Warenkorb
×
Der Warenkorb ist leer.
einmalig monatlich
{{position.qty}} {{position.title}} {{position.total_fix|price_ndash}} leihweise geschenkt {{position.total_rec|price_ndash}}

Total CHF {{$store.getters.total_price_fix|price_ndash}} {{$store.getters.total_price_rec|price_ndash}}

Jetzt bestellen Warenkorb bearbeiten

Vorsicht bei der Verwendung drahtloser Netze (WLAN)

Drahtlose lokale Netze, kurz WLAN (für engl. Wireless Local Area Network), erfreuen sich grosser Beliebtheit. Kein Wunder, sind sie doch äusserst praktisch und für die Verwendung mobiler Geräte wie Smartphones, Tablets oder auch vieler IoT-Anwendungen (Internet of Things, Internet der Dinge) nicht wegzudenken. Doch wie steht es um die Sicherheit solcher Netze und was sollte man bei der Einrichtung und dem Gebrauch von WLAN beachten?

Was ist so schlimm an einem offenen WLAN?

Oft hört man ein offenes WLAN (also ein Netz ohne Verschlüsselung) sei nicht so schlimm, schliesslich ermögliche man im schlimmsten Fall einem Fremden den Zugang über das eigene Netz ins Internet. Um es klar zu sagen: Falscher kann man nicht liegen. Ein offenes WLAN ist unter allen Umständen ein absolutes «No-Go»! Denn einerseits ermöglicht man mit dem Zugang ins Internet einem ungebetenen Gast illegale und kriminelle Aktivitäten, für welche der Inhaber des Internetanschlusses zu Rechenschaft gezogen oder in eine unangenehme polizeiliche Untersuchung verwickelt werden kann. Äusserst unangenehm kann in einem solchen Fall eine – üblicherweise morgen ums 6 Uhr ohne Ankündigung durchgeführte – Hausdurchsuchung mit Sicherstellung aller Computer bedeuten.

Andererseits befindet sich ein Angreifer durch den WLAN-Zugang bei den meisten privaten Haushalten bereits im lokalen Netz hinter der Firewall und kann in aller Ruhe versuchen, die am Netz befindlichen Geräte zu hacken. Wer Zugang zum WLAN hat, kann jederzeit einen Man-in-the-Middle-Angriff starten – doch mehr dazu später.

WLAN-Router mit mindestens WPA2

Man sollte also bei jedem WLAN-Router oder Access Point immer die Verschlüsselung, oft WLAN-Sicherheit genannt, aktivieren und dabei immer dem neuesten und stärksten Standard wählen. Heute bedeutet das nach Möglichkeit WPA3, mindestens aber WPA2. Alle älteren Standards wie WEP und WPA gelten nicht nur als unsicher, sie sind es auch. WEP-Netzwerke zum Beispiel können auch von Laien innert wenigen Minuten geknackt werden und bieten dann keine Sicherheit mehr. Im Internet gibt es hunderte Anleitungen dazu. Hat man noch Geräte, die nicht mindestens WPA2 unterstützen, gibt es nur eine Lösung: ausser Betrieb nehmen und fachgerecht entsorgen. WPA3 ist ein neuer Standard, der 2018 verabschiedet wurde. Ältere Geräte unterstützen diesen Standard oft noch nicht. Der Einsatz des gemischten Modus (Transition Mode) ist in solchen Fällen allerdings noch akzeptabel.

Wi-Fi-Free und Social Engineering

Aber nicht nur zuhause, auch unterwegs lauern Gefahren. Viele Kunden erwarten heutzutage von Hotels, Restaurants, Cafés und anderen Betrieben, dass ein kostenloser WLAN-Zugang selbstverständlich zur Verfügung gestellt wird. Ein Angreifer kann hier einen Fake Acesss Point (sogenannter Rogue Access Point) mit einer SSID kreieren, die auf das Geschäft hinweist oder verlockend gratis erscheint (z.B. CoffeeShopFreeWifi). Der ahnungslose Kunde wird dann auf eine scheinbare Anmeldeseite des Geschäfts geführt, wo man die Nutzungsbedingen akzeptieren und dabei auch persönliche Angaben wie E-Mail-Adresse eingeben muss. Der Rogue Access Point schaltet sich nun in den Datenverkehr und kann den gesamten Verkehr des Kunden problemlos und unbemerkt ausspionieren. Dies wäre dann eben eine «Man in the Middle Attack» – weil der Angreifer zwischen den Kommunikationspartnern steht und von dieser Position aus die Kommunikation beobachten und manipulieren kann.

