1. Digital

Karlsruhe/Darmstadt: Fremdsurfen und Datenklau: Das WLAN sicher gegen Angriffe schützen

Karlsruhe/Darmstadt : Fremdsurfen und Datenklau: Das WLAN sicher gegen Angriffe schützen

WLAN macht das Surfen im Internet bequem. Auch private Anwender können über Funk problemlos mehrere Rechner miteinander verbinden, ohne sie aufwendig verkabeln zu müssen. Aber weil ein physisches Übertragungsmedium fehlt, ist der heimliche Zugriff relativ einfach.

Angreifer können die Sicherheitslücken einer Übertragung per WLAN ausnutzen, schließlich machen die Funksignale an der Wohnungstür nicht Halt. Es braucht allerdings nicht viel, um das heimische WLAN vor unerlaubten Zugriffen zu schützen.

WLAN-Surfer sollten ihre Verbindung in erster Linie sichern, um ihre Privatsphäre zu schützen, rät Roland Bless vom Institut für Telematik an der Universität Karlsruhe. Außerdem könne ein Angreifer versuchen, in ein schlecht oder gar nicht gesichertes WLAN einzudringen, um über den DSL-Anschluss Spam-Mails zu verschicken.

Ein rechtliches Problem kann der WLAN-Besitzer laut Bless bekommen, wenn ein Dritter über sein Netzwerk Straftaten begeht - durch illegale Downloads etwa. In diesem Fall werde nur die IP-Adresse des Rechners oder Routers ermittelt, über den der Zugang ins Internet erfolgt. „Und der Besitzer muss sich verantworten.”

Der grundlegende Schritt zur Sicherung des WLAN-Netzes sei es, die Verschlüsselungstechnik des WLAN-Routers zu aktivieren, erklärt Thomas Rau von der Computerzeitschrift „PC-Welt” in München. Dafür könne der Anwender den Installationsassistenten nutzen, der meist auf einer CD mitgeliefert wird. „Darüber wickelt er neben der Einrichtung des Routers und den Interneteinstellungen auch die Verschlüsselung ab.” Oder der Nutzer geht über den Browser direkt in das Konfigurationsmenü des Routers und nimmt die Einstellungen vor.

Für neuere Geräte ist der WPA2-Mechanismus auf Basis des AES-Systems der gängige Verschlüsselungsstandard, erläutert Bless. Das erste Verfahren, das entwickelt wurde, sei der WEP-Mechanismus. Der biete zwar mehr Schutz als gar keine Verschlüsselung, könne aber schnell geknackt werden. „Die Angriffszeit liegt bei ein bis zwei Minuten - dann ist ein Fremder im Netz”, erklärt Erik Tews vom Center For Advanced Security Research Darmstadt (CASED).

„WPA2 hingegen sollte noch ein paar Jahre hohe Sicherheit bieten”, sagt Bless. Beim Einrichten des WLANs legen Benutzer dazu am Router einmalig einen sogenannten Pre-shared Key (PSK) fest. Zur Authentifizierung der WLAN-Basisstation fungiert der PSK quasi als Master-Passwort. „Er wird verwendet, um zu Beginn neue Sitzungsschlüssel zwischen Endgerät und Basisstation auszuhandeln.” Diese werden dann zur Verschlüsselung der Datenpakete verwendet.

Das Passwort der WPA2-Verschlüsselung sollte mit Bedacht gewählt werden, rät Tews. „Ist es einmal einem Dritten bekannt, kann dieser alle Datenpakete einsehen, die mit dem geknackten Passwort verschlüsselt wurden.” Manche Router sind bereits vom Hersteller mit einem Pre-Shared-Key versehen worden und kommen mit aktiviertem WPA2 zum Kunden.

Der vorkonfigurierte Schlüssel besteht Bless zufolge aber zumeist nur aus Zahlen und sollte durch einen längeren Code ersetzt werden, der sicherer ist. Dieser sollte am besten 64 Zeichen lang sein und viele Sonderzeichen enthalten. „Wählt der Nutzer ein bekanntes Wort, besteht das Risiko, dass das Passwort bei einer sogenannten Wörterbuchattacke geknackt wird.” Bei dieser durchaus gängigen Methode werden sämtliche Einträge verschiedener Wörterbücher als Passwort durchprobiert.

Etwa 90 Prozent der ausgelieferten Geräte würden sowieso ohne voreingestellte Verschlüsselung ausgeliefert, sagt Rau. Es reiche aber nicht, das Kennwort nur an dem Rechner einzugeben, an dem sich die Basisstation befindet. Der Nutzer müsse den Pre-shared Key an jedem Gerät eingeben, das Zugang zum WLAN-Netz haben soll. Um die Sicherheitseinstellungen auf andere Endgeräte zu übertragen, reiche es meist, dort den Netzwerknamen und den Netzwerkschlüssel zu konfigurieren, erklärt Tews.

Manche Hersteller bieten dazu automatisierte Verfahren. „Beispielsweise muss auf beiden Geräten nur zeitgleich ein bestimmter Knopf gedrückt werden”, so Tews. Oder aber es werde ein USB-Stick zur Übertragung genutzt, den der Nutzer einmal an alle Geräte anschließen muss, die er mit dem Netzwerk verbinden möchte. Wird das Passwort geändert, müssten auch alle mit dem Netzwerk verbundenen Geräte neu konfiguriert werden, erläutert Bless. Auch hier empfehle es sich, das möglichst 64 Zeichen lange und zufällige Passwort per USB-Stick auf die jeweiligen Geräte zu übertragen.

Gibt der Besitzer eines seiner Geräte weiter oder verkauft es, kann sich darauf noch der Schlüssel befinden, warnt Tews. „Das sollte man ebenfalls berücksichtigen, wenn man verhindern will, dass ein Fremder auf das Netz zugreift.” In letzter Zeit habe es vor Gericht viele Streitfälle gegeben, ob der Verwalter eines WLAN-Funknetzwerkes die Pflicht hat, sein Netzwerk zu verschlüsseln, sagt Rau. Um gar nicht erst unter Verdacht zu geraten, sollten Besitzer eines WLANs daher die Eingangsbarrieren zu ihrem Netzwerk so hoch wie möglich halten.


Remote-Zugang nur bei Bedarf aktivieren

Es besteht auch die Möglichkeit, den Router über das Internet zu konfigurieren. Dieser Remote-Zugang stellt jedoch eine potenzielle Sicherheitslücke dar. Wer diese Funktion nutzt, sollte auf jeden Fall voreingestellte Passwörter für den Remote-Zugriff wie „admin” oder „default” ändern. Sonst können Unbefugte die Einstellungen des Routers leicht aus dem Internet heraus manipulieren. Wer den Remote-Zugriff nicht braucht, sollte ihn abschalten.