WLAN sichern – Tipps für mehr Sicherheit

Wenn Sie ein Funknetzwerk verwenden, sollten Sie sich über die physikalischen Eigenschaften eines WLANs im Klaren sein: Innerhalb der Funkreichweite Ihres WLANs kann theoretisch jeder Ihren Datenverkehr mithören – Angreifer inklusive. Denn: Ein Funknetzwerk endet nicht bei Ihren eigenen vier Wänden oder Ihrem Grundstück! Je nach Beschaffenheit kann also auch der Bewohner im Stockwerk über Ihnen, der Nachbar von gegenüber oder ein Passant auf der Straße die Funkwellen Ihres WLANs empfangen. Daher ist es wichtig, beim Einsatz eines Funknetzwerks auf Schutzmaßnahmen zu achten und vorzubeugen, damit die eigene Sicherheit zuverlässig gewahrt bleibt.

Die eigene WLAN-Sicherheitsstrategie entwickeln

Um potenzielle Lauscher auszusperren, sollten Sie bei der Entwicklung der Sicherheitsstrategie für Ihr eigenes WLAN diese Aspekte berücksichtigen:

  • Verbergen Sie Ihr Funknetzwerk so gut wie möglich.
  • Verwehren Sie ungebetenen Gästen den Zugang zum WLAN.
  • Verschlüsseln Sie Ihre Daten, um ein Mitlesen zu verhindern.

Verbergen Sie Ihr Funknetzwerk so gut wie möglich

Es gibt mehrere Wege, Ihr Funknetzwerk zu verbergen bzw. dessen Charakter zu verschleiern: Zum einen ist es möglich, die Ausdehnung Ihres Funknetzes durch geschickte Aufstellung des zentralen Funknetzwerk-Zugangsverteilers („WLAN-Access-Point“, als separates Gerät erhältlich oder bereits im DSL-Router eingebaut) räumlich zu begrenzen. Genauso können Sie auch auf die von einigen Modellen angebotene Option zur Reduzierung der Sendeleistung zurückgreifen und so die Größe Ihres Funknetzwerks künstlich limitieren – gerade so, dass die Geräte in Ihren eigenen Räumlichkeiten noch Funkverbindungen erhalten.

WLAN Sendeleistung
Manche WLAN-Access-Points gestatten es, die Sendeleistung und damit die Ausdehnung des Funknetzwerks zu verringern, um auf diesem Wege ebenfalls Eindringlinge fernzuhalten

Verwehren Sie ungebetenen Gästen den Zugang zum WLAN

Erschweren Sie Unbefugten den Zugang zu Ihrem Funknetzwerk, indem Sie in Ihrem WLAN-Access-Point die so genannten „MAC-Adressen“ der erlaubten Rechner definieren. Jeder Netzwerkadapter – gleich, ob für Kabel oder Funk – besitzt nämlich eine weltweit einmalige MAC-Adresse, die ihn eindeutig identifiziert. Die meisten WLAN-Router zeigen die MAC-Adressen der im Funknetzwerk befindlichen Geräte in einer Liste an, sodass Sie die MAC-Adressen Ihrer Geräte leicht ermitteln können. Tragen Sie die MAC-Adressen der zulässigen Geräte Ihres Funknetzwerks in Ihrem WLAN-Access-Point ein, können Hacker, deren WLAN-Netzwerkadapter andere MAC-Adressen besitzt, nicht mehr ohne Weiteres in Ihr Funknetzwerk gelangen.

Verschlüsseln Sie Ihre Daten, um ein Mitlesen zu verhindern

Ihre dritte und stärkste Waffe im Kampf gegen ungebetene Gäste stellt das Verschlüsseln der im Funknetzwerk übertragenen Daten dar. Bereits sehr früh implementierte die Industrie ein entsprechendes Verfahren. Mit „WEP“ (Wired Equivalent Privacy) versprachen die Hersteller einen Sicherheitsgrad, durch den sich Daten so sicher wie in einem Kabel-Netzwerk übertragen lassen sollten. Allerdings weist dieser Schutzmechanismus einen grundsätzlichen Implementierungsfehler bei der Schlüsselgenerierung auf, sodass dieses Verfahren mittlerweile geknackt wurde und heute als unsicher gilt.

Ein paar Jahre nach der Einführung von WEP gab es bereits Bedenken, dass der Standard zu schwach sei. Daher wurde der Standard WiFi Protected Access, kurz WPA, von der Wi-Fi Alliance entwickelt. WPA war lediglich ein Kompromiss, der gemacht wurde, um WEP zu verbessern, ohne dass die Leute neue Router und Computerkomponenten kaufen mussten.

Angreifer, die über entsprechendes Know-how und Equipment verfügen, können WPA inzwischen leicht außer Kraft setzen. Unter Sicherheitsaspekten ist WPA daher nicht mehr zur Verschlüsselung von Funknetzwerken zu empfehlen.

