WLAN Sicherheit: So schützen Sie Ihr Netzwerk vor Übergriffen
Tipps und Tricks für die Absicherung einen WLAN-Netzwerkes.
Egal ob im privaten oder im geschäftlichen Umfeld: Wenn Sie ein Netzwerk betreiben, hat Sicherheit immer die oberste Priorität. Während Kabelnetzwerke aufgrund Ihrer Technologie bereits einen gewissen Schutz bieten, haben Sie in einem Funknetz mit deutlich größeren Problemen zu kämpfen. Denn ungeschützt ist dieses allen in Reichweite befindlichen Personen zugänglich und Ihre Daten können sehr leicht abgefangen werden. Lesen Sie hier, wie Sie ein WLAN generell funktioniert und wie Sie es vor unbefugten Zugriffen schützen können.
Ein WLAN (Wireless Local Area Network) ist ein drahtloses lokales Netzwerk, das immer dann zum Einsatz kommt, wenn eine Verkabelung der Netzwerkgeräte nur schwer umsetzbar oder mit einem hohen Aufwand verbunden ist.
Nach heutigem Kenntnisstand ist WPA2 mit CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) und AES (Advanced Encryption Standard) die sicherste Verschlüsselungsmethode. Diese soll allerdings in naher Zukunft durch WPA3 abgelöst werden.
Das Ausblenden der SSID bringt keine erhöhte Sicherheit, denn der Verbindungsaufbau zwischen Client und Access Point erfolgt unverschlüsselt. Das bedeutet, dass Hacker den Netzwerknamen mit einem entsprechenden Tool (z.B. einem Sniffer) trotzdem herausfinden können.
1. So funktioniert ein WLAN
Ein Drahtlosnetzwerk im Grunde genommen immer aus zwei Teilen: Einem Sender (dem Router) und einem Empfänger (dem Client). Bei Letzterem handelt es sich beispielsweise um ein Notebook, Android-Smartphone oder Tablet, das sich mit dem Router verbindet und darüber eine Verbindung zum Internet herstellt. Alternativ können sich auch zwei oder mehrere Clients mit dem Router verbinden und untereinander Daten austauschen. Aus Sicherheitsgründen müssen auf beiden Seiten Vorsichtsmaßnahmen ergriffen werden.
1.1. WLAN Sicherheit: Die häufigsten Schwachstellen in drahtlosen Netzwerken
Tatsächlich sind es fast immer Bequemlichkeit und/oder Fahrlässigkeit, die Angreifer einladen und so den Betreibern von Drahtlosnetzwerken zum Verhängnis werden. Zu den häufigsten Fehlern bzw. Schwachstellen zählen:
Default-Benutzer und -Kennwörter in Access Points und Routern
Unsichere Grundkonfigurationen in Access Points und Routern
Unsicheres Access Points in Enterprise Netzwerken
Veraltete Sicherheitsstandards
Fehlerhafte Implementierungen von WPS und WPA2
Evil Twin und Mac-Spoofing
Angreifbarkeit durch DoS (Denial of Service)
Gut zu wissen: Bei den sogenannten Evil-Twin-Angriffen schleusen Angreifer mithilfe modifizierter Firmware einen falschen Access Point ins WLAN, den die Teilnehmer fortan für den eigentlichen Access Point halten und kontaktieren. Der Evil Twin reagiert darauf seinerseits mit einer Abfrage der Authentifizierung und gelangt so über das ahnungslose Netzwerkgerät an die Zugriffsdaten für das Netzwerk.
1.2. Das Problem mit den veralteten Sicherheitsstandards
Das größte Problem stellen wahrscheinlich die veralteten Sicherheitsstandards dar, die leider auch von aktuellen Routern und Access Points immer noch unterstützt werden. So gelangen auch ältere Geräte ins Netz, über die sich für Angreifer trotz Authentifizierung und Verschlüsselung ohne große Schwierigkeiten Zugang verschaffen können.
Seit 2012 dürfen offiziell zwar alle neuen WLAN-Geräte kein TKIP mehr unterstützen und WAPs (Wireless Access Points) seit 2014 nur noch WPA2-AES anbieten – in der Praxis sieht es aber leider ganz anders aus.
