Mobile Rechner sind in. Wie die Marktforscher von Gartner ermittelten, wurden in den ersten drei Monaten 2010 weltweit 49,4 Millionen tragbare Rechner verkauft. Gegenüber dem gleichen Zeitraum 2009 entsprach das einem Anstieg von 43,4 Prozent. Weltweit sind rund 500 Millionen Laptops im Einsatz.

Im Sommer und bei schönem Wetter packt denn auch jeder gern sein Net- und Notebook ein, um im Biergarten, Strandbad oder sonst wo im Freien zu surfen oder entspannt seine Arbeit zu erledigen.

Das freut auch die Web-Mafia. Die wartet nämlich nur darauf, sich in den Funkverkehr zwischen Notebook und Firmenserver, im "günstigsten" Fall sogar zwischen Privatrechner und Bankserver einzuklinken.

An WLANs mangelt es dabei in Deutschland nicht. Die Industrieinteressenvertretung Bitkom geht hierzulande von ungefähr 15.000 öffentlichen WLAN-Zugängen und Hotspots aus. Doch welche WLANs sind sauber? Und welche sind Fallen von Kriminellen, die nur darauf warten, dass sich Anwender auf gefälschte Login-Seiten locken lassen?

Jeder Vierte arbeitet via Hotspot

In den USA benutzen 25 Prozent der Erwachsenen beziehungsweise 34 Prozent sämtlicher Internet-Nutzer ihren Laptop und einen Hotspot-Service für ihre Online-Aktivitäten, wenn sie sich nicht zuhause oder am Arbeitsplatz befinden (Quelle: IT Facts).

Die Versorgung mit öffentlichen Zugangspunkten ist dabei fast flächendeckend. Der Anwender wird nun den Hotspot wählen, der entweder unentgeltlich genutzt werden darf oder bei dem der Name, der im SSI-Funknetzwerk (Service Set Identifier) erscheint, vertrauenswürdig scheint. Genau hier beginnt das Problem.

Man-in-the-middle-Attacke: Schon verloren

Zum Verständnis des Problems zeichnen die Sicherheitsexperten von Kaspersky die typische Vorgehensweise von Web-Kriminellen etwa bei einer Man-in-the-middle-Attacke nach: Ein Zugangspunkt wirbt mit hohen Übertragungsraten und außerordentlicher Sicherheit zu einem scheinbar lächerlichen Preis. Wer diese Verbindung nutzt und dann die Zahlungsoption "Kreditkarte" wählt und die entsprechenden Details eingibt, hat im Zweifelsfall schon verloren.

Es gibt, schreibt Kasperskys Virus-Analyst Christian Funk in seinem Report "Sommerzeit ist Wireless-Zeit", nur wenige Personen, die bei der Verwendung eines unbekannten Zugangspunktes Bedenken hinsichtlich der Sicherheit haben. Das ist ein Fehler. Übelmeinende brauchen lediglich eine simple Login-Seite in der Absicht zu stricken, "dem Benutzer eine offiziell wirkende WiFi-Login-Maske zu präsentieren".

Kriminelle stellen dabei beispielsweise oft ganze hoteleigene Seiten nach. Funk: "Letzteres erfordert kein besonderes Spezialwissen." Solche Zugangspunkte könnten mittels vieler handelsüblicher WiFi-Router und modifizierter Firmware oder einem Laptop mit aktivierter WiFi-Verbindung und Zugang zu einem Ad-hoc-Netzwerk nachgebaut werden. Funk: "Hinter der gefälschten Seite steht dann immer eine bereits eingeloggte Internetverbindung, die den Nutzer glauben machen soll, dass der Login-Prozess ohne Probleme erfolgt - und die Datendiebe haben leichtes Spiel."

Wer auf solch einer gefälschten Seite landet, läuft Gefahr, dass sämtliche eingegebenen Daten von den Cyberkriminellen abgefischt werden. Mit derartigen Angriffen kommen sie nicht nur an sensible Kreditkarteninformationen, sie können, so Funk, auch weitere Informationen über E-Mail-Accounts, Online-Shops oder Finanzinstitutionen abgreifen.

