC-Adresse"), mit es im internen Netz adressierbar ist. Sie sieht zum Beispiel so aus: 00:1C:4D:12:9A:A2. Die MAC-Adresse bildet die Grundlage für die Adressierung auf Protokollebene, zum Beispiel über die IP-Adresse. WLAN-Router bieten die Option, den Zugriff auf bestimmte MAC-Adressen zu beschränken.
Je nach Router ist das jedoch etwas mühselig, außerdem bringt die Maßnahme kaum zusätzliche Sicherheit. Denn die MAC-Adresse muss aus technischen Gründen unverschlüsselt übertragen werden. Außerdem lässt sie sich fälschen. Ein Angreifer könnte also anhand des mitprotokollierten Netzwerkverkehrs zugelassene MAC-Adressen herausfinden und seinen WLAN-Adapter so umprogrammieren, dass er eine davon benutzt.
1. Adressfilter einrichten
Wenn Sie den Adressfilter trotzdem nutzen möchten, hängt die Vorgehensweise von WLAN-Router ab. Besonders komfortabel ist das bei den Fritzboxen gelöst. Diese merken sich die Namen und MAC-Adressen aller Geräte, die bisher verbunden waren. Unter "Einstellungen -> Erweiterte Einstellungen -> WLAN -> Funknetz -> Bekannte WLAN-Geräte" können Sie die Liste einsehen, einzelne Einträge löschen und die Option "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" aktivieren. Wenn Sie später einem neuen WLAN-Gerät Zugriff gewähren wollen, schalten Sie kurz in den Modus "Alle neuen WLAN-Geräte zulassen", bis die neue MAC-Adresse in der Liste auftaucht.
Alternativ gibt es die Option, MAC-Adressen manuell hinzuzufügen. Das ist auch der Weg, den man bei den meisten anderen WLAN-Routern gehen muss. Dazu ist es aber nötig, sie erst einmal zu ermitteln. Bei WLAN-Sticks, -Karten oder Unterhaltungselektronik-Geräten ist sie meistens auf einem Aufkleber auf dem Gehäuse verzeichnet.
2. MAC-Adressen ermitteln
Etwas komplizierter wird es bei in Notebooks integrierten WLAN-Chips. Findet sich auf dem Gehäuse kein Hinweis, starten Sie unter Windows die Eingabeaufforderung durch den Befehl "CMD.EXE", den Sie unter "Start, Ausführen" (Windows XP) beziehungsweise in die Suchleiste (Vista & 7) eingeben. In dem Kommandozeilenfenster tippen Sie ipconfig /all ein und suchen in der Ausgabe nach dem Abschnitt "Drahtlose Netzwerkverbindung". Die MAC-Adresse ist dort in der Zeile "Physikalische Adresse" aufgeführt. Statt Bindestrichen geben Sie in Ihrem Router Doppelpunkte als Trennzeichen ein, falls diese nicht sowieso schon vorgegeben sind.
WLAN-Verschlüsselung erklärt
Nachdem wir Ihnen gezeigt haben, wie Sie ein WLAN sicher machen, erklären wir nun noch für alle Wissbegierigen, was sich hinter den einzelnen Verschlüsselungs-Methoden WEP, WPA und WPA2 und Abkürzungen wie TKIP, PSK und AES verbirgt.
WEP steht für "Wired Equivalent Privacy" - übersetzt, bedeutet das soviel wie "Privatsphäre wie in verkabelten Netzwerken". WEP war einer der ersten Verschlüsselungs-Algorithmen für drahtlose Netzwerke. Es gibt ihn in zwei Versionen: Mit einer Schlüssellänge von 64 und 128 Bit. Wenige Jahre nach der Einführung fanden Experten Schwachstellen im WEP-Protokoll. Hacker sprangen auf den Zug auf und entwickelten immer ausgefeiltere Methoden, um WEP-Schlüssel auszuspionieren. Inzwischen benötigt man dazu nur noch rund eine Minute - entsprechende Soft- und Hardware sowie kriminelle Energie vorausgesetzt.
WPA ("Wi-Fi Protected Access") ist der Nachfolger von WEP. Das Verfahren wurde nach Bekanntwerden der WEP-Schwachstelle unter der Maßgabe entwickelt, dass sich WEP-Geräte durch ein Software-Update damit aufrüsten lassen sollen. Der zugrunde liegende Algorithmus durfte also nicht rechenintensiver sein, als der bei WEP verwendete. Daher entschied man sich dafür, den von WEP beizubehalten. Denn der Algorithmus selbst (RC4) war nicht für die Schwachstelle verantwortlich. WPA gewährleistet unter anderem durch dynamisch generierte Schlüssel, basierend auf dem TKIP-Protokoll sowie durch einen 48-Bit-langen Initialisierungsvektor eine sehr viel höhere Sicherheit als WEP. Bisher ist kein praktikabler Weg bekannt, einen WPA-Schlüssel auszuspionieren. WPA gibt es auch in einer Variante mit dem AES-Algorithmus (Advanced Encryption Standard) - diese Kombination unterstützen jedoch nur wenige Geräte.
WPA2 setzt standardmäßig auf den als sehr sicher geltenden AES-Algorithmus. Ansonsten kommen die gleichen oder ähnlichen Verfahren wie bei WPA zum Einsatz. Statt TKIP nutzt WPA2 aber das CCMP-Protokoll.
WPA und WPA2 gibt es in zwei Authentifizierungs-Varianten. Die in privaten und kleinen Firmennetzen standardmäßig genutzte Methode heißt Personal oder PSK (Pre-Shared Key), also ein Passwort, das im WLAN-Router vergeben wird und für alle Anwender gilt. Dieses sollte daher ausreichend lang und komplex gewählt sein (siehe Seite 2).
Große Unternehmen setzen im Gegensatz dazu oft auf "WPA(2)-Enterprise", also auf einen Authentifizierungs-Server (RADIUS - Remote Authentication Dial-In User Service), bei dem für jeden Anwender ein Benutzerkonto mit individuellem Schlüssel hinterlegt ist.