Was bei Wireless LANs zu beachten ist

Spagat zwischen Mobilität und Sicherheit

11.10.2002
MÜNCHEN (hi) - Kaum eine Netztechnik wird in diesem Jahr so heiß diskutiert wie das Thema Wireless LAN (WLAN). Während die einen vor den Sicherheitsrisiken der lokalen Funknetze warnen, loben die anderen deren Potenzial: Mit ihnen könnte der lästige Kabelverhau bei der Vernetzung der Vergangenheit angehören, und in den Metropolen könnte das Verfahren den Mobilfunktechnologien GPRS und UMTS den Schneid abkaufen.

Für die einen sind die lokalen Funknetze (WLANs) gemäß den IEEE-Standards 802.11b und 802.11a schlicht Teufelszeug. Aus technischem Spieltrieb und Bequemlichkeit, so der Vorwurf der Kritiker, werde mit den WLANs die Sicherheit ganzer Unternehmensnetze gefährdet und der Datenspionage Tür und Tor geöffnet. Aktionen wie der Wardriving Day am 31. August 2002, an dem Experten die Sicherheit der WLANs testeten, scheinen diese Bedenken zu untermauern. In über der Hälfte der drahtlosen Netze wäre ein Einbruch möglich gewesen.

Sicherheits-Features

Muss nun ein potenzieller WLAN-Nutzer, der etwa wegen Denkmalschutzvorschriften keine klassischen Ethernet-Kabel verlegen darf, auf die Funktechnologie verzichten? Mitnichten, wenn die Netzverantwortlichen bei der Installation einige Kniffe beachten und die standardmäßigen Sicherheits-Features der WLANs überhaupt nutzen. So erschwert etwa das Verfahren WEP (Wired Equivalent Privacy), auch wenn es bereits vor längerer Zeit geknackt wurde, ungebetenen Gästen die Arbeit. Ein weiterer Schritt wäre die Verwendung von Netzwerknamen (Service Set Identification = SSID), die nicht selbsterklärend und deshalb nicht einfach zu erraten sind. Die Verwendung der Default-Einstellung "Any", mit der die Geräte ausgeliefert werden, kommt geradezu einer Einladung gleich.

Ferner bieten fast alle Access Points - so heißen die Zugangspunkte, über die Funkkarten Zugang zum Netz erhalten - die Option, die MAC-Adressen der WLAN-Karten zu überprüfen. Hierbei handelt es sich um eine weltweit einmalige Kennnummer, die jede Netzkarte vom Hersteller bekommt. Werden nun die Access Points so konfiguriert, dass nur fest eingetragene MAC-Adressen mit ihnen kommunizieren dürfen, ist für ungebetene Gäste die Kontaktaufnahme beim Lauschangriff deutlich schwieriger.

Mehraufwand für den Administrator

Allerdings bedeutet diese Vorgehensweise für den Netzadministrator einen erheblichen Mehraufwand, denn die verwendete Funkkarte ist eigens freizuschalten. Zudem widerspricht dieser Ansatz dem Gedanken der mobilen Freiheit, da es dann etwa nicht mehr ohne Vorarbeiten möglich wäre, Gästen in einem Besprechungsraum einen temporären Zugriff auf Informationen via WLAN einzuräumen.

Mit darüber hinausgehenden Maßnahmen lässt sich der Schutz weiter verbessern. Experten raten etwa, ein Zugriffsprotokollsystem zu verwenden. WLAN-Benutzer erhalten dabei erst dann Zugriff, wenn sie über einen Radius-Server eindeutig authentifiziert sind. Ebenfalls empfehlenswert ist die Verwendung von VPNs, um die Daten mit Hilfe einer End-to-End-Verschlüsselung gesichert zu übertragen. Um überhaupt etwaige Angriffsversuche erkennen zu können, ist zudem die Installation eines Intrusion-Detection-Systems in Erwägung zu ziehen.

Kommen diese Verfahren zum Einsatz, so kann möglicherweise auf WEP verzichtet werden. Verzicht ist meist auch bei den herstellerspezifischen Sicherheitsmaßnahmen angesagt. Leugnete die IT-Industrie anfangs noch die Sicherheitsrisiken von WLANs, die dem Standard 802.11b entsprechen, besserten die Hersteller später nach. Dabei kocht jedoch fast jeder sein eigenes Süppchen: Der eine verlängerte die WEP-Schlüssellänge, der andere ersetzte den verwendeten Algorithmus RC4 durch Triple DES (Data Encryption Standard) und andere Verfahren. Methoden, die zwar mehr Sicherheit schaffen, jedoch einen gravierenden Nachteil haben: Sie sind proprietär.

Wer sich beim Aufbau und Betrieb eines WLAN nicht auf einen Hersteller festlegen will, kommt nicht umhin, WLAN-Equipment mit dem Wifi-Zeichen zu kaufen. Dieses Logo der etwa 140 Hersteller umfassenden Wireless Ethernet Compatibility Alliance (Weca) soll das Zusammenspiel der Komponenten unterschiedlicher Firmen garantieren. Kleinster gemeinsamer Nenner ist dabei der WLAN-Standard 802.11b, und der sieht nur das diskreditierte WEP-Verfahren als Sicherheitsmaßnahme vor. Darüber hinausgehende Standards des Normungsgremiums Institute of Electrical and Electronics Engineers (IEEE), die eine höhere Sicherheit gewährleisten sollen, haben bislang in die Wifi-Definition keinen Einzug gehalten. Ferner bewerben etliche Hersteller Funktionen als Standards, für die heute lediglich IEEE-Entwürfe existieren. Unter Kompatibilitätsaspekten ist deshalb eine genaue Unterscheidung zu treffen.

Planung der Funkzellen

Auch wenn die Frage nach geeigneten Sicherheitsmaßnahmen den größten Raum bei der Planung und Einrichtung eines Wireless LAN einnimmt, sollten Aspekte wie nutzbare Transferrate oder Reichweite der Funkzellen nicht vergessen werden. So ist etwa zu bedenken, welche Daten über das drahtlose Netz übertragen werden. Für eine Entwicklungsabteilung mit großen CAD/CAM-Dateien dürfte die nutzbare Bandbreite von 5 bis 6 Mbit/s bei 802.11b wohl kaum ausreichen. Hier empfiehlt sich das Warten auf Geräte gemäß IEEE-Standard 802.11a, denn dieser sieht Bruttotransferraten von bis zu 54 Mbit/s vor.

Ein Umschwenken auf 802.11a hat jedoch wiederum Konsequenzen für das geplante Layout der drahtlosen Infrastruktur. Theoretisch hat das schnellere WLAN nämlich eine geringere Funkreichweite als das heute übliche 802.11b. Damit sind etwa zwei- bis viermal so viele Access Points erforderlich, ein Gesichtspunkt, der auch bei Migrationsplänen von 802.11b auf 802.11a zu beachten ist. Dafür wartet 802.11a mit einem anderen technischen Vorteil auf: Die Access Points verfügen über acht parallel nutzbare Funkkanäle, während die heute gebräuchlichen WLANs nur drei verwendbare Kanäle bieten. In der Praxis hat dieser Unterschied zur Folge, dass sich auf gleichem Raum mehr Access Points gemäß IEEE 802.11a installieren lassen und somit einer größeren Zahl an Benutzern der gleichzeitige drahtlose Netzzugriff erlaubt ist - allerdings zum heutigen Zeitpunkt auch zu deutlich höheren Kosten.

Abstrahlverhalten der Antennen

Ein weiterer Fallstrick bei der Konzeption der Funknetze lauert in der unterschiedlichen Richtcharakteristik der Antennen. Wird etwa in der Evaluierungsphase ein Netz mit dem Equipment von Hersteller A konzipiert und eine flächendeckende Ausleuchtung erzielt, so können später - falls dann doch die Entscheidung zugunsten von Produzent B getroffen wurde - Funklöcher entstehen, wenn dessen Antennen ein anderes Abstrahlverhalten aufweisen. In Zusammenhang mit der Funkabdeckung ist zudem auf potenzielle Störungen durch elektrische Geräte oder Industrieanlagen zu achten, da diese die Reichweite drastisch reduzieren können. Was also in den typischen Teststunden der IT-Abteilungen zu nachtschlafender Zeit noch funktioniert, kann am nächsten Morgen im Produktivbetrieb der Maschinen aufgrund von Störungen versagen.