Betrüger müssen jetzt nur noch abwarten. Denn selbst, wenn nur sehr wenige Nutzer zu potenziellen Opfern werden: Für die Web-Mafia zahlen sich deren Anstrengungen aus.

Da Daten nicht über ein physisch begrenztes Medium übertragen werden, lassen sie sich leicht abfangen. Mit speziell zu diesem Zweck erstellten Programmen werden Datenpakete direkt aus der Luft gefischt und leicht und unverzüglich ausgewertet. Voraussetzung: Die Datenpakete sind nicht verschlüsselt.

Abteilung Lausch und Horch am Werk

Die Reichweite hängt dabei sowohl von der Signalstärke des Zugangspunkts als auch von der Stärke des verwendeten WiFi-Standards ab. Ein handelsüblicher WiFi-Router mit 802.11b-Standard hat eine Reichweite von fast 100 Metern, wobei das Signal in sphärischer Form von dem Gerät ausgeht. Mauern und andere Objekte verringern zwar seine Reichweite, jedoch wird der Dienst nicht auf das Gebäude, in dem sich der Router befindet, beschränkt. Daten können somit von außerhalb des Gebäudes, beispielsweise von der Straße aus, abgefangen werden.

Noch brisanter wird es, wenn spezielle Nachrüstantennen im Spiel sind. Diese sind in der Lage, nahezu jedes noch so schwache Signal zu empfangen. Das erhöht ihre Reichweite erheblich. Kaspersky weist darauf hin, dass Mikrowellenantennen die Übertragungsentfernung um ein Vielfaches erhöhen können.

Anleitung zum Nachbau im Web

Anleitungen zum Nachbauen derartiger Antennen findet man überall im Internet. Der Eigenbau erfordert lediglich elementare Materialkenntnisse. Vor allem aber ist der hierfür anfallende Arbeitsaufwand sehr gering - für Cyberkriminelle ein maximales Gewinn-Verlust-Verhältnis.

SSI-Verbindungen - sicher?

Zahlreiche der als Snifferprogramme bekannten Applikationen enthalten auch Funktionen für die Auswertung von SSl-verschlüsselten Daten (SSI = Server Side Includes), so dass sogar die Integrität von vermeintlich sicheren Verbindungen zu Login-Seiten nicht mehr gewährleistet ist. Abhängig von dem Grad der verwendeten Verschlüsselung ist der Aufwand für Cyberkriminelle unter Umständen nicht sehr groß.

Anwender, die Web-Kriminellen auf die beschriebene Weise ins Netz gehen, müssen verschiedene Folgen gewärtigen: Zum einen werden die Login-Daten für das jeweilige E-Mail-Konto erfasst. Dieser Mail-Account wird auf eine Liste gesetzt, die etwa für Spam-Massenaussendungen benutzt wird. Mit der unfreiwilligen Preisgabe der Zugangsdaten zu einem Account können Angreifer natürlich auch persönliche Daten in den E-Mails ausspionieren.

Katastrophal für Unternehmen

Handelt es sich bei einem E-Mail-Konto um einen beruflich genutzten Account, ist der potentielle Schaden weitaus gravierender. Beim Diebstahl finanzbezogener Daten ist allerdings nicht nur der erlittene Verlust extrem schwer zu beziffern. Es dauert in manchen Fällen Jahre, bis das tatsächliche Ausmaß des Schadens beurteilt werden kann. Hat ein Angriff dieser Art den Zugriff auf sensible Informationen zum Ziel - etwa Geschäftsberichte, technische Informationen oder gar Kundendaten - die gestohlen und veröffentlicht werden, sind die Auswirkungen auf das Ansehen des Unternehmens gewöhnlich katastrophal: Mögliche Schäden sind hier Vertrauensverlust bei Kunden und Geschäftspartnern oder Umsatzrückgänge bis hin zum Zusammenbruch von Geschäftsbeziehungen.

