WLAN sichern, aber wie?

Unternehmen kommen beim Aufbau eines WLAN nicht darum herum, ein paar einfache, grundlegende Punkte bezüglich Sicherheit zu beachten und umzusetzen.

Artikel erschienen in Swiss IT Magazine 2011/05

     

Von Gert Hansen, Mitgründer und Vice President Product Management von Astaro.

Drahtlose Netzwerke sind heute aus Privathaushalten, öffentlichen Einrichtungen und Unternehmen kaum mehr wegzudenken. Sieben von zehn Mitarbeitern verfügen im Büro oder an ihrem Heimarbeitsplatz heute laut einer aktuellen Studie von Lexmark über ein WLAN. Doch die Bequemlichkeit, die diese Netze bieten, führt oft auch zu Nachteilen.
Google hat uns mit seinem Street-View-Projekt im vergangenen Jahr deutlich vor Augen geführt, wie einfach WLAN-Informationen, die sozusagen in der Luft herumschwirren, abgegriffen werden können. Und auch Microsoft plant mit seinem Dienst Streetside die Erfassung der vor Ort vorhandenen Mobilfunknetze und GPS-Daten, wobei es sich lediglich um anonyme, nicht personenbezogene Daten handeln soll. Neben diesen mittlerweile bekannten, grossen Unternehmen, die zeigen, wie einfach unsere WLAN-Netze ausspioniert werden können, gibt es leider auch noch viele andere, weitaus weniger öffentlich bekannte Unbefugte, welche die selben Absichten haben.
Ob all dem ist es nicht verwunderlich, dass eine der grössten Barrieren für die WLAN-Nutzung bei Unternehmen die Sicherheitsbedenken sind, die sich in den Köpfen der Nutzer festgesetzt haben. Denn ungesicherte WLAN-Netzwerke bieten einen bequemen Zugang ins Netzwerk des Unternehmens. Folgende sechs einfachen Massnahmen sollten daher unbedingt beachtet und zwingend umgesetzt werden:

WPA2-Verschlüsselung verwenden:

Ältere Verschlüsselungstechniken wie Wired Equivalent Privacy (WEP) können binnen Sekunden mit einfachen Mitteln wie einem Browser-Addon oder einer Anwendung für Mobiltelefone geknackt werden. Wi-Fi Protected Access 2 (WPA2) ist der aktuellste Sicherheitsalgorithmus, der bei praktisch allen aktuellen WLAN-Systemen verfügbar ist. Als Nachfolger von WPA nutzt WPA2 zudem die wichtigsten Funktionen des neuen Sicherheitsstandards IEEE 802.11i und sollte daher bei der Konfiguration unbedingt ausgewählt werden.


Zehn-Zeichen-Kennwort nutzen: Selbst moderne Verschlüsselungsmethoden wie WPA2 können mit etwas Aufwand überwunden werden, wenn beim Angriff in einem automatisierten Verfahren Milliarden möglicher Kennwörter durchgespielt werden. Je länger das gewählte Passwort ist, das heisst je mehr Stellen es hat, umso mehr Zeichenkombinationen müssen ausprobiert werden. Um die Sicherheit zu erhöhen, bieten daher Ausdrücke wie etwa «dassicherstedrahtlosnetzwerkderschweiz» einen erheblich effektiveren Schutz als ein komplexeres, aber kurzes Kennwort wie «d6!H3*», da die Rechenleistung, die zum Knacken eines derart langen Schlüssels erforderlich wäre, in der Praxis nur selten zu realisieren ist.

Kennwörter verkomplizieren: Je komplexer das Kennwort – Auswahl aus Ziffern, Sonderzeichen sowie Gross- und Kleinbuchstaben – desto mehr Zeichen müssen bei einem Versuch, es zu überwinden, berücksichtigt werden. So gibt es zum Beispiel bei einem vierstelligen Kennwort, das ausschliesslich aus den Ziffern von 0 bis 9 besteht, 104 oder 10’000 Kombinationsmöglichkeiten. Werden zusätzlich Kleinbuchstaben verwendet, steigt diese Zahl auf 364 oder 1,6 Millionen Möglichkeiten, da zu den zehn Ziffern die 26 Buchstaben des Alphabets hinzukommen. Muss ein Hackerprogramm aus allen denkbaren Zeichen- und Kombinationen wählen, ergeben sich 104¹¹ oder
15’394’540’563’150’776’827’904 Möglichkeiten. Dies erhöht den Zeitaufwand für das Knacken eines Kennworts von Sekunden auf Millionen von Jahren.


Benutzerdefinierte SSIDs festlegen: Viele WLAN-Router verwenden in der Voreinstellung einen Standardnetzwerknamen beziehungsweise einen voreingestellten Service Set Identifier (SSID) wie «Connection Point» bei Siemens-Produkten oder «Default» bei Netgear. Die meisten Benutzer machen sich nicht die Mühe, diesen voreingestellten Namen zu ändern. Diese SSID wird bei der WPA2-Verschlüsselung jedoch als Teil des Kennworts genutzt. Wird sie nicht geändert, können potentielle Angreifer passende Kennwortlisten – sogenannte Regenbogentabellen – vorbereiten, die das Überwinden des Passworts drastisch beschleunigen, da so Millionen von Kennwörtern pro Sekunde durchprobiert werden können. Die Verwendung einer benutzerdefinierten SSID steigert dagegen den Arbeits- und Zeitaufwand für potentielle WLAN-Eindringlinge erheblich.

Persönliche Informationen in der SSID vermeiden: Hinweise darauf, dass ein Netzwerk ein lohnendes Angriffsziel ist, gehören nicht in die SSID. Eine SSID wie «Unternehmen Hans Muster» macht es neugierigen Personen, die es auf eine bestimmte Firma abgesehen haben, nämlich leicht, ein WLAN zu finden. Man sollte deshalb eine nichtssagende SSID verwenden, die keine Rückschlüsse auf Identität oder Standort zulässt.


Funkreichweite anpassen: Moderne Access Points für WLAN-Netzwerke verfügen über mehrere Antennen und senden ihr Signal weit über die eigenen vier Wände hinaus. Bei einigen Geräten kann die Funkleistung mit Hilfe von Menüoptionen reguliert werden. Damit können Unternehmen den Funkradius drosseln und auf den eigenen Standort beschränken. So wird auch der Bereich minimiert, in dem Unbefugte das Funksignal empfangen und dann versuchen können, sich Zugang zum Unternehmensnetzwerk zu verschaffen.

Sicher ist nicht schwer

Ein WLAN sicher zu machen und vor unbefugtem Ausspionieren zu schützen, ist nicht schwer und nimmt nur wenig Zeit in Anspruch. Aus Bequemlichkeit darauf zu verzichten, ist grob fahrlässig. Dies gilt nicht nur für das WLAN in der Firmenzentrale: Schon heuten arbeiten viele Mitarbeiter von zu Hause aus, laut «Schweizer HR-Barometer 2010» wünschen sich sogar zwei Drittel der befragten Angestellten, in Zukunft noch mehr Telearbeit verrichten zu können. Unternehmen müssen daher nicht nur ihr eigenes WLAN sichern, sondern ihren Mitarbeitern auch aufzeigen, wie sie das Netz zu Hause sichern können, sollten von dort schützenswerte Inhalte über ein WLAN kommuniziert werden.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER