Drahtloser Internetzugang ist inzwischen beinahe so selbstverständlich wie Strom und fließend Wasser – ob nun zu Hause, im Büro oder unterwegs. Allerdings gibt es einige Dinge zu beachten, um das eigene WLAN sicher zu betreiben und um sich andernorts keinen unnötigen Risiken auszusetzen. In diesem Artikel haben wir die wichtigsten Tipps zusammengestellt.
Inhaltsverzeichnis
Eigenes WLAN sicher einrichten
Wenn es ums drahtlose Netzwerk zu Hause geht, gibt es vor allem zwei Punkte, auf die Sie achten sollten:
- Das Netzwerk wird nach dem WPA2-Standard betrieben.
- Sie haben ein sicheres Passwort gesetzt.
Schauen wir uns diese beiden Punkt einmal etwas genauer an.
WPA2
Die Abkürzungen WEP, WPA und WPA2 haben sicherlich viele bereits einmal im Zusammenhang mit einem WLAN gesehen. WEP ist der älteste Sicherheitsstandard der drei und hatte sich recht schnell als angreifbar herausgestellt. Er sollte heute keinesfalls mehr verwendet werden. WPA war im Grunde eine Zwischenlösung: Die Probleme mit WEP waren bereits bekannt und ein neuer Standard in Arbeit, aber noch nicht fertig.
Der neueste Standard mit der Bezeichnung WPA2 gilt nun als vergleichsweise sicher. Auf jeden Fall ist er der mit Abstand beste Standard der drei genannten. Er basiert auf dem Advanced Encryption Standard (AES). Der wiederum ist in seinen beiden sichersten Ausbaustufen in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen. Dass es eine hundertprozentige Sicherheit nicht geben kann, sollte dabei auch klar sein. So wird der NSA nachgesagt, mit enormer Anstrengung daran zu arbeiten, AES zu knacken. Aber AES legt die Hürde immerhin sehr hoch.
Sicheres Passwort
Tatsächlich sind im Zusammenhang mit WPA2 bislang nur Fälle bekannt, in denen das Passwort die eigentliche Schwachstelle war. Gemeint ist damit der Schlüssel, den man eingeben muss, um sich mit dem WLAN verbinden zu können. Bis zu 63 Stellen kann der bei WPA2 haben. Wer nur gelegentlich neue Geräte im WLAN hat, kann die Länge natürlich komplett ausnutzen – schließlich lässt sich ein Passwort im Fall der Fälle zusenden und dann per Copy und Paste nutzen.
Ansonsten liest man folgende Empfehlungen zu Passwörtern:
- Lieber ein bisschen länger. 16 Zeichen wird schon als das Minimum angesehen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt 20. Andere empfehlen 32. Der Grund: Ein kurzes Passwort lässt sich durch einen automatisierten Prozess „knacken“, in dem ein Computer alle denkbaren Zeichenkombinationen durchgeht. Mit jeder zusätzlichen Stelle potenziert sich der Aufwand dafür.
- Eine breite Palette an Zeichenarten verwenden. Dazu gehören Groß- und Kleinbuchstaben, Zahlen, Satzzeichen. Auf diese Weise erhöht man ebenfalls den Aufwand, das Passwort automatisiert zu ermitteln.
- Echte Wörter und beliebte Zahlenkombinationen vermeiden. Inzwischen sind so viele Passwörter durch Sicherheitslecks bekannt geworden, dass Angreifer mit den „üblichen Verdächtigen“ anfangen. Im nächsten Schritt bedienen sie sich eines Wörterbuchs und lassen dessen Inhalte durchtesten. Dabei hilft es übrigens kaum, einzelne Buchstaben durch Zahlen zu ersetzen, also beispielsweise „Pa55w0rt“ statt „Passwort“ zu verwenden – solche Varianten sind ebenfalls bekannt.
Übrigens: Auf jeden Fall sollte man das voreingestellte WLAN-Passwort des Routers ändern. Bei manchen Modellen hat sich herausgestellt, dass man es mit bestimmten Methoden anhand anderer Informationen erraten kann.
Bei Privacy Tutor gibt es einen ausführlichen Guide zu sicheren Passwörtern.
Weitere Tipps
Neben diesen beiden wichtigsten Hinweisen, hier einige ergänzende Tipps für ein besser abgesichertes WLAN:
- Besonders für Büros und andere große Netzwerke wird EAP empfohlen. Dann gibt es nicht ein einziges Passwort für alle, sondern eine zentrale Nutzerverwaltung, beispielsweise über einen Radius-Server. Auf diese Weise kann man also sehr schnell reagieren, falls beispielsweise ein Gerät verloren gegangen ist oder ein Mitarbeiter des Unternehmen verlässt.
- Die Admin-Oberfläche des Routers sollte idealerweise nur kabelgebunden erreichbar sein, auf jeden Fall nicht von außen sofern das praktikabel ist. Zusätzlich sollte man sie mit einem selbst vergebenen Passwort schützen.