Keine Entschädigung bei grober Fahrlässigkeit

Wenn Kreditkartendetails in die falschen Hände geraten, sind die Folgen zumeist besonders schwerwiegend. Grundsätzlich erstattet das Kreditkartenunternehmen dem Opfer den entstandenen Schaden zwar zurück. Allerdings gilt hier, dass das Opfer nachweisen muss, die Einkäufe nicht selbst getätigt zu haben und mit den Karteninformationen nicht grob fahrlässig umgegangen zu sein. Während ersteres sich noch relativ leicht belegen lässt, ist die grobe Fahrlässigkeit viel schwerer zu widerlegen. Zudem handhaben Kreditinstitute dies auch unterschiedlich. Online-Zahlungen über eine unsichere WLAN-Verbindung werden aber mit Sicherheit als unvorsichtig oder sogar grob fahrlässig ausgelegt - ob nun bewusst oder unbewusst getätigt.

SSL-Verschlüsselung schützt nicht prinzipiell

Die meisten Websites mit einem Login-Bereich sind mittels SSL (Secure Sockets Layer) geschützt. Zwar stehen Cyberkriminellen eine Fülle von Tools zur Verfügung, mit denen diese Verschlüsselungsart geknackt werden könnte. Trotzdem bleiben einige Login-Daten weiterhin vor Ihnen verborgen. Es existieren allerdings noch andere Wege, sich Zugang zu Daten zu verschaffen. Schon bevor die Zugangsdaten ins Internet übertragen werden, können sie mittels Spyware oder einen einfachen Keylogger (eine Software, die alle Tastenanschläge mitprotokolliert) lokal auf dem Opfercomputer ausgelesen werden.

Drive-by-Download als Kinderspiel

Loggt sich ein Benutzer in die gefälschte Hotspot-Seite ein, ist die Ausführung eines sogenannten Drive-by-Downloads ein regelrechtes Kinderspiel. Dafür müssen lediglich JavaScript, IFrame oder ein Browser-Exploit in den HTML-Quellcode dieser manipulierten Hotspot-Site eingebaut werden. Der Schadcode wird dann direkt auf den Opfercomputer herunter geladen. Ab dem Moment haben Internet-Kriminelle via Schadsoftware freien Zugang auf den Rechner. Funke ist diesbezüglich desillusioniert: "Das Ausmaß des Schadens, der durch diese Art von Programmen angerichtet werden kann, ist ausschließlich durch die Fantasie des Malware-Autors begrenzt."

All das kann sich in Sekundenschnelle abspielen, ohne dass der Benutzer etwas Ungewöhnliches bemerkt. Im Gegensatz zu früheren Zeiten, als mit Malware- und Netzwerkattacken ausschließlich Schäden auf Computern angerichtet werden sollten und diese Vorgänge erkannt werden sollten, versuchen Internetbetrüger heutzutage, so lange als möglich unbemerkt zu bleiben. So können sie nämlich über einen langen Zeitraum so viele sensible Daten wie möglich abziehen.

Wie sich Anwender schützen können

Benutzer haben jedoch die Möglichkeit, sich vor derartigen Angriffen zu schützen. Im Folgenden werden mehrere Optionen für die Verschlüsselung und Konfigurierung des Betriebssystems analysiert, mit denen sich potentielle Schwachstellen in öffentlichen Netzwerken beseitigt lassen.

Verschlüsselung des Datenverkehrs

Die wirksamste Methode für die Verschlüsselung von zu versendenden Daten ist die Verwendung eines VPN (Virtual Private Network). Bei solch einem Netzwerk wird ein so genannter VPN-Tunnel zwischen einem Laptop (dem Client-Computer) und einem zugeordneten Netz oder Server aufgebaut. Sämtlicher Datenverkehr zwischen diesen beiden Punkten erfolgt in verschlüsselter Form. Zwischengeschaltete Geräte, die die Datenpakete verarbeiten oder weiterleiten, können diese Inhalte nicht interpretieren. Darüber hinaus wird der gesamte Datenverkehr unter Umgehung aller durch den Hotspot-Betreiber blockierten Ports über diese Verbindung verarbeitet. Oftmals wird der für HTTP-Anfragen genutzte Port 80 nicht blockiert, während andere Ports, wie zum Beispiel Instant Messaging gesperrt werden. Dies gilt auch für über POP3 oder IMAP gesendeten E-Mail-Verkehr.