Gerade die letzten beiden Punkte spielen bei einem verstärkt in jüngster Zeit propagierten WLAN-Einsatzszenario eine Rolle: Die Technologie, ursprünglich als Ersatz oder Ergänzug der fest verdrahteten LANs in Unternehmen konzipiert, soll in Form von Hotspots auch unterwegs den mobilen Zugang zu Datendiensten wie dem Internet eröffnen. Gerade die im Vergleich zu UMTS deutlich geringeren Investitionskosten der WLANs - dank der Standardkomponenten aus dem LAN-Geschäft - locken auch kommerzielle Betreiber. Entsprechend schätzen Marktforscher das Umsatzpotenzial mit europäischen Hotspots bereits kurzfristig auf zwei bis zehn Milliarden Euro pro Jahr. So betreibt eine Tochter des schwedischen TK-Unternehmens Telia schon 400 Hotspots. British Telecom setzt in Großbritannien ebenfalls auf diese Form der drahtlosen Vernetzung und konzipiert ihr im Juni in Betrieb gegangenes Netz bis 2005 mit 4000 Hotspots. In Österreich will das Unternehmen Metronet bis Jahresende 200 Hotspots in Ballungsgebieten wie Wien, Graz, Linz oder Salzburg errichten.

Verglichen mit diesen Zahlen, befindet sich die deutsche Hotspot-Szene, Branchenkenner gehen von etwa 100 professionellen Funkinseln aus, gerade in der Startup-Phase und ist über Pilotprojekte noch nicht weit hinausgekommen. Stellvertretend für die vielen Hotspots seien hier nur einige Beispiele genannt, um das Potenzial des Verfahrens zu verdeutlichen.

Funknetze als Hotspots

Mit "Airlan" haben etwa die Passagiere des Münchner Flughafens die Möglichkeit, in den Abflugbereichen den mobilen Datenfunk zu nutzen. Selbst beim Griff zur kühlen Maß in einem Biergarten braucht der Geschäftsreisende in München kein schlechtes Gewissen zu haben, dass ihm womöglich wichtige elektronische Post entgeht. In der warmen Jahreszeit können die Besucher des Englischen Gartens im "Seehaus" oder am "Chinesischen Turm" via Wireless LAN online gehen. Der zeitlich begrenzte Versuch läuft unter dem Namen "E-Garten.net".

Dem Hauptvorteil der Hotspots, mit relativ wenig Aufwand an stark frequentierten Orten einen mobilen Internet-Zugang zu offerieren, können sich auch die Messegesellschaften nicht entziehen. So sammelt etwa die Messe München in dem an die Messehallen angeschlossenen International Congress Center München (ICM) Erfahrungen mit WLAN-Zugängen. Nach den positiven Erfahrungen auf der CeBIT 2002 will die Deutsche Messe AG in München sogar das gesamte Ausstellungsgelände mit Hotspots versorgen.

Wem tagsüber im Messetrubel die nötige Ruhe fehlt, der kann künftig dank Wireless LAN auch in seinem Hotelzimmer problemlos weiterarbeiten. Hotelketten wie etwa die Steigenberger Hotel AG oder die zur Accor-Gruppe gehörenden Novotels betreiben erste Tests und liebäugeln mit einer flächendeckenden Einführung in ihren Herbergen. Dabei profitieren die Hotels wie etwa das Novotel in Offenbach in zweifacher Weise von der Funklösung: Neben dem zusätzlichen Dienst für den Gast, der nicht mehr mit Schweizer Taschenmesser und Lüsterklemmen bewaffnet nach der Telefondose für das Modem suchen muss, vereinfacht das Funknetz die interne Logistik der Hotels. Mit mobilen Rechnern, etwa PDAs, ausgestattet, können die Hotelangestellten beispielsweise den Verzehr aus der Minibar direkt erfassen und an das Abrechnungssystem übertragen.

Wahl der Abrechnungsmodelle

Die Betreiber dieser Hotspots haben neben den beschriebenen systemimmanenten Problemen noch mit einer anderen Schwierigkeit zu kämpfen: Wie tarifieren sie diesen Mehrwertdienst? Verzichten sie etwa ganz darauf und gehen davon aus, "dass sich der Hotelgast den Hotspot-Zugang über den Zimmerpreis erschläft", wie eine Hotelkette argumentiert? Oder zahlen die Gäste eine Tagespauschale, die über das hausinterne Abrechungssystem in Rechnung gestellt wird? Entsprechende Komplettlösungen zum Aufbau von Hotspots vermarkten etwa 1stwave, Echzell, oder Datenaura aus Hamburg.

Ein Abrechungsmodell, das jedoch für Messen, Flughäfen oder den E-Garten.net nicht in Frage kommt, da für sie der einzelne Hotspot-Nutzer ja ein unbekannter User ist. Eine Option, auch in diesem Fall das Surfen im globalen Netz zu tarifieren, eröffnen so genannte Voucher. Hier erwirbt der Kunde eine Karte mit dem Zugangscode zu einem Wireless LAN und erhält für einen Fixbetrag ein begrenztes Datenvolumen oder eine Zahl von Surf-Stunden.

