Kommt in Diskussionen die Sicherheit von WLANs zur Sprache, so ist die Stimmung oft von Hysterie und Unbesonnenheit geprägt: Für die einen sind die Funknetze schlicht Teufelswerkzeug, das Unternehmensnetze weit wie Scheunentore öffnet, andere erzählen dagegen stolz, dass ihre WLANs offen seien, um Gästen einen Internet-Zugang zu bieten.
Letztlich sind beide Extremstandpunkte teilweise nachvollziehbar, weshalb vor der Entwicklung einer Sicherheitsstrategie erst einmal die Risiken und Schutzziele definiert werden sollten. Unter dem Strich ergeben sich dann drei Themen, denen das Augenmerk gelten sollte:
Schutz der eigenen Daten im WLAN,
Vermeidung der Störerhaftung (siehe Kasten),
Absicherung der mobilen Geräte, wenn sie unterwegs WLANs nutzen.
Der Schutz des eigenen WLAN beginnt schon bei der Planung. Die Access Points sollten so platziert werden, dass ihre Funksignale möglichst nicht außerhalb des Firmengeländes zu empfangen sind. Teilweise ist dies schon durch Funkantennen mit Richtcharakteristik zu erreichen. Zudem sollten die berüchtigten Access Points auf der Fensterbank, wie sie so oft in kleineren Betrieben anzutreffen sind, vermieden werden. Eine weitergehende Sicherheit auf physikalischer Ebene wird dann jedoch sehr schnell teuer: Metallbedampfte Fenster oder Wände mit funkhemmenden Materialien erfordern hohe Investitionen.
Störerhaftung und WLAN
Wer offene, ungeschützte WLANs betreibt, begibt sich auf rechtliches Glatteis. Werden über das WLAN urheberrechtlich geschützte Dateien ausgetauscht oder verbotene Inhalte (Kinderpornografie, volksverhetzende Schriften etc.) ins Netz gestellt, steht der Betreiber nach Paragraf 1004 BGB (Störerhaftung) in der Verantwortung.
Das haben bereits mehrere deutsche Gerichte bejaht: so etwa das Landgericht Hamburg (AZ: 308 O 407 / 06), das Oberlandesgericht Frankfurt am Main (AZ: 2-3 O 771/06) und das Landgericht Düsseldorf (AZ: 12 O 195/08). Unisono urteilten die Richter, dass der Betreiber eines ungesicherten WLAN für die Rechtsverstöße Dritter zu haften habe und es zumutbar sei, das eigene WLAN mit aktueller Sicherheitstechnik auszustatten.
Allerdings urteilte das Oberlandesgericht Frankfurt in einem anderen Fall (AZ: 11 U 52/07), dass für einen WLAN-Betreiber keine Prüfungs- und Überwachungspflichten bestehen, solange er noch keine Hinweise auf eine widerrechtliche Nutzung durch Dritte hat.
Angesichts der widersprüchlichen Rechtslage kann es eigentlich nur einen Ratschlag geben: Sichern Sie Ihr WLAN ab. Wer hier auf der rechtlich sicheren Seite sein will, kommt letztlich bei der Projektplanung eines Gastzugangs nicht umhin, sich anwaltlichen Rat einzuholen.
Da für diese Maßnahmen in den meisten Fällen kein Geld vorhanden sein dürfte, sollten zumindest alle Sicherheitsmechanismen der WLAN-Technik verwendet werden. Dies beginnt bereits damit, dass der Access Point seinen Namen nicht im Klartext in die Welt hinausfunken sollte. Access Points wie "Arztpraxis XY" oder "Steuerkanzlei ZB" wecken nur die Neugier potenzieller Angreifer.
Verschlüsselung
Zehn Schritte zum sicheren WLAN
Standardmäßiges WEP bietet nur geringen Schutz, da Einbruchs-Tools im Internet erhältlich sind;
Optionen wie MAC-Filter, SSID-Ausschalten nutzen;
WPA bietet mehr Sicherheit;
WPA 2 verschlüsselt stärker, erfordert jedoch entsprechende Hardware;
E-Mail- und Browser-Verkehr per SSL verschlüsseln;
VPNs einrichten, um Daten im WLAN zu schützen;
dedizierte WLAN-Gateways;
WLAN-Switching, um unter anderem Benutzergruppen abzuschotten;
WLAN per Firewall vom restlichen Netz trennen;
bauliche Maßnahmen, um Empfang der WLAN-Signale außerhalb des Gebäudes zu verhindern.
Der nächste Schritt zum Schutz des Datenverkehrs im Funknetz besteht darin, ihn zu verschlüsseln. Hierzu propagierte die Industrie WEP und versprach eine "Wired Equivalent Privacy" für die lokalen Funknetze. Der Traum platzte aber bereits im Februar 2001, als Wissenschaftler der University of California Lücken im WEP-Verschlüsselungsverfahren aufdeckten.
Die Schwächen von WEP vor Augen, entwickelte die Industrie WPA: den "Wifi Protected Access". Im Gegensatz zu WEP wartet WPA mit einer echten Benutzer-authentifizierung und verbesserten Verschlüsselungsverfahren auf. Last, but not least trägt das Verfahren den unterschiedlichen Sicherheitsbedürfnissen von Heimbenutzern und Enterprise-Anwendern Rechnung.