Der VPN-Server agiert als Zielverbindung und muss daher ein vertrauenswürdiger Computer, also Teil einer sicheren Umgebung sein. Dieser Server funktioniert als eine Art verlängerter Arm des Client-Computers, indem er Anfragen an den Zielserver im Internet übermittelt und den gewünschten Inhalt in verschlüsselter Form zurück sendet. Mit dem klassischen Ansatz der Eingabe von Benutzernamen plus Passwort können sich die Nutzer in das VPN-System einloggen.

VPN-Server einrichten

VPN-Server können auf unterschiedlichste Art und Weise eingerichtet werden, wobei sich vor allem drei Varianten anbieten. Erstens gibt es den geleasten Computer in einem Rechenzentrum. Das sind physische und virtuelle Server. Sie sind insbesondere für Personen attraktiv, die diese Art von Computer etwa als Host für ihren eigenen E-Mail- oder Webserver bereits nutzen. Hierfür ist eine statische IP-Adresse erforderlich, um jederzeit eine Verbindung aufbauen zu können. Wird dagegen eine dynamische IP-Adresse verwendet, muss DynDNS genutzt werden (= dynamischer Domain-Name-System, ein System, das in Echtzeit Domain-Name-Einträge aktualisieren kann).

Virtuelle Server sind besonders attraktiv, da sie bereits ab zehn Euro monatlich zu haben sind und der VPN-Server-Dienst nur sehr geringe Ressourcen in Anspruch nimmt. Allerdings ist der Anstieg des Datenverkehrs unbedingt zu berücksichtigen, denn im Falle einer VPN-Kommunikation werden sämtliche Daten über diesen Server geleitet.

Zweitens kann der Dienst auch von einem Computer zu Hause wahrgenommen werden. Vorausgesetzt, man verfügt über einen Breitbandanschluss, kann der externe Computer als Teil des Home-Netzwerks eingebunden werden. Mit dieser Möglichkeit genießt man zudem den Vorteil, jederzeit auf seine persönlichen Daten zugreifen zu können. Dazu benötigt man aber einen Computer mit Network-Share-Option, der rund um die Uhr eingeschaltet bleibt, oder ein NAS-Speichergerät NAS = Network Attached Storage).

Drittens bieten eine Reihe unterschiedlicher Serviceprovider auch VPN-Dienste für Reisende und mobile Mitarbeiter an. Diese Unternehmen stellen Server zur Verfügung, mit denen zu einem Entgelt von ungefähr zehn Euro pro Monat sichere VPN-Verbindungen aufgebaut werden. Die Bandbreite der angebotenen Tarife ist sehr groß. Nutzer können also den für ihre Ansprüche am besten geeigneten Tarif auswählen. Die Nutzungsbedingungen des jeweiligen Anbieters sollten allerdings genau beachtet werden.

Ein VPN-Netz verringert zwar die Geschwindigkeit der Datenübertragung. Seit Einführung von Draft-N, mit dem theoretisch WiFi-Übertragungsraten von 300 Mb/s erreicht werden, ist dieser Nachteil mittlerweile aber zu vernachlässigen. Das gilt vor allem dann, wenn keine großen Datenvolumen ausgetauscht werden.

UMTS als Option

UMTS gilt als eine weitere Option, die dem Nutzer zudem größere Bewegungsfreiheit verspricht. Hier hat man unabhängig von der jeweiligen WiFi-Technologie Zugang zum Internet, sofern man sich in einer Gegend mit Funksignal-Empfang aufhält. Die Netzabdeckung ist mittlerweile über weite Strecken gewährleistet - in Europa ist der Empfang zu 60 bis 90 Prozent gegeben, wobei der Prozentsatz je nach Land und Ballungsraum variiert. Dies steht in komplettem Gegensatz zu den Hotspots, die trotz ihrer großen Zahl nur eine kleine Reichweite haben.

