Sieben Empfehlungen f√ľr ein sicheres WLAN

Fast jeder Haushalt nutzt heutzutage ein drahtloses lokales Netzwerk (WLAN), um Ger√§te miteinander kommunizieren zu lassen und das Internet zu verwenden. Dabei werden unterschiedlichste Informationen √ľber dieses Netzwerk geschickt, darunter Daten zum Online-Banking, pers√∂nliche E-Mails oder VoIP-Telefonate. Damit diese Daten nicht von sogenannten Wardrivern und anderen Angreifern mitgelesen oder missbraucht werden k√∂nnen, muss das eigene Netzwerk abgesichert werden. Neben dem Schutz der eigenen Privatsph√§re muss der Inhaber des Internetanschlusses aber auch in markt√ľblicher Form sicherstellen, dass der Anschluss nicht von Bot-Netzen oder f√ľr illegale Downloads genutzt wird, wie der BGH 2010 entschied.

Im Folgenden geben wir Ihnen sieben Empfehlungen f√ľr ein sicheres WLAN und kl√§ren √ľber Verschl√ľsselungsverfahren, sichere Passw√∂rter und den Umgang mit Router-Firmware auf.

1. Sicheres Verschl√ľs­se­lungs­ver­fahren w√§hlen

W√§hlen Sie f√ľr Ihr WLAN-Netz das Verschl√ľsselungsverfahren WPA2-PSK mit ausreichend starken Passw√∂rtern, um sich gegen Mith√∂ren Ihrer Kommunikation zu sch√ľtzen.

Router bieten in der Regel die Verfahren WEP, WPA und WPA2 an. Die ersten beiden Verfahren gelten heute jedoch nicht mehr als sicher: WEP weist zahlreiche Schwächen auf und kann innerhalb weniger Stunden gebrochen werden; WPA verwendet die Stromchiffre RC4, die ebenso bereits erfolgreich angegriffen wurde.

In bestimmten Situationen besitzt WPA2 zwar auch Angriffspunkte, jedoch gilt WPA2-PSK im Einsatz mit CCMP (AES) nach wie vor als sicherstes Ver­schl√ľs­se­lungs­ver­fahren. Eine wesentliche Rolle spielen hierbei sichere Passw√∂rter, wie Sie im n√§chsten Abschnitt lesen k√∂nnen. Bei manchen Routern k√∂nnen Sie das Ver­schl√ľs­se­lungs­verfahren WPA2-PSK mit CCMP (AES) im Einstellungsbereich zur WLAN-Sicherheit Ihres Routers explizit vornehmen.

Einstellung des Verschl√ľsselungsverfahrens WPA2-PSK mit CCMP (AES)
Einstellung des Verschl√ľsselungsverfahrens √ľber das Admin-Panel des Routers

F√ľr Firmennetzwerke gelten andere Anforderungen, als f√ľr Privatnetzwerke. Hierf√ľr wird beispielsweise RADIUS als Authentifizierungsdienst eingesetzt. Kontaktieren Sie uns und vereinbaren Sie eine unverbindliche Erstberatung. Wir konzipieren mit Ihnen gemeinsam ein sicheres, auf Ihre Bed√ľrfnisse angepasstes Netzwerk.

2. Sicheres Passwort wählen

√Ąndern Sie unbedingt das Standardpasswort, welches bei der Auslieferung Ihres WLAN-Routers gesetzt wurde und w√§hlen Sie ein sicheres Passwort. Als sicheres Passwort empfiehlt das BSI ein 20-stelliges Passwort, welches aus Klein- und Gro√übuchstaben, Zahlen und Sonderzeichen besteht.

Die maximale Sicherheit erreichen Sie durch Ausnutzung der maximal zul√§ssigen Passwortl√§nge, die f√ľr WPA2-PSK bei 63 Zeichen liegt. Das Passwort sollte folgenden Anforderungen gen√ľgen:

  • Klein- und Gro√übuchstaben, Zahlen und Sonderzeichen wie ".,-_+!?"
  • Keine W√∂rter aus W√∂rterb√ľchern oder Namen
  • Simple Passw√∂rter nicht durch Satzzeichen am Anfang oder Ende erg√§nzen
  • Keine g√§ngigen Wiederholungsmuster wie "asdfjkl√∂" oder "12345"

Benutzer schrecken h√§ufig vor langen Passw√∂rtern zur√ľck, da es unbequem ist diese einzugeben. Die Einrichtung von WLAN-Verbindungen muss f√ľr ein Ger√§t jedoch nur ein Mal erfolgen und ist keine regelm√§√üige Aufgabe. Die Lesbarkeit des Passworts kann zudem vereinfacht werden, indem es mit einer Serifenschrift dargestellt wird, durch die Buchstaben eindeutig erkannt werden k√∂nnen. Ist dies nicht m√∂glich, k√∂nnte man auf √§hnlich aussehende Zeichen wie "O0Il|1" verzichten.