Besserer Schutz mit WPA
Auf den ersten Blick bringt WPA im Klein- und Heimbürobereich hinsichtlich der Authentisierung keine wesentliche Verbesserung gegenüber WEP, denn auch hier wird ein "Preshared Key" verwendet, den der Benutzer beim Einbuchen in das Funknetz eingeben muss. Erfährt ein Angreifer diesen Schlüssel, der auch als Master Key bezeichnet wird, ist die Sicherheit des gesamten Funknetzes gefährdet. Bleibt dieser Schlüssel jedoch geheim, bietet WPA selbst Heimanwendern einen deutlich besseren Schutz als WEP, denn nur Endgeräte mit dem passenden Schlüssel werden im Funknetz akzeptiert.
Für den Einsatz in Unternehmensnetzen wartet WPA zudem mit einer verbesserten Benutzerauthentifizierung auf. Um die Schwachpunkte des "Preshared-Key"-Verfahrens zu beseitigen, empfiehlt die Wifi Alliance Unternehmen bei der Authentifizierung den aus kabelgestützten LANs bekannten IEEE-Standard 802.1x.
Von den Feinheiten der unterschiedlichen EAP-Varianten abgesehen, funktioniert die Authentifizierung bei diesem Ansatz vereinfacht ausgedrückt folgendermaßen: Der Benutzer, der sich an einem Access Point einloggen will, weist sich über diesen am Authentication Server mit einem digitalen Zertifikat in Form von Benutzername und Passwort, Smartcard etc. aus. Hat der Server die Berechtigung des Benutzers überprüft, sendet er den Master Key sowohl an den Access Point als auch an den Client. Anschließend überprüfen sich Client und Access Point in einem vierstufigen Verfahren gegenseitig, bevor die eigentliche Datenkommunikation beginnt.
Allerdings gilt WPA seit November 2008 nur noch als bedingt sicher. Die Security-Experten Erik Tews und Martin Beck haben angeblich einen Weg gefunden, wie sich das WLAN-Verschlüsselungsverfahren WPA so weit aushebeln lässt, dass von einem Router an ein Notebook gesendete Daten gelesen, aber auch gefälschte Informationen eingeschleust werden können. Hierzu haben Tews und Beck offenbar das von WPA verwendete Temporal Key Integrity Protocol (TKIP) innerhalb kurzer Zeit (zwölf bis 15 Minuten) außer Gefecht gesetzt. Allerdings soll es ihnen nicht gelungen sein, die Chiffrierschlüssel, die zur Sicherung der Daten von einem Client an den Router gesendet werden, zu knacken. Noch streiten sich Security-Experten und WLAN-Hersteller über die praktische Relevanz des Ansatzes und inwieweit WPA nun als unsicher gelten muss.
Für den User, der nicht auf den Ausgang des Streits warten will, gibt es einen Ausweg: die Migration beziehungsweise das Upgrade auf WPA 2. WPA 2 verwendet den leistungsfähigeren Advanced Encryption Standard (AES) als Verschlüsselungsprotokoll. Zudem nutzt diese Version zur Absicherung anstelle von Passwörtern vom Anwender ausgesuchte Passphrasen, aus denen sie einen Schlüssel generiert.
Wireless Gateways
Eine andere Option zum Aufbau sicherer Funknetze ist der Einsatz von Wireless Gateways. Hier authentifiziert sich der Benutzer mit einem temporären Schlüssel gegenüber dem Gateway.
Einen anderen Weg, um mehr Sicherheit im WLAN zu erzielen, eröffnet das aus den kabelgebundenen Netzen bekannte regelbezogene Switching. WLAN-Switches, auch als WLAN-Controller bekannt, vereinfachen nicht nur die Administration, sondern erlauben auch eine Segmentierung der Funknetze in unterschiedliche Benutzergruppen. Häufig verfügen diese Systeme bereits über eine integrierte Firewall, Intrusion-Detection-Systeme oder ein VPN-Gateway als weitere Schutzmaßnahmen.
WLANs abtrennen
Gerade die Trennung des WLAN vom eigentlichen Netz durch eine Firewall hat sich in Szenarien bewährt, in denen Angriffe wahrscheinlich sind. So lässt sich das Funknetz vom restlichen Unternehmensnetz entkoppeln, und ein erfolgreicher Eindringling hat nicht gleich Zugriff auf die gesamte IT-Infrastruktur. Der WLAN-Verkehr selbst könnte per VPN oder den anderen angesprochenen Methoden geschützt werden.
Ein VPN-Client sollte auch auf mobilen Rechnern eine Selbstverständlichkeit sein, wenn sich Mitarbeiter unterwegs per WLAN-Hotspots mit dem Unternehmen verbinden. Zudem sollten Optionen wie das automatische Verbinden mit gefundenen Funknetzen oder die Möglichkeit von Ad-hoc-Netzen (zwei Rechner kommunizieren per WLAN miteinander) deaktiviert werden. Wer auf Nummer sicher gehen und gleichzeitig seinen Anwendern das Leben erleichtern will, greift zu einem unserer auf Seite 12 vorgestellten Tools und konfiguriert die erlaubten WLANs per Profil vor.