WLAN absichern

Inhaltsverzeichnis

Einleitung

Obwohl immer wieder darüber berichtet wird, sind WLAN-Verbindungen sehr häufig nicht ausreichend gegen unbefugte Benutzung abgesichert. Dennoch sind nach seriösen Schätzungen mehr als die Hälfte der betriebenen WLANs nicht oder nicht ausreichend gegen unbefugtes Eindringen geschützt. Die Benutzer kaufen sich einfach einen WLAN-Router, schließen diesen an und freuen sich dann, dass alles funktioniert. Besonders bei solchen Geräten, die als kostenlose Beigabe von ISPs angeboten werden, sind Daten wie die des "Einwahl"-Servers bereits eingetragen, und die Zugangsdaten des Benutzers werden mittels eines Assistenten festgelegt. Obwohl diese Assistenten auch weitere Einstellmöglichkeiten zur Verfügung stellen, werden diese von den meisten Benutzern nicht verwendet, frei nach dem Motto: was soll ich mich darum kümmern, die Internetverbindung funktioniert ja, und die Kommunikation mit eventuell anderen Geräten, die an den Router angeschlossen sind, läuft ja auch. Mit dieser Einstellung braucht man sich aber dann auch nicht wundern, wenn irgendwann Probleme auftreten. Sei es, dass gar nichts mehr geht, weil ein eigentlich Unbefugter den Router umkonfiguriert hat, oder dass vielleicht sogar mal die Polizei im Haus steht, weil irgend jemand über den ungesicherten Router kriminelle Handlungen im Internet begangen hat. Ein solche Verdacht fällt natürlich immer auf den Betreiber des Routers zurück, denn dessen Daten werden im Zuge der Vorratsdatenspeicherung beim Provider 6 Monate lang gespeichert, und es ist jederzeit nachvollziehbar, von welchem Zugang aus welche Seiten im Internet angefordert worden sind.

Die Absicherung eines WLAN-Acess-Points ist also kein Luxus, sondern ein zwingendes Muss für jeden, der ein solches Gerät betreibt.

Achten Sie also darauf, dass Ihr WLAN-Access-Point nur verschlüsselte Verbindungen akzeptiert, denn z. B. hat am 12.05.2010 der Bundesgerichtshof ein Urteil (Az. I ZR 121/08) erlassen, das die so genannte Störerhaftung regelt. Danach können Privatpersonen auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird. Sollte also ein Dritter über Ihr ungesichertes WLAN Urheberrechtsverstöße begehen, droht Ihnen eine Abmahngebühr, die aber in solchen Fällen auf maximal 100 € begrenzt ist. Aber wer will schon 100 € an windige Abmahnanwälte verschwenden.

Vorgehensweise

Ohne jetzt auf einzelne spezielle Fabrikate eingehen zu wollen, möchte ich hier prinzipielle Dinge erläutern, die für alle WLAN-Access-Points gelten und die bei allen solchen Geräten konfigurierbar sind.

Zugangsdaten zum Router

Die meisten WLAN-Router werden mit einer standardmäßigen Administratorkennung und einem voreingestellten Passwort ausgeliefert. Manche Geräte verlangen auch nur ein Passwort. Ein explizierter Benutzername muss nicht eigegeben werden.

Als allererstes sollte das Passwort geändert werden. Sehr häufig lautet die Voreinstellung für das Passwort "00000" oder "admin" oder ähnlich. Da diese Standardeinstellungen jederzeit über die Website des jeweiligen Herstellers abgerufen werden können ist dies, abgesehen von der leichten Erratbarkeit solcher Passwörter, natürlich die erste Anlaufstelle für jemanden, der unbefugt einzudringen versucht. Den Typ des Routers herauszufinden, ist auch für Außenstehende bei Benutzung geeigneter Programme sehr einfach zu bewerkstelligen.

Also: ändern Sie als allerserstes das Passwort und, wenn möglich, auch die Kennung des Administrators für Ihren Router. Vergeben Sie hier ein sicheres Passwort. Führen Sie dies bereits durch, bevor Sie den Router an das Internet anschließen.

Einstellung der Verschlüsselung

Grundsätzlich sollten alle WLAN-Router nur über eine sicher verschlüsselte Verbindung erreichbar sein. Manche Hersteller liefern Ihre Router zwar bereits mit einer voreingestellten Verschlüsselung aus, doch sollten auch hier änderungen vorgenommen werden. Die vom Hersteller vergebenen Schlüssel sind in der Regel für alle Geräte eines Typs gleich. Also sind diese Schlüssel auch allgemein bekannt und deshalb absolut unsicher!

