So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de
Wer zu Hause ein WLAN nutzt, sollte immer seinen Zugang verschlüsseln. So kann vermieden werden, dass
Fremde Zugriff auf persönliche Daten erlangen oder Unbefugte den Internetzugang mitbenutzen.
Konfigurationsoberfläche schützen
Wenn Sie Ihren WLAN-Zugang einrichten oder später Veränderungen an den Einstellungen vornehmen, sollten Sie dies per Kabel tun und nicht per Funk.
Die Oberfläche für die WLAN-Einstellungen erreichen Sie dabei im
Normalfall bequem über den Web-Browser. Für den Zugang zur Konfigurationsoberfläche sollten Sie ein Passwort
vergeben und die Konfiguration per Fernzugriff und via Funk gegebenenfalls deaktivieren.
So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de
SSID-Kennung ändern
Jedes WLAN-Netzwerk trägt einen Namen, die sogenannte SSID (Service Set
Identifier). Die voreingestellten Werte für Passwörter und den Namen des
Netzwerks sollte der Nutzer bei der ersten Inbetriebnahme eines
WLAN-Access-Points ändern. Es gab bereits Fälle, bei denen die vom Hersteller
voreingestellte SSID Rückschlüsse auf das werksseitige Passwort zuließ. Auch bei
der neu gewählten Kombination von Name und Passwort sollte das natürlich nicht
der Fall sein. Wie Sie ein sicheres Passwort finden, lesen Sie in einem weiteren Ratgeber.
Einige Router bieten dem Nutzer an, den Namen des Netzwerks (SSID) zu
verstecken. Das vergrößert jedoch nur scheinbar die Sicherheit. Im Normalfall versendet jeder WLAN-Access-Point oder -Router in
regelmäßigen Abstand seinen Namen und einige weitere Parameter. Durch das
Verstecken wird diese Funktion abgeschaltet.
Jedoch ist es für versierte
Angreifer weiterhin leicht möglich, den Netzwerknamen zu ermitteln. Denn
diejenigen Geräte, die sich (berechtigterweise) mit dem Access Point verbinden
wollen, senden den ihnen bekannten Netzwerknamen - und das können auch Unbekannte in Reichweite abhören. So erfahren diese die SSID anstatt durch eine Nachricht wie: "Hallo, hier ist [Routername]" eben durch ein: "Bist du da, [Routername]?", was beispielsweise ein Smartphone oder Laptop im Heimnetzwerk sendet.
Verschlüsselung und Authentifizierung mit WPA/WPA2/WPA3
Die aktuelle Standard-Sicherunsmethode im WLAN, die das Abhören von Funksignalen verhindert, ist WPA3. Das ursprünglich für den WLAN-Standard IEEE 802.11 vorgesehene Verschlüsselungsprotokoll hieß WEP (Wired Equivalent Privacy). WEP hat sich allerdings als unsicher erwiesen und wurde daher durch WPA, beziehungsweise dessen Nachfolger WPA2 abgelöst.
Seit 2018 ist nun auch mit WPA3 ein weiterer Nachfolger verfügbar. Dieser setzt mit SAE (Simultaneous Authentication of Equals), einer kennwortbasierten Authentifizierungs- und Schlüssel-Vereinbarungs-Methode, eine moderne Verschlüsselungs-Technik zum Schutz des WLAN-Netzwerks ein. SAE benötigt den Standard PMF (Protected Management Frames, IEEE 802.11w), der die Sicherheit im Netzwerk erhöht und unter anderem gegen sogenannte Wörterbuch-Angriffe schützt. SAE ersetzt das bisher eingesetzte Verfahren Pre-Shared Key (PSK), einen digitalen Schlüssel, der vor der Kommunikation zweier Teilnehmern diesen bekannt sein muss. WPA3 ist nicht abwärtskompatibel zu WPA2, wodurch die Nutzung von Geräten, die nur WPA2 unterstützen, in einem Netzwerk, das mit WPA3 gesichert ist, nicht funktioniert.
