Sieben Empfehlungen für ein sicheres WLAN

Fast jeder Haushalt nutzt heutzutage ein drahtloses lokales Netzwerk (WLAN), um Geräte miteinander kommunizieren zu lassen und das Internet zu verwenden. Dabei werden unterschiedlichste Informationen über dieses Netzwerk geschickt, darunter Daten zum Online-Banking, persönliche E-Mails oder VoIP-Telefonate. Damit diese Daten nicht von sogenannten Wardrivern und anderen Angreifern mitgelesen oder missbraucht werden können, muss das eigene Netzwerk abgesichert werden. Neben dem Schutz der eigenen Privatsphäre muss der Inhaber des Internetanschlusses aber auch in marktüblicher Form sicherstellen, dass der Anschluss nicht von Bot-Netzen oder für illegale Downloads genutzt wird, wie der BGH 2010 entschied.

Im Folgenden geben wir Ihnen sieben Empfehlungen für ein sicheres WLAN und klären über Verschlüsselungsverfahren, sichere Passwörter und den Umgang mit Router-Firmware auf.

1. Sicheres Verschlüs­se­lungs­ver­fahren wählen

Wählen Sie für Ihr WLAN-Netz das Verschlüsselungsverfahren WPA2-PSK mit ausreichend starken Passwörtern, um sich gegen Mithören Ihrer Kommunikation zu schützen.

Router bieten in der Regel die Verfahren WEP, WPA und WPA2 an. Die ersten beiden Verfahren gelten heute jedoch nicht mehr als sicher: WEP weist zahlreiche Schwächen auf und kann innerhalb weniger Stunden gebrochen werden; WPA verwendet die Stromchiffre RC4, die ebenso bereits erfolgreich angegriffen wurde.

In bestimmten Situationen besitzt WPA2 zwar auch Angriffspunkte, jedoch gilt WPA2-PSK im Einsatz mit CCMP (AES) nach wie vor als sicherstes Ver­schlüs­se­lungs­ver­fahren. Eine wesentliche Rolle spielen hierbei sichere Passwörter, wie Sie im nächsten Abschnitt lesen können. Bei manchen Routern können Sie das Ver­schlüs­se­lungs­verfahren WPA2-PSK mit CCMP (AES) im Einstellungsbereich zur WLAN-Sicherheit Ihres Routers explizit vornehmen.

Einstellung des Verschlüsselungsverfahrens WPA2-PSK mit CCMP (AES)
Einstellung des Verschlüsselungsverfahrens über das Admin-Panel des Routers

Für Firmennetzwerke gelten andere Anforderungen, als für Privatnetzwerke. Hierfür wird beispielsweise RADIUS als Authentifizierungsdienst eingesetzt. Kontaktieren Sie uns und vereinbaren Sie eine unverbindliche Erstberatung. Wir konzipieren mit Ihnen gemeinsam ein sicheres, auf Ihre Bedürfnisse angepasstes Netzwerk.

2. Sicheres Passwort wählen

Ändern Sie unbedingt das Standardpasswort, welches bei der Auslieferung Ihres WLAN-Routers gesetzt wurde und wählen Sie ein sicheres Passwort. Als sicheres Passwort empfiehlt das BSI ein 20-stelliges Passwort, welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht.

Die maximale Sicherheit erreichen Sie durch Ausnutzung der maximal zulässigen Passwortlänge, die für WPA2-PSK bei 63 Zeichen liegt. Das Passwort sollte folgenden Anforderungen genügen:

  • Klein- und Großbuchstaben, Zahlen und Sonderzeichen wie ".,-_+!?"
  • Keine Wörter aus Wörterbüchern oder Namen
  • Simple Passwörter nicht durch Satzzeichen am Anfang oder Ende ergänzen
  • Keine gängigen Wiederholungsmuster wie "asdfjklö" oder "12345"

Benutzer schrecken häufig vor langen Passwörtern zurück, da es unbequem ist diese einzugeben. Die Einrichtung von WLAN-Verbindungen muss für ein Gerät jedoch nur ein Mal erfolgen und ist keine regelmäßige Aufgabe. Die Lesbarkeit des Passworts kann zudem vereinfacht werden, indem es mit einer Serifenschrift dargestellt wird, durch die Buchstaben eindeutig erkannt werden können. Ist dies nicht möglich, könnte man auf ähnlich aussehende Zeichen wie "O0Il|1" verzichten.

