Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Montag, 18. August 2008

Sicherheitshinweise für den Betrieb eines WLAN

Sie haben ein WLAN? Fein. Damit Sie nun, wo die Kabel weg sind, nicht über Sicherheitsprobleme stolpern, haben wir ein paar Punkte für Sie zusammengestellt, auf die Sie achten sollten:

Wer kann Einstellungen im Access Point ändern?

Heutige Access Points verfügen in der Regel über ein Web-Interface, so dass man per Browser (z.B. Firefox) die Einstellungen vornehmen kann. Wenn Sie das Gerät auspacken und in Betrieb nehmen, sind in der Regel so genannte Standard-Zugangsdaten (etwa Login: admin und Passwort: admin) eingerichtet, die dadurch auch potenziellen Angreifern den Zugriff erlauben. Damit die sicherheitsrelevanten Einstellungen auch wirklich nur von Ihnen vorgenommen werden können, sollten Sie also als Erstes die Zugangsdaten ändern. Achten Sie dabei darauf, dass sowohl die Login-Kennung als auch das Passwort nicht leicht zu erraten und nicht zu kurz sind. Angreifer können sonst zu leicht durch systematisches Ausprobieren erfolgreich sein.

Gute Access Points verfügen neben der WLAN-Antenne auch über einen Anschluss für ein Netzwerkkabel und können so eingestellt werden, dass die Einstellungen nur über diesen Anschluss geändert werden können. Angreifer, die von außen per WLAN auf Pirsch sind, werden dadurch erstmal abgehalten. Achten Sie insbesondere bei WLAN-Routern auch darauf, den Zugriff auf die Einstellungen aus dem Internet zu unterbinden, wenn Sie ihn nicht explizit benötigen.

Prüfen Sie ferner, ob es Software-/Firmware-Updates für Ihren Access Point gibt. Manchmal werden Sicherheitsmängel erst nach dem Kauf bekannt und lassen sich nur durch ein Update beheben. Auf den Web-Seiten guter Hersteller finden Sie Updates sowie die benötigten Anleitungen, um die Updates bei sich einzuspielen – Sie sollten dort daher regelmäßig einmal nachschauen.

Wer kann in Ihrem WLAN mitspielen?

Damit der Datenaustausch in Ihrem Netz nicht einfach abgehört werden kann, sollten Sie immer Verschlüsselungsverfahren einsetzen. Achten Sie bereits beim Kauf darauf, dass Ihr Access Point das Verfahren WPA bzw. WPA2 unterstützt. Sollte nur das Verfahren WEP unterstützt werden: Finger weg! Das Verschlüsselungsverfahren WEP ist bereits seit geraumer Zeit gebrochen und bietet keinen Schutz vor Angreifern mehr. Sollten Sie bereits einen Access Point besitzen und in Betrieb haben, der nur WEP unterstützt, sollten Sie diesen umgehend durch ein neues Modell ersetzen.

Neben dem Verfahren ist die Schlüssellänge entscheidend für die Qualität des Schutzes. Nutzen Sie daher die maximal mögliche Länge aus, die Sie eingeben können. Ist ein Schlüssel (eine Art Passwort für den Zugang zum Netz) zu kurz, bietet auch das beste Verschlüsselungsverfahren keinen Schutz vor Angreifern. Zur Erhöhung der Sicherheit sollte man in regelmäßigen Abständen die Schlüssel gegen neue austauschen.

Bei einigen Access Points ist ab Werk die Funktion „Automatic Key Distribution“(automatische Schlüsselverteilung) nach IEEE-Standard 802.1x aktiviert. In größeren Netzumgebungen von z.B. Firmen ist eine solche Funktion mitunter sinnvoll, in kleineren Netzen ist sie aber unnötig und stellt eher eine Angriffsmöglichkeit dar. Daher sollte diese Funktion im Zweifel deaktiviert werden.

Der Name ihres WLANs, die so genannte SSID (Service Set Identifier), wird auch in verschlüsselten Netzen unverschlüsselt übertragen und könnte Angreifern Aufschluss über den Betreiber des Netzes, den Standort des Geräts oder den Typ des Access Points geben. Insbesondere letztere Information kann für gezielte Angriffe wertvoll sein. Es ist daher sinnvoll, die SSID in einen Wert zu ändern, der keine derartigen Rückschlüsse zulässt. Auch kann man die Übertragung der SSID oft ganz unterbinden. Dann muss sie auch auf den Rechnern, die ins Netz eingebunden werden sollen, von Hand eintragen werden.

Die MAC-Adressen (Media Access Control) sind vom Hersteller vorgegebene eindeutige Identifizierungskennungen von Netzwerkkarten. Durch eine Beschränkung auf die MAC-Adressen der von Ihnen zugelassenen Rechner können Sie Angreifer zunächst außen vor halten; allerdings lassen sich die MAC-Adressen aus dem eventuell abgehörten Datenverkehr herauslesen. Da MAC-Adressen manipuliert werden können, kann ein Angreifer dann so tun, als ob er Ihre Netzwerkkarte benutzt und sich so den Zugang erschleichen.

Wohin funkt Ihr WLAN?

Bei einigen Access Points kann man die Sendeleistung der Antennen verringern. Durch etwas Ausprobieren mit diesem Wert und dem Standort des Geräts kann man erreichen, dass die eigenen Räume zwar noch gut versorgt werden, darüber hinaus der Empfang aber deutlich erschwert ist - das spart auch Energie. Für besondere Anforderungen gibt es spezielle Antennen, mit denen sich die Abstrahlung noch besser ausrichten lässt. Und über eine schaltbare Steckdosenleiste können Sie zudem das WLAN in Zeiten, in denen Sie es nicht benötigen, einfach und sicher abschalten.