Die UMTS-Technologie ist inzwischen auch relativ günstig zu haben. So bekommt man einen Basistarif für ungefähr fünf Euro pro Monat. Ein je vom Provider abhängiges Downloadvolumen beziehungsweise eine Flatrate kosten monatlich zudem zirka 30 Euro. Diese Methode der Online-Nutzung ist so sehr preisgünstig. Dies vor allem, wenn man sie etwa mit den exorbitanten Kosten eines WiFi-Zugangs in einem Hotel vergleicht. Ein weiterer Vorteil besteht in der Kostentransparenz: Böse Überraschungen sind fast ausgeschlossen.

Während das UMTS-Netzwerk aus Gründen der Kompatibilität auf dem GSM-Standard der zweiten Generation basiert, werden GSM-Systeme der dritten Generation ebenfalls unterstützt. Aus Sicherheitsgründen sind letztere vorzuziehen, da die Algorithmen zur Nutzer- und Netzwerkauthentifizierung optimiert worden sind. Zudem erfüllen Übertragungsraten, die via HSDPA (= High Speed Downlink Packet Access) und HSUPA (= High Speed Uplink Packet Access) theoretisch bis zu 14,6 Mb/s betragen können, die meisten Anforderungen weitaus besser. Sehr wahrscheinlich wird sich UMTS daher vor allem bei Vielreisenden als willkommene Alternative zur WiFi-Technik durchsetzen, da die Grundtarife statt in kürzeren Zeiträumen auf Monatsbasis abgerechnet werden.

Weitere Sicherheitsvorkehrungen

Zusätzlich zu der Verschlüsselung von Daten, die hauptsächlich zum Zweck der Sicherheit erfolgt, sind bei der Konfiguration und Einrichtung eines Computers weitere Aspekte zu beachten:

Um einen problemlosen Datenaustausch zwischen Computern sicherzustellen, können Ordner und Verzeichnisse innerhalb eines Netzwerks gemeinsam genutzt werden - unabhängig davon, ob es sich um ein drahtloses oder drahtgebundenes Netzwerk handelt. Je nach Konfiguration der Daten können Netzwerk-User entweder direkt mittels Lese- und/oder Schreib-Erlaubnis darauf zugreifen oder unter Eingabe eines Benutzernamens und Passworts eine Zugangserlaubnis anfordern. Daher ist es unbedingt notwendig, dass die Datei-Sharing-Funktion nach der Datenübertragung wieder deaktiviert wird.

Ist der Vorrat an Musikdateien und anderen Medien für den Urlaub also aufgestockt und sind bestimmte interne Unternehmensdokumente, die man überarbeiten möchte, übertragen, sollte man das Ausloggen nicht vergessen. Man möchte ja nicht all seine Netzwerk-Partner dazu einladen, ungeniert in den eigenen Dateien zu stöbern. Zwar bieten zahlreiche Hotspot-Setups auch Technologien zur Abschirmung jedes Computers von den anderen Teilnehmern im Netzwerk, jedoch existiert keine direkte Methode, das tatsächliche Vorhandensein dieser Funktion auch zu überprüfen.

Wegen Hackerangriffen: Backups verschlüsseln

Obwohl die Deaktivierung aller gemeinsam genutzten Laufwerke die Datensicherheit erheblich verbessert, bleibt immer noch die Gefahr eines direkten Hacker-Angriffs, durch den sämtliche Daten auf dem Computer lesbar gemacht werden. Ein derartiger Angriff ist natürlich immer gefährlich. Dreht es sich um sensible Daten, ist das Risiko jedoch um einiges höher. Insbesondere für solche Daten sollte zur weiteren Verbesserung des Sicherheitsniveaus ein Daten-Backup auf andere Speichermedien ausschließlich in verschlüsselter Form erfolgen.

Programme hierfür sind mittlerweile kostenlos erhältlich und werden als GPL-Software (General Public License) vertrieben. Mit ihnen können verschlüsselte Containerdateien erstellt werden, die sich nur mit einem Passwort öffnen lassen.