- Das Wi-Fi Protected Setup (WPS) sollte deaktiviert werden, sobald man es nicht mehr braucht. Es lässt sich ebenfalls unter gewissen Umständen für eine Attacke nutzen.
- Gerade im privaten Umfeld kann man den Router auch ausgeschaltet lassen, solange man ihn nicht benötigt.
- Weitgehend nutzlos sind „Tricks“ wie nur bestimmte Geräte anhand ihrer MAC-Adressen zuzulassen oder den Netzwerknamen (SSID) nicht anzeigen zu lassen. Beide Maßnahmen lassen sich für einen ernsthaften Angreifer leicht umgehen.
Aber letztlich bleibt es dabei: Wer auf WPA2 setzt und Mühe in ein gutes Passwort investiert, hat schon einmal viel gewonnen.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Mehr Sicherheit unterwegs
Wer im Café, Hotel oder einem anderen öffentlichen Ort im WLAN ist, steht vor einer anderen Situation als eben beschrieben: Die potenziellen Angreifer sitzen nicht wie beim eigenen Netzwerk außen, sondern im Zweifel am Nebentisch. Das Problem: Man weiß nicht, wer mit einem gerade angemeldet ist und Daten auslesen kann. Dafür muss diese Person kein blitzgescheiter Computerprofi sein. Es gibt inzwischen zahlreiche Anwendungen, die auf Knopfdruck Informationen auslesen, die andere Nutzer unverschlüsselt herumfunken. Auf diese Weise lassen sich bei unvorsichtigen Zeitgenossen Passwörter mitlesen oder Accounts im Handumdrehen übernehmen.
Der wichtigste Schutz dagegen: Verschlüsselung. Dann werden Informationen nicht mehr im Klartext übertragen, sondern müssten erst entschlüsselt werden, um lesbar zu sein. Dabei gibt es im Prinzip zwei Varianten:
- Transport-Verschlüsselung. Hier wird die Kommunikation zwischen Ihnen als Nutzer und dem jeweiligen Dienst abgesichert.
- Ende-zu-Ende-Verschlüsselung. Hier wird die Kommunikation auf dem gesamten Weg von Ihnen als Nutzer bis zum Empfänger abgesichert.
Schauen wir uns doch einmal an, was das in der Praxis bedeutet.
Transport-Verschlüsselung
Gemeint ist hiermit beispielsweise, dass man auf seiner Banking-Website, dem Webmail-Anbieter oder auch bei Facebook nur mit dem abgesicherten https zugreift und nicht dem ungesicherten http. Moderne Browser zeigen das in der Regel mit einem Vorhängeschloss oder einem ähnlichen Symbol an, um den Unterschied deutlich zu machen. Ist das der Fall, ist der Datenaustausch zwischen Website und dem eigenen Browser per Verschlüsselung abgesichert. Das ist im öffentlichen WLAN nützlich, aber auch sonst: Schließlich legt die eigene Kommunikation einen langen Weg zurück und kann theoretisch an vielen Stellen abgehört oder mitgeschnitten werden.
Im Browser sieht man in der Regel also, ob man eine abgesicherte Verbindung benutzt oder nicht. Hier muss man somit lediglich darauf achten, ob das tatsächlich die gesamte Zeit der Fall ist. Zudem muss man sich darüber im Klaren sein, dass dieser Schutz nur temporär ist und endet, sobald man wieder eine Website besucht, die per http bereitgestellt wird.
Noch problematischer ist die Situation bei Apps auf Mobilgeräten. Hier hat man als Nutzer in der Regel keine direkt sichtbare Information, ob die Kommunikation verschlüsselt ist oder nicht. Das gilt beispielsweise für Messenger. Hier muss man sich also im Klaren sein, dass so mancher Messenger in etwa die gleiche Privatsphäre ermöglicht wie eine Postkarte.
Mailanbieter wiederum ermöglichen in der Regel eine verschlüsselte Verbindung via SSL/TLS. Manche setzen sie sogar voraus. Und das ist eine gute Sache, denn per E-Mail verschicken wir doch zu viele wichtige, persönliche und vertrauliche Daten.
Ende-zu-Ende-Verschlüsselung
Apropos Mail: Hat man eine verschlüsselte Verbindung zum Mailanbieter, kann der aber immer noch die eigenen Nachricht lesen oder im Klartext speichern. Das wird erst verhindert, wenn man auf eine Ende-zu-Ende-Verschlüsselung setzt. Dann wird die E-Mail vor dem Absenden verschlüsselt und erst beim Empfänger wieder entschlüsselt.
Wer mehr über das Thema verschlüsselte Kommunikation mit E-Mail und Messengern lernen möchte, sollte sich den Artikel von Annika Kremer in dieser Ausgabe des UPLOAD Magazins ansehen. Dort geht sie sehr viel detaillierter darauf ein.