2. So schützen Sie Ihr WLAN vor Angriffen
2.1. Einstellungen am Access Point
2.1.1. Individuellen Administratorzugang erstellen
Der Router wird mit einer sogenannten Firmware betrieben, die Ihnen eine grafische Benutzeroberfläche präsentiert, sobald Sie die IP-Adresse des Access Points oder Routers aufrufen. Über diese nehmen Sie die Einstellungen vor. Für den Zugriff darauf benötigen Sie ein Administratoren-Konto, für das bereits ein Standard-User und -Passwort existieren. Der Haken: Die Login-Daten sind nicht individuell, sondern für alle Geräte der Modellreihe gleich, und zudem meist auch sehr einfach gehalten (zum Beispiel „admin“ sowohl für den Nutzernamen als auch das Passwort oder einfach nur „12345“). Sie sollte sich daher umgehend in die Router-Konfiguration einloggen und eigene Anmeldedaten für den Admin-Account vergeben.
2.1.2. Verschlüsselung einrichten
Im nächsten Schritt sollten Sie unbedingt die Verschlüsselung für Ihr WLAN einrichten, denn ohne diese kann praktisch jeder auf Ihr Netzwerk zugreifen oder über Ihren Internetzugang surfen. Hackern wäre es damit ein Leichtes, Ihre privaten Daten zu stehlen. Ein WLAN ohne Verschlüsselung zu betreiben ist laut Bundesamt für Sicherheit in der Informationstechnik (BSI) grob fahrlässig und sollte unbedingt vermieden werden!
In der Regel können Sie zwischen drei Verschlüsselungsmethoden auswählen: WEP, WPA und WPA2. WEP stammt aus dem Jahr 1997 und gilt aufgrund verschiedener Schwachstellen als unsicher und veraltet. Auch Kombinationen sind theoretisch möglich, allerdings nicht zu empfehlen. Entscheiden Sie sich lieber für WPA oder, noch besser, dem moderneren WPA2. Sollten Sie noch Netzwerkgeräte nutzen, die den WPA2-Standard nicht unterstützen, können Sie alternativ auch die Methode WPA + WPA2 wählen. Damit wird je nach Kompatibilität zwischen WPA und WPA2 gewechselt. Die Konfigurationsautomatik WPS sollten Sie generell nur aktivieren, wenn Sie diese auch wirklich benötigen.
2.1.3. Sicheres WLAN-Kennwort festlegen
Mithilfe des WLAN-Kennwortes oder Sicherheitsschlüssels melden sich Teilnehmer an Ihrem Drahtlosnetzwerk an. Auch hier sollten Sie das standardmäßig vorgegebene Passwort in jedem Fall wechseln. Dafür können Sie bei den meisten Router bis zu 64 Zeichen verwenden – nutzen Sie diese auch!
Darüber hinaus sollte Ihr Sicherheitsschlüssel auch Groß- und Kleinbuchstaben bzw. Sonderzeichen enthalten, denn nur derartige Zufalls-Kennwörter bietet einen größtmöglichen Schutz (z.B. vor Brute-Force-Attacken). Weitere Informationen zum Thema „sichere Passwörter“ finden Sie außerdem in diesem Beitrag.
2.1.4. WLAN Sicherheit: Namen des Funknetzes ändern / verbergen
Über den voreingestellten Netzwerkname, die sogenannte SSID (Service Set Identifier), können Hacker Ihr Router-Modell identifizieren und potenzielle Sicherheitslücken ausnutzen. Die SSID wird allen in Signalreichweite befindlichen Geräten angezeigt. Vermeiden Sie daher unbedingt persönliche Angaben, die auf Sie selbst, Ihr Unternehmen oder Ihren Standort hinweisen.
Gut zu wissen: Die meisten Router bieten zwar auch die Möglichkeit an, die SSID auszublenden (Hidden SSID), allerdings stellt die Technik für einen Angreifer keine allzu große Hürde dar. Hinzu kommt, dass eine Hidden SSID den Verbindungsaufbau für die berechtigten Clients erschwert oder einige Geräte den Access Point gar nicht mehr sehen können.
2.1.5. Firmware des Routers aktuell halten
Wie jede andere Software kann auch die oben bereits erwähnte Firmware Fehler respektive Sicherheitslücken enthalten oder nicht mehr aktuell sein. Zum Schutz Ihres WLANs sollten Sie diese jedoch immer auf dem neuesten Stand halten. Die meisten Router besitzen eine automatische Update-Funktion, die Sie einfach aktivieren können. Sollte das nicht der Fall sein, müssen Sie sich selbst regelmäßig über Aktualisierungen informieren und diese manuell herunterladen und installieren.