Die für die Erstellung dieser Container verwendete Verschlüsselung ist sehr stark. Sogar ein Supercomputer, der die Brute-Force-Methode anwendet, würde Jahre benötigen, sie zu knacken. Eine Voraussetzung für einen ausreichend hohen Schutz ist natürlich ein entsprechend sicheres Passwort. Dieses sollte aus mehr als acht Zeichen bestehen und sowohl Groß- als auch Kleinbuchstaben sowie Zahlen und nicht-alphanumerische Symbole enthalten. Auch hier gilt: eine Containerdatei nur bei Bedarf öffnen und unmittelbar darauf wieder schließen. Letztendlich ist auch der sicherste Tresor nutzlos, wenn die Tür offen stehen bleibt. In dem Maße, wie die Sicherheit von WiFi-Netzwerken verbessert wird, haben diese Vorsichtsmaßnahmen einen weiteren Vorteil: Geht der Laptop verloren, bleiben private Daten auch weiterhin privat.

Ein weiterer wichtiger Punkt ist die Implementierung einer effizienten IT-Sicherheitslösung. Ein Basisschutz vor Schadcode sollte zur Standardausrüstung gehören. Für das hier diskutierte Anwendungsgebiet sind zudem auch Module zum Netzwerkschutz, insbesondere eine Firewall und ein HIPS-System (Host Intrusion Prevention System), notwendig. Denn wie gut kann die sicherste Netzwerk-Verbindung sein, wenn bereits das Quellsystem kompromittiert ist? Die Software führt komplexe Analysen zur Bewertung unbekannter Programme auf dem PC durch. Sie liefert eine Einstufung der Bedrohungen und darauf basierend die Zuordnung von Zugangsrechten. Wird ein Programm als verdächtig eingestuft, erhält es keinen oder nur begrenzten Zugang zu wichtigen Ressourcen wie Betriebssystem, Netzwerk, vertraulichen Daten, Systemprivilegien und bestimmten Geräten. Dadurch wird das Risiko einer Infektion durch Schadcode gemindert.

Updates: Lästig aber wichtig

Für viele Nutzer gibt es einen regelmäßig sich wiederholenden Anlass zur Verzweiflung: In Abständen von wenigen Tagen zeigt eines der installierten Programme - oder auch das Betriebssystem selbst - die Verfügbarkeit eines neuen Updates an. Mit der Installation von Updates ist immer auch eine gewisse Wartezeit verbunden. Einer der Gründe, warum Benutzer sich nur mit Widerwillen dieses Themas annehmen, ist darin begründet, dass die mit der Installation der Updates verbundenen Änderungen in der Regel nicht sichtbar sind. Dennoch haben sie den Zweck, Sicherheitslücken zu schließen und so den Rechner besser vor Angriffen zu schützen. Es ist also wichtig, sich in Geduld zu üben und Updates stets zu installieren - sie dienen letztendlich der eigenen Sicherheit.

Der Mensch als Fehlerquelle

Die Verbesserung von Schutz und Sicherheit hängt aber nicht nur von der Technik ab. Die Nutzer selbst müssen ihren eigenen Aktivitäten stets erhöhte Aufmerksamkeit widmen. So muss man sich immer fragen, in welchem Maße man dem WiFi-Netzwerk vertrauen kann, mit dem man sich verbinden möchte. Das ist nicht immer einfach. Grundsätzlich sollte man unbekannten Netzwerken mit einer gesunden Dosis Skepsis begegnen.

Keine Plug-and-Play-Lösung in Sicht

Leider übersteigen die derzeit existierenden Methoden zur Verschlüsselung von drahtlosem Datenverkehr häufig das Know-how der User. Eine Plug-and-Play-Lösung ist bisher nicht in Sicht. Würde eine solche Lösung auf den Markt kommen, müsste sie von den Hotspot-Providern akzeptiert und angeboten und schließlich auch von den Betriebssystemen unterstützt werden. Es ist also offensichtlich, dass selbst im Falle der Entwicklung eines Standards dessen Erfolg immer noch von einer ganze Reihe von zusätzlichen Faktoren abhängt. (jm)