Der Nachfolger WPA2 (auch als „802.11i“ standardisiert[1]) beseitigt die Schwachstellen von WPA und gilt bis heute als sehr sicher.

Sicherer geht es nur mit WPA3. Dieses Verfahren wurde im Januar 2018 veröffentlicht[2] und gilt als derzeit sicherste Methode, um ein WLAN zu schützen. WPA3 enthält einige wichtige Verbesserungen für die moderne drahtlose Sicherheit, darunter:

  • Brute-Force-Schutz: WPA3 schützt Benutzer, auch mit schwächeren Passwörtern, vor Brute-Force-Wörterbuchangriffen.
  • Datenschutz im öffentlichen Netzwerk: WPA3 fügt eine „individualisierte Datenverschlüsselung“ hinzu, die Ihre Verbindung zu einem drahtlosen Zugangspunkt unabhängig vom Passwort verschlüsselt.
  • Stärkere Verschlüsselung: WPA3 fügt dem Standard eine wesentlich stärkere 192-Bit-Verschlüsselung hinzu, die das Sicherheitsniveau drastisch erhöht.

Weitere Tipps um die Sicherheit des Funknetzwerks zu verbessern

Auch die folgenden Tipps haben sich bewährt, um eine hohe Sicherheit für das eigene WLAN zu erzielen:

  • Stellen Sie Ihren WLAN-Access-Point nicht direkt ans Fenster oder eine Außenwand. Dann strahlt er nämlich weit über Ihr Grundstück hinaus.
  • Ändern Sie die standardmäßig vom Hersteller des WLAN-Access-Points voreingestellten Werte für SSID-Namen und Konfigurationskennwort. Im Internet kursieren Listen, auf denen jedermann die Gerätevoreinstellungen im Auslieferungszustand nachlesen kann. Eindeutige Bezeichnungen wie „WLAN der Familie XY“ oder „Juwelier Edelstein“ als Name für Ihr Funknetzwerk (im Fachjargon „SSID“ genannt) sind ungeeignet. Solche Begriffe eignen sich vielmehr dazu, Lauscher und Ganoven magisch anzuziehen.
  • Vertrauen Sie nicht vorbehaltlos auf den oft geäußerten Hinweis, dass ein Abschalten der SSID-Bekanntgabe ein Schutz ist. Moderne Tools finden Ihr WLAN selbst dann, wenn dieses den SSID-Namen nicht per Funk bekannt gibt.
  • Die Fernwartung macht Ihren Router anfälliger für Angriffe. Schalten Sie die Fernwartungsfunktion aus, sofern Sie darauf verzichten können.
  • Schalten Sie Ihr Funknetzwerk ab, wenn Sie es nicht benötigen. Ein nicht sendendes WLAN ist das sicherste Funknetzwerk und erschwert das Sammeln von Datenpaketen.
  • Auch Router haben eine vorinstallierte Firmware, halten Sie diese auf dem neuesten Stand.
  • Nutzen Sie einen VPN-Dienst. VPNs sind virtuelle private Netzwerke, die Ihre übermittelten Daten verschlüsseln und Ihr Surfverhalten vor Dritten verbergen.

Darüber hinaus darf natürlich nicht vergessen werden, dass auch die vernetzten Geräte abgesichert sind (alle sicherheitsrelevanten Software-Updates erhalten, einen Virenschutz installiert haben usw.).

Offene WLANs – nicht nur für Lauscher interessant

Wenn Sie diese Ratschläge beherzigen, können Sie zumindest Gelegenheitsangreifer gut von Ihrem Funknetzwerk fernhalten. Dies gilt selbst dann, wenn Sie der Meinung sind, dass in Ihrem WLAN keine interessanten Daten zu erspähen sind.

Ein offenes Funknetzwerk ist nicht nur für unerwünschte Lauscher interessant: Fiese Zeitgenossen freuen sich über ungeschützte WLANs und nutzen diese als willkommene Gelegenheit, um darüber verbotene Inhalte ins Internet einzuspeisen. Im Falle eines Falles klingelt die Staatsanwaltschaft dann aber nicht bei dem Übeltäter, sondern bei Ihnen – denn die strafbaren Handlungen wurden ja mit Ihrem Internet-Zugangskonto bzw. Ihrer dabei erhaltenen IP-Adresse vorgenommen. Und dann liegt es bei Ihnen, Ihre Unschuld zu beweisen.

Auf der sicheren Seite ist, wer das eigene WLAN wirksam vor ungebetenen Gästen schützt. So können Sie die vielfältigen Möglichkeiten Ihres Funknetzwerks ungetrübt genießen.

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.

Nebenbei schreibt Rene Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.

Rene Hifinger ist Mitbegründer der Initiative bleib-Virenfrei.