Achtung! Unter Umständen werden nach einem Firmware die zuvor getroffenen Einstellungen zurückgesetzt und müssen im Anschluss händisch wiederhergestellt werden. Notieren Sie sich daher am besten vor dem Update die aktuelle Konfiguration.
2.2. Einstellungen am Client
2.2.1. Datei- und Druckerfreigabe deaktivieren
Deaktivieren Sie auf Ihrem Windows-PC die Datei- und Druckerfreigabe oder schützen Sie diese mit sicheren Passwörtern. Auf diese Weise verhindern Sie, dass andere Rechner im Drahtlosnetzwerk Zugriff auf Ihre Dateien erhalten.
3. WLAN Sicherheit: Weitere sinnvolle Schutz-Maßnahmen
verwenden Sie feste IP-Adressen anstelle von DHCP
aktivieren Sie die MAC-Adressen-Filterung
deaktivieren Sie Wi-Fi Protected Setup (WPS)
bauen Sie zusätzliche Sicherheitskomponenten ein (z.B. eine Firewall, ein Intrusion Detection System oder IEEE 802.1X)
Verwenden Sie wann immer möglich ein Kabel
betreiben Sie Office-, Privat- und Gästenetzwerk getrennt
Deaktivieren Sie Ihr WLAN, wenn Sie es nicht benötigen (z.B. während eines Urlaubs)
überprüfen und testen Sie regelmäßig die Aktualität und Leistung Ihrer Netzwerkkomponenten
Gut zu wissen: Wi-Fi Protected Setup (WPS) ist eine Spezifikation des Industriekonsortiums WFA (WiFi Alliance), die auf Basis einer Konfigurationsautomatik die Konfiguration von WLAN-Clients erleichtert. Die Einstellung erfolgt dabei wahlweise auf Knopfdruck (WPS-PBC) oder per PIN-Eingabe (WPS-PIN). Dabei wird allerdings eine Schwachstelle erzeugt, die es Hackern erlaubt, sich per Brute-Force-Angriff die WPS-PIN anzueignen.
30 Bewertungen Ø 4,80 4.8 5 30 Ø 4,80
Sicherheit im Internet: So schützen Sie Ihren Router
Unser digitales Leben in den falschen Händen – das ist der Albtraum aller Internetnutzer. Gerade das Heimnetzwerk rund um Cloud, Festplatte oder Home Server bedarf eines ausreichenden Schutzes. Eine Sicherung ist auch für Laien leicht umsetzbar und doch wirkungsvoll.
1. Sichere Passwörter wählen
Vergeben Sie ein persönliches Kennwort für Ihren Router. Das voreingestellte Passwort des Herstellers sollten Sie ersetzen: Dieses ist nicht sicher, da bestimmte Zeichenfolgen häufig für mehrere Geräte vergeben werden. Eindringliche haben es dann leicht, sich zum WLAN Zutritt zu verschaffen und als Trittbrettfahrer mitzusurfen. Auch beim WLAN ist der Passwort-Schutz unverzichtbar.
Darüber hinaus muss ein Nutzer auch die so genannte SSID-Kennung (Service Set Identifier) vergeben. Hier sollte man keine bekannten oder kurzen Namen wie “WLAN” oder “Zuhause” nutzen, denn derlei einfache Namen sind schnell geknackt, weil – je nach Verschlüsselungsart des Wireless LANs – die SSID ein Baustein der Verschlüsselung an sich ist. Geeigneter sind Zufallskombinationen aus Zahlen und Buchstaben. Auch auf die Nutzung von Kinder- und Familiennamen sollte man verzichten.
2. Verschlüsselung vornehmen
Verschlüsseln Sie Ihr WLAN-Netzwerk: Stellen Sie dazu am besten den aktuellen Sicherheitsstandard WPA2-PSK ein. So verhindern Sie einen ungewollten Zugriff durch Dritte, die Ihren Internetzugang unbemerkt mitnutzen könnten. Diese Vorsichtsmaßnahme ist auch im Hinblick auf die hierzulande geltende Störerhaftung wichtig. Diese macht Sie als Inhaber eines Anschlusses für darüber begangene Straftaten – wie illegale Downloads – verantwortlich. Weiterer Tipp: Sie können das WLAN-Netzwerk abschalten, wenn es nicht in Gebrauch ist – dann ist es auch nicht angreifbar.