Alte Geräte, die im Auslieferungszustand nur WEP beherrschten, können meist per Firmware-Update auf WPA2 oder zumindest WPA aufgerüstet werden, nicht aber auf WPA3. Neuere Betriebssysteme (ab Windows 10 1903, macOS 10.15, iOS und iPadOS 13, Android 10) und Geräte, wie beispielsweise die FRITZ!Box oder der FRITZ!Repeater ab FRITZ!OS 7.20, unterstützen den neuen Standard.
Zugangskontrolle mit MAC-Filter: Nur wenig sicherer
Die meisten Access Points bieten eine Zugangskontrolle über MAC-Adressen.
Die Sicherheit erhöht der Nutzer dadurch allerdings nur begrenzt.
MAC-Adressen werden von den Hardware-Herstellern vergeben und dienen dazu, jedes Netzwerk-Gerät weltweit eindeutig
zu identifizieren. Der Nutzer
kann nun zur Zugangskontrolle für ein Netzwerk eine Liste von MAC-Adressen
(Access Control List) anlegen und nur Geräten mit diesen Adressen die Nutzung
des heimischen WLANs erlauben.
MAC-Adressen lassen sich relativ
unkompliziert fälschen. Für einen Angreifer ist es möglich, den MAC-Filter
zu überlisten, sobald er die MAC-Adresse eines der berechtigten Geräte ermittelt
hat.
Sicherheitsprobleme bei Wi-Fi-Protected-Setup (WPS)
Wi-Fi-Protected-Setup (WPS) soll das Anmelden von WLAN-fähigen Geräten an Routern vereinfachen - ist jedoch mit einer gravierenden Sicherheitslücke
behaftet: Eine von verschiedenen möglichen Authentifizierungsmethoden von WPS ermöglicht es Unbefugten nämlich, vergleichsweise schnell Zugang zum
Router zu erlangen und dann WPA2-Schlüssel abzugreifen.
Bei der WPS-Methode authentifiziert sich das WLAN-fähige Gerät mittels einer 8-stelligen PIN, die es an den Router schickt. Während des
Authentifizierungsprozesses gibt der Router dem Gerät dabei an einer
bestimmten Stelle bekannt, ob die ersten vier Ziffern korrekt sind. Bei der achten Ziffer handelt es sich um eine Prüfzahl - diese muss zum Knacken
nicht bekannt sein. In der Folge müssen also nur noch drei Ziffern erraten werden. Statt 108 verschiedene Kombinationen reduziert sich das
Ganze somit
auf lediglich 104 + 103 und somit 11.000
Möglichkeiten - bei automatisierten Angriffen eine überschaubare Zahl: Ohne weitere Sicherheitsmaßnahmen ist damit der Router binnen weniger Stunden
geknackt.
Abhilfe schafft in erster Linie das Abschalten von WPS. Als Schutzmaßnahme
besteht seitens der Routerhersteller auch die Möglichkeit, nach fehlgeschlagenen
Anmelde-Versuchen eine bestimmte Verzögerung zu erzwingen - doch auch dies bietet nicht unbedingt Schutz, da das automatisierte Verfahren einfach längere
Zeit braucht. Bei Routern, die ständig in Betrieb sind, ist dies also nur eine
Geduldsfrage.
Übrigens: Auch andere WPS-Verfahren bergen zumindest theoretisch eine Gefahr. So ermöglicht die Push Button Configuration, zwei Geräte durch Drücken auf
einen Knopf an den beiden Geräten in einem zweiminütigen Zeitabstand zu verbinden. Theoretisch ließe sich hier dem WLAN-Router ein Fremdgerät
unterschieben, indem der Angreifer dem Druck des Nutzers auf sein eigenes WLAN-fähiges Gerät zuvorkommt.
In unseren weiteren WLAN-Ratgebern erfahren Sie unter anderem, wie Sie Störungen im WLAN vermeiden, wie Sie unterwegs per WLAN-Hotspot online gehen können oder wie Sie zu Hause Ihr WLAN einrichten.
WLAN-Ratgeber im Überblick
Mehr zum Thema WLAN