Die Sicherheit von Passwörtern steigt exponentiell mit ihrer Länge an. Kann man bei einem offline Brute-Force-Angriff 350 Milliarden Schlüssel pro Sekunde durchprobieren, wäre ein Passwort aus Buchstaben und Zahlen mit 8 Stellen rechnerisch nach weniger als 11 Minuten gebrochen – ein 10-stelliges Passwort hingegen erst nach knapp 28 Tagen. Wählen Sie deshalb ein ausreichend langes Passwort mit mindestens 20 Stellen.

Ein Passwort welches den beschriebenen Anforderungen genügt, sähe wie folgt aus: ?nR.,vg-5+7W-pwP_,cH (124 bit).

3. Deaktivieren von WPS

Deaktivieren Sie WPS, eine Funktionalität zur einfachen Verbindung zu einem drahtlosen Netzwerk. WPS existiert in unterschiedlichen Modellen, wobei gerade die gängige PIN-Methode als unsicher gilt. Da zum systematischen Erraten der PIN maximal 11.000 Versuche nötig sind, kann diese in wenigen Stunden erraten werden. Sorgen Sie außerdem bei den anderen WPS-Methoden wie PBC, bei welcher die passwortlose Verbindung zum Drahtlosnetzwerk für einen bestimmten Zeitraum möglich wird, für eine physische Zugangssicherheit des Routers, damit Unbefugte beispielsweise in öffentlichen Räumen WPS nicht aktivieren können.

4. Installieren aktueller Router-Firmware

Erst kürzlich wurde wieder von zahlreichen Sicherheitslücken in Router-Firmwares berichtet. Auch 2014 wurden anfällige Router gefunden; ebenso davor und davor. In Software von Router-Herstellern konnten immer wieder Schwachstellen gefunden werden, weshalb es wichtig ist die Firmware des eigenen Routers regelmäßig auf Aktualisierungen hin zu überprüfen.

Sie können sich in der Regel das Firmware-Update von der Hersteller-Seite herunterladen. Achten Sie darauf, dass es sich beim Download-Link um einen https-Link handelt und dieser vom Hersteller des Routers angeboten wird.
Für ältere Modelle bieten Hersteller oft keine Updates mehr an. Deshalb kann es sinnvoll sein über eine alternative Router-Firmware nachzudenken, wie es sie von Projekten wie OpenWRT oder Freetz gibt.

Zweifeln Sie, ob Ihr Router und damit Ihr gesamtes Netzwerk sicher ist? Kontaktieren Sie uns und vereinbaren Sie mit uns eine unverbindliche Erstberatung.

5. Deaktivieren der Fern­war­tung und nicht ge­nutz­ter Dienste

Deaktivieren Sie die Möglichkeit zur Fernwartung, wenn sie nicht benötigt wird. Dadurch reduzieren Sie das Risiko, dass böswillige Hacker von außerhalb den Admin-Zugang Ihres Routers angreifen. Aus ähnlichen Gründen empfehlen wir nicht genutzte Dienste wie FTP, SSH, SMB oder UPnP zu deaktivieren. Da Zusatzdienste Schwachstellen aufweisen oder nicht hinreichend abgesichert sein können, reduziert man durch Deaktivierung die Angriffsfläche effektiv.

6. Sichere Passwörter für den Admin-Bereich wählen

Was für die Verschlüsselung der Funkverbindung gilt, sollte ebenso für den Zugang zum Admin-Bereich beachtet werden. Wählen Sie für den Administratorzugang ein sicheres Passwort und speichern Sie es in einem Programm zur Passwortverwaltung wie KeePass. Dieses Programm hilft Ihnen außerdem bei der Erstellung von zufälligen, sicheren Passwörtern.

7. SSL-ver­schlüs­selte Ver­bindung zum Admin-Bereich einrichten

Viele Router bieten die Möglichkeit ein SSL-Zertifikat zu installieren und Verbindungen zum Admin-Portal SSL-verschlüsselt stattfinden zu lassen. Machen Sie von dieser Funktionalität Gebrauch, wenn Sie die Möglichkeit dazu haben. Dadurch kann die Kommunikation nicht abgehört werden und mögliche Angriffe werden erschwert.
Wenn Sie keine selbst signierten Zertifikate einrichten können, erstellt der Router in der Regel beim Einrichten ein eigenes Zertifikat. Hierbei kommt es beim ersten Aufruf im Browser zu einer Zertifikatswarnung, die Sie akzeptieren müssen. Stellen Sie dabei sicher, dass es sich um das Zertifikat des Routers handelt. Sie sollten diese Funktionalität einrichten, direkt nachdem Sie den Router auf Werkseinstellungen zurückgesetzt haben und sich niemand anderes im Netzwerk befindet.

Andreas Sperber

Am 25.03.2016 in der Kategorie Netzwerksicherheit veröffentlicht.