Generell bieten WLAN-Geräte zwei Typen von Verschlüsselung an. Der erste Typ, WEP sollte nicht verwendet werden. Dieses Protokoll gilt allgemein als sehr unsicher und ist mit den geeigneten Werkzeugen binnen weniger Minuten zu knacken. Nur das Protokoll WPA bzw. WPA2 bietet ausreichend Sicherheit für die übertragung der Informationen zwischen den verschiedenen WLAN-Geräten. Die Grundlage bei WPA ist das PSK-Verfahren. Hier muss jeder Kommunikationsteilnehmer über den gleichen Schlüssel verfügen, damit eine Verbindung überhaupt möglich wird. Diese Schlüssel können bis zu 63 Zeichen lang sein, eine Länge, die auch möglichst ausgenutzt werden sollte, denn, je länger der Schlüssel, desto schwieriger ist es für einen Angreifer, diesen zu knacken. Ein solcher Schlüssel ist mit einem Passwort vergleichbar und sollte entsprechend sicher gewählt werden. Bei der Länge von bis zu 63 Zeichen spricht man auch oft von einer Passphrase. Ein guter Tipp hier: Wählen Sie einen möglichst unsinnigem Text inklusive von Zahlen und Satz- und Sonderzeichen und schöpfen Sie die maximale Länge auch aus, dann erst sind sie auf der sicheren Seite (siehe auch Sichere Passwörter). Da Sie diesen Schlüssel nicht jedes Mal bei einem Verbindungsaufbau neu eingeben müssen, sondern dieser in Ihrem Access-Point und den jeweiligen Endgeräten gespeichert wird, kann die Komplexität auch beliebig sein. Dennoch sollten Sie sich diesen Schlüssel irgendwie merken, damit Sie wissen, wie er lautet, falls Sie mal ein Endgerät austauschen wollen, oder ein solchiges dem Netz hinzufügen möchten. Die Schlüssel werden meist in Form von hash-Codes gespeichert und können deshalb auch nicht entziffert werden, wenn der hash in falsche Hände gerät (siehe auch Verschlüsselung und digitale Signatur).

Die SSID

Die SSID ist der Bezeichner für Ihr drahtloses Netzwerk, also der Netzwerk-Name. In der Standardeinstellung der meisten WLAN-Router findet man, dass dieser Name über das Netzwerk bekannt gegeben wird. Auch das sollte man abschalten, zumindest nachdem Sie Ihr WLAN eingerichtet haben. Für Diagnosezwecke kann dies entweder bei der Einrichtung des drahtlosen Netzwerks oder bei der Integration neuer Geräte in das Funknetzwerk aktiviert werden; beim normalen Betrieb ist die Bekanntgabe der SSID nicht notwendig. Ist die Bekanntgabe der SSID aktiviert, kann natürlich jeder, der sich innerhalb der Reichweite des Funknetzes befindet, diesen Namen auslesen und weiß damit, dass ein Funknetzwerk vorhanden ist. Weitere Versuche, in dieses Funknetzwerk einzudringen sind dann vorprogrammiert, besonders dann, wenn obige Sicherheitsmaßnahmen nicht durchgeführt worden sind. Diese Maßnahme stellt allerdings keine unüberwindliche Hürde dar, da, obwohl die Bekanntgabe SSID abgeschaltet ist, dennoch dieser Bezeichner in den transportierten Daten vorhanden ist und auch mit etwas mehr Aufwand ausgelesen werden kann.

Leider erkennen manche WLAN-Clients, auch bei sonst korrekten Einstellungen, ihr Netz nicht, wenn sie keine SSID finden. Dann bleibt einem auch nichts weiter übrig als die SSID im Funknetz bekannt zu geben. Bei korrekten Sicherheitseinstellungen ist das dann aber auch kein Problem mehr.

Beschränkung auf bekannte Geräte

Jede Netzwerkkarte, also auch WLAN-Karten, haben eine weltweit eindeutige Adresse, die sogenannte MAC-Adresse, auch Hardware-Adresse genannt. Nachdem Sie Ihre Verbindung zwischen den Endgeräten und dem Access-Point hergestellt haben, sollten Sie verhindern, dass andere Geräte Zugang zu Ihrem Funknetz bekommen. Dies erreicht man, indem man den Zugang auf bereits bekannte MAC-Adressen beschränkt. Dies ist zwar kein absoluter Schutz, denn auch MAC-Adressen können sehr leicht gefälscht werden (MAC-Spoofing), gibt aber in den meisten Fällen zusätzliche Sicherheit, da schon ein wirklich ernsthaft gemeinter Angriff erfolgen muss, um die MAC-Adressen der bereits für Ihr WLAN zugelassenen Geräte auszulesen, um damit vorgeben zu können, der Angreifer sei im Besitz dieser Adresse, womit er wiederum vortäuschen könnte, es handle sich bei dem von ihm benutzten um ein für Ihren Access-Point zugelassenes Gerät. Man sollte sich aber durch die Filterung der MAC-Adressen nicht in einer trügerischen Sicherheit wiegen lassen, da auch trotz Verschlüsselung, gleich welcher Art diese auch sein mag, diese Adressinformationen dennoch als Klartext übertragen und somit unter Zuhilfenahme geeigneter Werkzeuge auch ausgelesen werden können. Das Fälschen einer MAC-Adresse eines Geräts, mit dem man in ein so "geschütztes" Netz einbrechen will, ist dann ein Kinderspiel.

uPnP

Die meisten WLAN-Router verfügen über uPnP, womit Endgeräte automatisch konfiguriert werden können. Auch hier ist eine Stolperfalle zu finden, denn uPnP ist keine Einbahnstraße. Deaktivieren Sie auf jeden Fall die Option, dass der Router selbst mittels uPnP konfiguriert werden kann, sonst haben Sie ein Sicherheitsproblem.



Erst nach Durchführung der genannten Maßnahmen können Sie, einen sicheren und ausreichend langen Schlüssel bei der WPA-Verschlüsselung vorausgesetzt, sicher sein, dass niemand in Ihr WLAN eindringen, die von Ihnen übermittelten Daten mitlesen, über Ihren Anschluss Schindluder im Internet betreiben oder gar Ihren WLAN-Router umkonfigurieren kann. Tun Sie dies nicht, handeln Sie grob fahrlässig.