Glaubt man Jürgen Bleser, CEO der auf Abrechnungssysteme spezialisierten Bluesign Software GmbH in Eschborn, ist der Ansatz mit im Voraus zu bezahlenden Vouchern nur ein erster Schritt. "Ich kann mir kaum vorstellen, dass der Geschäftsreisende mit einem Stapel Vouchern im Gepäck reist, um sich in die unterschiedlichen Hotspots einzuloggen", erklärt Bleser. Während eine Abrechnung in den Hotels, in denen man die Kundendaten des Reisenden ja kennt, ähnlich wie beim Pay-TV über die Zimmerrechnung erfolgen kann, ist es an Flughäfen oder auf Messen schwieriger.

Ein weiteres Business-Modell wäre die Authentifizierung über die Kundenkarten verschiedener Bonusprogramme wie Payback oder Miles & More. Darüber hinaus kann sich Bleser auch eine Partnerschaft zwischen den jeweiligen Hotspot-Betreibern und den Mobilfunkanbietern vorstellen, die sich die Gebühren teilen würden. Über seine persönliche Mobilfunkkennung könnte sich der Benutzer dann an jedem Hotspot identifizieren. Die angefallenen Gebühren würden ihm auf seiner Mobilfunkrechnung belastet. Das Verfahren hätte für Bleser zudem einen weiteren Vorteil: Die Controlling-Abteilungen der Unternehmen hätten die Kommunikationskosten der mobilen Mitarbeiter auf einer Rechnung und somit weniger Verwaltungsaufwand.

Ob sich diese Form der Abrechnung über die Mobilfunkbetreiber etabliert, steht zurzeit noch in den Sternen. Angesichts ihrer Milliardenschulden in Sachen UMTS geben sich die Carrier gegenüber der ungeliebten Konkurrenztechnik WLAN, die zudem schneller und kostengünstiger als der einstige Shootingstar UMTS ist, sehr zugeknöpft. Eine Haltung, die sich für die Mobilfunker bitter rächen könnte. Wenn nämlich diese nicht das Roaming zwischen den einzelnen Hotspots organisieren und die Abrechnung übernehmen, kann sich laut Billing-Spezialist Bleser womöglich eine neue Form der Netzbetreiber etablieren: die Virtual Wireless-Internet-Service-Provider (V-WISP). Da es nicht zu den Kernkompetenzen von Hotspot-Betreibern wie Flughäfen, Messen und anderen gehört, Hunderte von Roaming-Verträgen mit anderen Betreibern zu verhandeln, seien die V-WISP als eine Art Makler erforderlich, um dem Anwender ein möglichst einheitliches Einlogg- und Abrechnungsverfahren zu offerieren. Ohne dieses, darin sind sich die meisten Experten einig, werden die Hotspots nur ein Nischendasein führen.

Sollten sich die Wireless LANs mit einem wie auch immer aussehenden Abrechnungssystem als Hotspot etablieren, würden die Anwender davon doppelt profitieren: Sie müssten nicht in neues, teures Mobilfunkequipment, investieren, sondern hätten mit ihren im Corporate Network verwendeten Funkkarten auch unterwegs mobilen Zugang zu den Datennetzen. Und das wohl günstiger und schneller als mit den Mobilfunknetzen der dritten Generation.

WLAN-Aussteller

Acer Computer,

Halle B2, Stand 121,

D-Link,

Halle B4, Stand 326,

FMN - Fernmeldetechnik GmbH,

Halle B4, Stand 128,

Huber & Feneberg GmbH,

Halle B4, Stand 145,

Kumaident GmbH,

Halle B2, Stand 162,

Kumatronik Industrieprodukte GmbH,

Halle B2, Stand 162,

Lancom Systems GmbH,

Halle B4, Stand 245,

M3-Connect GmbH,

Halle B4, Stand 511,

Mms Communication AG,

Halle B4, Stand 119,

MTG-Kommunikations-Technik GmbH,

Halle B4, Stand 322,

RF-System,

Halle A3, Stand 535,

SKM Spezialkabel München GmbH,

Halle B4, Stand 321,

Teac Deutschland GmbH,

Halle B4, Stand 540.

Obige Liste erhebt keinen Anspruch auf Vollständigkeit und beruht auf Angaben der Messe München. Unteraussteller sind nicht berücksichtigt.