3. Fremdzugriff ausschalten
Die sogenannte Fernwartung oder ähnliche Funktionen sollten im Einstellungsmenü deaktiviert werden: So ist eine Konfiguration des Routers nur aus dem Heimnetzwerk heraus möglich. Eine weitere Funktion, die ohne zentrale Kontrolle funktioniert, ist UPnP (Universal Plug and Play). Damit werden Geräte im Heimnetzwerk von außen angesteuert, um etwa Ports zu öffnen oder Anfragen direkt an den Rechner zu schicken. Wer Risiken vermeiden möchte, sollte UPnP abschalten.
Warum das Absichern des Routers so wichtig ist
Wer seinen WLAN-Router nicht genügend absichert, bringt persönliche Daten und vertrauliche Informationen in Gefahr. Denn mit dem Zugriff auf den Router kann auch auf erreichbare Rechner im Netzwerk zugegriffen werden. Auch eine nicht ausreichend passwortgeschützte Router-Verwaltung steht bei mangelhafter WLAN-Absicherung offen und kann manipuliert werden. So ist es möglich, dass der Anschlussinhaber selbst den Router nach einem Angriff nicht mehr steuern kann.
Wer sein Netz nicht gegen Fremdzugriffe absichert, kann auch für Taten, die er nicht selbst begeht, strafrechtlich belangt werden. Denn der WLAN-Inhaber haftet für Folgen missbräuchlicher Nutzung und kann zum Beispiel bei illegalen Downloads abgemahnt oder bei Rechtsverstößen wie dem Herunterladen kinderpornographischer Inhalte strafrechtlich verfolgt werden.
Sicher surfen trotz zunehmender Bedrohung
Neben der Absicherung des heimischen Routers sollten Sie sich auch gegen Angriffe im Internet schützen. A und O fürs sichere Surfen sind ein aktuelller Virenschutz und regelmäßige Updates. Außerdem gilt es, im Netz wachsam und misstrauisch zu bleiben: Eine massive Bedrohung geht seit Monaten von der rasant wachsenden Zahl an Phishing-Mails aus. Über einen Link in der E-Mail können sich Nutzer gefährliche Schadsoftware einfangen.
Ein zusätzlicher Tipp: Sichern Sie Daten regelmäßig auf externen Datenträgern. So beugt man vor, z. B. gegenüber Erpressungsversuchen bei Datenklau.
So schützen Sie Ihre Daten im öffentlichen WLAN
Mobil im Netz
Öffentliche WLAN-Netze eignen sich hervorragend, um auch auf Reisen produktiv zu bleiben. Allerdings sollten die eigenen Daten bei der Nutzung dieser Netze vor Fremdzugriff geschützt werden.
Freigabeeinstellungen: Hier lassen sich Daten vor unbefugtem Zugriff schützen. Bei der Verbindung mit bislang unbekannten WLAN -Netzen fragt Windows nicht ohne Grund nach, ob es sich dabei um ein privates oder ein öffentliches Netzwerk handelt. Für die Systemsicherheit ist dies ein elementarer Unterschied. Wenn der Nutzer die Verbindung nämlich als "privat" deklariert, teilt Windows gerne wie im heimischen Netzwerk Ordner, verbundene Hardware und dergleichen mit anderen Netzwerkteilnehmern. In den Systemeinstellungen lassen sich die Freigaben präzise verwalten:
Öffnen Sie hierzu die Systemsteuerung
Klicken Sie auf den Menüpunkt Netzwerk und Internet
In der linken Spalte klicken Sie auf Netzwerk- und Freigabecenter
Klicken Sie auf Erweiterte Freigabeeinstellungen
Wählen Sie nun den Punkt Öffentlich. Denn ein "öffentliches" Netz ist weniger sicher, weshalb Windows für dieses viel strengere Regeln anwenden wird.
Hier können Sie Ihre Freigabe-Einstellungen bestimmen. Am sichersten ist es, wenn Sie die Netzwerkkennung ausschalten, die Datei- und Druckerfreigabe deaktivieren, die Freigabe öffentlicher Ordner deaktivieren und einen möglichst hohen Verschlüsselungsgrad aktivieren.
Wer auch im Heimnetz seine Daten besonders schützen möchte, kann dies über dieselbe Methode erledigen.
Sicher Surfen via VPN