Die Sicherheit von Passw√∂rtern steigt exponentiell mit ihrer L√§nge an. Kann man bei einem offline Brute-Force-Angriff 350 Milliarden Schl√ľssel pro Sekunde durchprobieren, w√§re ein Passwort aus Buchstaben und Zahlen mit 8 Stellen rechnerisch nach weniger als 11 Minuten gebrochen – ein 10-stelliges Passwort hingegen erst nach knapp 28 Tagen. W√§hlen Sie deshalb ein ausreichend langes Passwort mit mindestens 20 Stellen.

Ein Passwort welches den beschriebenen Anforderungen gen√ľgt, s√§he wie folgt aus: ?nR.,vg-5+7W-pwP_,cH (124 bit).

3. Deaktivieren von WPS

Deaktivieren Sie WPS, eine Funktionalit√§t zur einfachen Verbindung zu einem drahtlosen Netzwerk. WPS existiert in unterschiedlichen Modellen, wobei gerade die g√§ngige PIN-Methode als unsicher gilt. Da zum systematischen Erraten der PIN maximal 11.000 Versuche n√∂tig sind, kann diese in wenigen Stunden erraten werden. Sorgen Sie au√üerdem bei den anderen WPS-Methoden wie PBC, bei welcher die passwortlose Verbindung zum Drahtlosnetzwerk f√ľr einen bestimmten Zeitraum m√∂glich wird, f√ľr eine physische Zugangssicherheit des Routers, damit Unbefugte beispielsweise in √∂ffentlichen R√§umen WPS nicht aktivieren k√∂nnen.

4. Installieren aktueller Router-Firmware

Erst k√ľrzlich wurde wieder von zahlreichen Sicherheitsl√ľcken in Router-Firmwares berichtet. Auch 2014 wurden anf√§llige Router gefunden; ebenso davor und davor. In Software von Router-Herstellern konnten immer wieder Schwachstellen gefunden werden, weshalb es wichtig ist die Firmware des eigenen Routers regelm√§√üig auf Aktualisierungen hin zu √ľberpr√ľfen.

Sie können sich in der Regel das Firmware-Update von der Hersteller-Seite herunterladen. Achten Sie darauf, dass es sich beim Download-Link um einen https-Link handelt und dieser vom Hersteller des Routers angeboten wird.
F√ľr √§ltere Modelle bieten Hersteller oft keine Updates mehr an. Deshalb kann es sinnvoll sein √ľber eine alternative Router-Firmware nachzudenken, wie es sie von Projekten wie OpenWRT oder Freetz gibt.

Zweifeln Sie, ob Ihr Router und damit Ihr gesamtes Netzwerk sicher ist? Kontaktieren Sie uns und vereinbaren Sie mit uns eine unverbindliche Erstberatung.

5. Deaktivieren der Fern­war­tung und nicht ge­nutz­ter Dienste

Deaktivieren Sie die M√∂glichkeit zur Fernwartung, wenn sie nicht ben√∂tigt wird. Dadurch reduzieren Sie das Risiko, dass b√∂swillige Hacker von au√üerhalb den Admin-Zugang Ihres Routers angreifen. Aus √§hnlichen Gr√ľnden empfehlen wir nicht genutzte Dienste wie FTP, SSH, SMB oder UPnP zu deaktivieren. Da Zusatzdienste Schwachstellen aufweisen oder nicht hinreichend abgesichert sein k√∂nnen, reduziert man durch Deaktivierung die Angriffsfl√§che effektiv.

6. Sichere Passw√∂rter f√ľr den Admin-Bereich w√§hlen

Was f√ľr die Verschl√ľsselung der Funkverbindung gilt, sollte ebenso f√ľr den Zugang zum Admin-Bereich beachtet werden. W√§hlen Sie f√ľr den Administratorzugang ein sicheres Passwort und speichern Sie es in einem Programm zur Passwortverwaltung wie KeePass. Dieses Programm hilft Ihnen au√üerdem bei der Erstellung von zuf√§lligen, sicheren Passw√∂rtern.

7. SSL-ver­schl√ľs­selte Ver­bindung zum Admin-Bereich einrichten

Viele Router bieten die M√∂glichkeit ein SSL-Zertifikat zu installieren und Verbindungen zum Admin-Portal SSL-verschl√ľsselt stattfinden zu lassen. Machen Sie von dieser Funktionalit√§t Gebrauch, wenn Sie die M√∂glichkeit dazu haben. Dadurch kann die Kommunikation nicht abgeh√∂rt werden und m√∂gliche Angriffe werden erschwert.
Wenn Sie keine selbst signierten Zertifikate einrichten k√∂nnen, erstellt der Router in der Regel beim Einrichten ein eigenes Zertifikat. Hierbei kommt es beim ersten Aufruf im Browser zu einer Zertifikatswarnung, die Sie akzeptieren m√ľssen. Stellen Sie dabei sicher, dass es sich um das Zertifikat des Routers handelt. Sie sollten diese Funktionalit√§t einrichten, direkt nachdem Sie den Router auf Werkseinstellungen zur√ľckgesetzt haben und sich niemand anderes im Netzwerk befindet.

Andreas Sperber

Am 25.03.2016 in der Kategorie Netzwerksicherheit veröffentlicht.