Firmenbrief

21.10.2008

Tipps vom LIS-Service. Heute: Sicheres W-LAN




Frage an den LIS-Service: Wir wollen für unsere Arbeit mit Ubuntu-Laptops auch W-LAN nutzen. Ich habe aber gehört, dass eine W-LAN-Verbindung unverschlüsselt und nicht ausreichend sicher ist. Stimmt das? Wie kann ich Daten auch drahtlos sicher übertragen?

Antwort unserer Experten: Eine unverschlüsselte W-LAN-Verbindung deshalb unsicher, weil ohne großen technischen Aufwand der Datenverkehr, der hier stattfindet, im Klartext mit gelesen werden kann. Somit könnten persönliche Daten, Passwörter, Bankdaten, E-Mails und ähnliches auch von anderen gesehen werden, ohne dass Sie das bemerken würden.

Viele Provider liefern heutzutage zwar Systeme, die mit Verschlüsselungstechnologie arbeiten können, jedoch gibt es hier einiges zu beachten. W-LAN-Verschlüsselung wird in drei Stufen unterschieden, die grundsätzlich alle sowohl den Zugang zum Netz regeln, als auch die Vertraulichkeit und Integrität der Daten sicherstellen sollen. Ansonsten unterscheiden sich die Standards erheblich:

WEP (Wired Equivalent Privacy): Der ehemalige Standard-Verschlüsselungsalgorithmus für WLAN, basierend auf statischen Schlüsseln. Weil das Verfahren einige Schwachstellen hat, gilt es als unsicher. Beispielsweise kann WEP entschlüsselt werden, wenn "ausreichende" Datenmengen mitgeschnitten werden. Der Schlüssel umfasst - je nach Hersteller - 40 Bit, 104 oder 232 Bit (64, 128 oder 256 Bit genannt). Es reicht daher aus, wenn nur wenige Minuten mitgeschnitten werden. Anschließend können diese Daten in wenigen Sekunden analysiert, der Schlüssel berechnet und die Daten wieder im Klartext mitgelesen werden.

WPA (Wi-Fi Protect Access): WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel mit. Nachdem sich WEP als nicht sicher erwiesen hatte und sich die Einführung des neuen WPA2 Sicherheitsmechanismus verzögerte, wurde eine Pseudo-Verschlüsselung aus WEP und WPA2 für die Übergangszeit bis zu der Einführung von WPA2 etabliert. Ein Einbrecher kann nur mit einer Wörterbuch Attacke (auch Brute-Force-Attacke genannt) auch diese Verschlüsselung knacken.

WPA2 (Wi-Fi Protect Access mit AES [Advanced Encryption Standard]): Ähnelt der WPA Verschlüsselung, wurde jedoch um das Kryptosystem AES erweitert, das mit einer 256-Bit-Verschlüsselung arbeitet. Durch diese Kombination gilt das System bisher als unknackbar. In den USA ist beispielsweise nur AES für die Verschlüsselung staatlicher Dokumente mit höchster Geheimhaltungsstufe zugelassen.

Fazit: Je aktueller die Verschlüsselung, um so sicherer ist Ihr W-LAN-Netzwerk. Die WPA2-Verschlüsselung ist der im Moment sicherste Mechanismus, um ihr W-LAN-Netzwerk vor unbefugtem Zugriff zu schützen. Damit Sie eine Verschlüsselung für ihr W-Lan Netzwerk nutzen können, muss ihre Hardware diesen Sicherheitsmechanismus natürlich auch unterstützen. Wenn dies nicht der Fall sein sollte, sollten Sie die Treiber ihrer W-LAN-Hardware sowie die Firmware ihres Routers auf den aktuellsten Stand bringen.

Falls Sie Ihr W-LAN nicht ausreichend verschlüsseln, haften Sie in Teilen sogar selbst als so genannter "Mitstörer", wenn sich jemand unrechtmäßig Zugang verschafft. Dies hat das Landgericht Hamburg im Jahr 2006 entschieden. Nach Auffassung des Gerichts sind Anwender verpflichtet, eine Verschlüsselung einzurichten, weil sie damit Vorsorge vor Missbrauch des Funknetzes durch Dritte treffen. Falls Sie sich dazu fachlich nicht in der Lage sehen, müssen Sie Fachpersonal damit beauftragen. Das Urteil können Sie hier nachlesen: http://pda.lexexakt.de/lghamburg2006-07-26.php

Grundsätzlich ist eine WPA2 Verschlüsselung die richtige Wahl für eine sichere W-LAN-Verbindung, dennoch empfehlen wir zusätzliche Sicherheitsmaßnahmen. Zusammengefasst sollten Sie folgende, grundlegenden Sicherheitsmaßnahmen einsetzen:

-
Aktivierung der Verschlüsselung mit einer sicheren Verschlüsselungstechnik, wir empfehlen WPA2 mit AES oder mindestens WPA mit TKIP.
-
Vergabe eines sicheren Netzwerkschlüssels, mit 32 Zeichen in Kombination aus Zahlen, Buchstaben und Zeichen.
- Ersetzen der werksseitig voreingestellten Router- bzw. AccessPoint-Passwörter.
- Ändern Sie den werksseitig voreingestellten, meist den Gerätetyp verratenden SSID-Namens bzw. Deaktivierung des SSID-Namens.
- Erlauben Sie nur bekannten MAC-Adressen den Verbindungsaufbau zu ihrem Router.