Eine generelle Ende-zu-Ende-Verschlüsselung wird durch ein VPN möglich, ein Virtual Private Network. Hier wird eine verschlüsselte Datenverbindung vom eigenen Rechner zum Zielrechner hergestellt, beispielsweise einem Server. Auf diese Weise ermöglichen es Firmen beispielsweise, dass Mitarbeiter auch von außen auf das interne Netzwerk zugreifen können.
Aber auch in einem öffentlichen WLAN macht sich eine VPN-Verbindung nützlich, da sie zuverlässig den gesamten Datenverkehr verschlüsselt. Und vielleicht möchte man auch aus anderen Gründen nicht, dass die eigene Internetnutzung direkt bis zum eigenen Internetanschluss zurückzuverfolgen ist.
Deshalb gibt es inzwischen Dienstleister, die eine VPN-Verbindung als Service anbieten. Hier ist der Datenverkehr dann vom eigenen Rechner bis zum Server des Anbieters verschlüsselt. Der reicht es dann weiter zum Ziel im Netz, empfängt die Daten und schleust sie via VPN wieder zurück. Die Schwachstelle ist hier recht schnell ausgemacht: Wie vertrauenswürdig ist der VPN-Dienstleister?
Geht es einem hingegen nur um die abgesicherte Verbindung, kann man beispielsweise auch seine FritzBox oder ein ähnliches Gerät für VPN einsetzen. Dann nutzt man praktisch seinen eigenen Internetzugang während man unterwegs ist und alle Daten sind zwischen dem eigenen Rechner bis zum heimischen Netzwerk verschlüsselt.
Oder man macht sich die Mühe und folgt dieser Anleitung, um via Amazon AWS Cloud einen eigenen VPN-Dienst einzurichten, der in gewissen Grenzen sogar kostenlos nutzbar ist.
Hardware
Die meisten Nutzer sind sicherlich auf der Suche nach einer möglichst bequemen Lösung. Und hier kommt immer wieder Hardware ins Spiel. In der Regel sind das Boxen, die sich mit dem Internet einerseits verbinden und es via WLAN zur Verfügung stellen. Ein Beispiel ist hier die Invizibox Go, die zugleich einen VPN-Abodienst mit einschließt. Ähnlich die Box Keezel aus Amsterdam, die mit ihrem Versprechen simpler Sicherheit sehr erfolgreich auf Indiegogo war. Oder der kompakte USB-Stecker von XO Ware, der einen besonders schnell und bequem via VPN mit dem heimischen Netz verbinden soll.
Umstritten sind solche Boxen vor allem, weil man sich Bequemlichkeit erkauft, aber dafür bisweilen an Flexibilität einbüßt oder nicht hundertprozentig wissen kann, wie sicher man jetzt eigentlich ist. So mancher hat vielleicht schon alles zur Hand, um sich via VPN ins heimische Netz zu verbinden – siehe dazu das Beispiel FritzBox weiter oben.
Insofern: Es kommt sehr auf den eigenen Anwendungsfall an, ob sich eine Hardware tatsächlich lohnt.
- Sehr lesenswert und mit vielen weiterführenden Links: „Unterwegs im öffentlichen WLAN – aber gut geschützt“ von Jürgen Kuri.
Fazit
Kein Artikel zu einem solchen Thema kann ohne den Hinweis auf die Grenzen der Sicherheit auskommen. Wie in diesem Artikel angeklungen und auch an anderer Stelle in dieser Ausgabe des UPLOAD Magazins: Sicherheitslücken, Benutzungsfehler und andere Unwägbarkeiten können die scheinbare Sicherheit zunichte machen. Es wäre deshalb aber zugleich falsch, die Vorschläge und Tipps aus diesem Beitrag komplett in den Wind zu schlagen. In vielen Fällen werden sie das Schlimmste verhindern können. Und dann muss man sich nicht ärgern, fahrlässig gehandelt zu haben.
Dieser Artikel gehört zu: UPLOAD Magazin 28
Diese Ausgabe liefert wichtige Einblicke und nützliche Tipps und Tricks rund um IT-Sicherheit. Die Beiträge analysieren die aktuelle Lage für Unternehmen, helfen bei der verschlüsselten Kommunikation, geben Hinweise für Mobilgeräte und WLAN und gehen nicht zuletzt auf die „Sicherheitslücke Mensch“ ein.
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Jan hat mehr als 20 Jahre Berufserfahrung als Online-Journalist und Digitalpublizist. 2006 hat er das UPLOAD Magazin aus der Taufe gehoben. Seit 2015 hilft er als CONTENTMEISTER® Unternehmen, mit Inhalten die richtigen Kunden zu begeistern. Und gemeinsam mit Falk Hedemann bietet er bei UPLOAD Publishing Leistungen entlang der gesamten Content-Marketing-Prozesskette an. Der gebürtige Hamburger lebt in Santa Fe, New Mexico.