Evil Twins

Eine Variante ist der «Evil Twin»-Angriff (böser Zwilling). Hier wird ein legitimer Access Point inklusive der Anmeldeseite imitiert, auf den der Kunde gelockt wird. Ohne hier auf Details einzugehen, kann so ein Evil Twin Access Point sehr aufwendig gestaltet sein. Letztendlich resultiert daraus wieder ein «Man in the Middle», der den Datenverkehr überwacht und auch – etwa auf gefälschte Bankwebseiten – umleiten kann. Der Evil Twin in Perfektion ist eine von Geheimdiensten gern verwendete Methode, um an Daten zu gelangen. Beruhigend ist immerhin, dass eine allfällige Kopie des Heim-WLANs nicht den WPA2 Schlüssel ergaunern kann. Der Schlüssel (das Passwort) wird nämlich beim Anmeldevorgang gar nicht übertragen, sondern ein Challenge-Response Verfahren eingesetzt. Dabei wird für die Authentifizierung des Teilnehmers auf Wissen zurückgegriffen, zum Beispiel indem er eine Aufgabe lösen muss, bei der er beweist, dass er bestimmte Informationen besitzt.

Deshalb sollte man beim Benutzen von öffentlichen Access Points und generell unbekannten Zugängen sehr vorsichtig sein. Das Risiko kann gemindert werden, indem man ein VPN (Virtuelles privates Netz) verwendet oder nur sichere Webseiten (https, Zertifikat kontrollieren) besucht. Generell sollte vermieden werden, über öffentliche Access Points sensible Daten auszutauschen. Achtung, ein kompromittierter E-Mail- oder Social-Media-Account ist oft der Anfang allen Übels!

Empfehlungen für ein sicheres WLAN

  • Wählen Sie für Ihr WLAN ein langes und kompliziertes Passwort. Die maximale Passwortlänge bei WPA2 ist 63 Zeichen. Das sollte man ausnutzen. Im Blogartikel Wie erstelle ich ein sicheres Passwort, gibt es wertvolle Hinweis dazu. Bei WLAN sollte man eher auf lange Passworte setzen. Und nicht vergessen, niemals dasselbe Passwort für verschiedene Dienste verwenden!
  • Hacker lieben WPS (Wireless Protected Setup): es ist zwar sehr praktisch, sollte aber ausgeschaltet werden, wenn man es nicht benötigt.
  • Anhand der MAC-Adresse nur bekannten Geräten Zugang zum Netz erlauben. Dies bringt allerdings nur unbedeutend mehr Sicherheit und ist für gute Hacker kein Hindernis.
  • Den voreingestellten Namen des Netzwerkes (SSID) ändern, damit der Angreifer nicht von vornherein auf den Typ des Routers schliessen kann. Wir raten auch das Netz nicht so ähnlich wie “Wi-Fi von Hans” zu nennen. Das macht es einem Hacker zu einfach herauszufinden, wessen WLAN es ist, was wiederum Social-Engineering-Angriffe erleichtert.
  • Eine gute, aber nicht zu gute WLAN-Abdeckung wählen. WLAN-Router und Access Points so platzieren, dass alle Räume gut versorgt sind, aber nicht darüber hinaus. Ausserhalb seiner Reichweite kann das WLAN nicht gehackt werden.
  • Regelmässig die Firmware von Routers oder Access Points aktualisieren.
  • Öffentliche Access Points meiden und nur mit Vorsicht benutzen.
  • Keine unbekannten “FreeWifi” Access Points benutzen (speziell gefährlich: Flughäfen)
  • Generell: offene Netze können gefährlich sein.
Zurück zum Blog