FAQ: WLAN sicher nutzen
- Ronald Eikenberg
Wie sicher sind Hotspots?
Worauf muss ich achten, wenn ich mich in ein fremdes WLAN einbuche?
In einem fremden WLAN, etwa einem Hotspot, können Sie niemanden vertrauen und müssen prinzipiell davon ausgehen, dass eingehende sowie ausgehende Daten von anderen Nutzern des Netzwerks mitgelesen werden können. Verbinden Sie sich über VPN mit Ihrem Heimnetz oder nutzen Sie das Angebot eines VPN-Providers, wenn Sie auf Nummer sicher gehen und persönliche Daten vor neugierigen Blicken schützen wollen. In diesem Fall werden die übertragenen Daten verschlüsselt durch das fremde Netz getunnelt. Nutzen Sie in jedem Fall zumindest die verschlüsselte Version einer Webseite (https://…), sofern verfügbar. Die Firefox-Erweiterung HTTPS Everywhere wechselt bei vielen bekannten Seiten wie Facebook automatisch zur verschlüsselten Ausgabe. Zudem sollten Sie Ihren Rechner vor Zugriffen von anderen Nutzern des Netzwerks schützen, da Dienste wie Dateifreigaben ansonsten unter Umständen öffentlich zugänglich sind. Hier leistet die Windows-Firewall seit Windows Vista gute Dienste. Teilen Sie ihr nach dem Eintreten in das fremde Netz einfach mit, dass es sich um ein „öffentliches Netzwerk“ handelt. Dann blockiert die Firewall sämtliche Verbindungsversuche der anderen Netzwerkteilnehmer. Auch bei allen anderen Betriebssystemen sollten Sie sicherstellen, dass keine lokalen Dienste über das Netzwerk erreichbar sind. Nähere Informationen zum Thema finden Sie über den c’t-Link.
Nutzung offener WLANs
Darf ich über ein unverschlüsseltes WLAN meine Mails checken, auch wenn es sich offensichtlich nicht um einen Hotspot handelt?
Nach einem Beschluss Landgerichts Wuppertal (Az. 25 Qs 177/10) ist die Internetnutzung über unverschlüsselte WLANs per se nicht strafbar. Allerdings sollte die Kommunikation mit dem Mailserver unbedingt verschlüsselt erfolgen, da der WLAN-Betreiber und andere Nutzer des Netzwerks ansonsten sowohl die Mails als auch die Login-Informationen problemlos mitschneiden können. Zudem sollten Sie die allgemeinen Hinweise zum Thema „Wie sicher sind Hotspots?“ befolgen.
Router-Einrichtung über Kabel?
Muss ich die Ersteinrichtung des Routers über ein Netzwerkkabel durchführen?
Die Erstinstallation des Routers sollten Sie grundsätzlich über eine Kabelverbindung zum Router durchführen. Sonst können Fremde unter Umständen alle getätigten Einstellungen, einschließlich des gewählten WPA-Passworts und möglicherweise sogar der DSL-Zugangsdaten, unverschlüsselt mitschneiden und sich nach der Aktivierung der neuen Konfiguration wieder regulär am Router anmelden.
WEP, WPA oder WPA2?
Welchen Verschlüsselungsstandard sollte ich wählen?
Bei der Verschlüsselung des WLAN ist WPA2-AES die erste Wahl. Ist die eingesetzte Hardware zu alt, kann man ruhigen Gewissens auf den Vorgängerstandard WPA-AES ausweichen. TKIP kann unter anderem zu Performanceeinbußen führen (siehe c’t-Link unten). Unterstützt die WLAN-Hardware lediglich den WEP-Standard, ist sie definitiv reif fürs Altenteil: WEP ist innerhalb weniger Minuten zu knacken. Bei alten Notebooks und Tablet PCs kann man häufig das WLAN-Modul (Mini-PCI) gegen ein aktuelleres mit WPA-Unterstützung austauschen. Noch einfacher klappts mit einem WLAN-USB-Stick, was beim Verstauen der mobilen Geräte allerdings für einen zusätzlichen Handgriff sorgt.
WPA-Passwort
Worauf muss ich bei der Wahl des WPA-Netzwerkschlüssels achten?
Seien Sie nicht zu bequem! Die meisten Angriffe auf WPA-verschlüsselte Netze sind Brute-Force-Attacken: Der Angreifer probiert dabei sämtliche Buchstabenkombinationen durch. Wörterbücher beschleunigen den Einbruch erheblich, wenn der Betreiber des WLANs bei der Einrichtung nicht kreativ genug war. Bauen Sie also Schreibfehler sowie Ziffern ein und variieren Sie die Groß- und Kleinschreibung. Auf Sonderzeichen sollten Sie allerdings verzichten, da diese durch die Eingabe über das Webfrontend häufig zu Problemen führen und in diesem Fall kein Login in das WLAN möglich ist. Am effektivsten erhöhen Sie die Einbruchszeit über die Länge des Zugangsschlüssels: Ein gut gewähltes Passwort mit einer Länge von 16 Zeichen ist in einem realistischen Zeitrahmen nicht zu knacken. Wurde der Router mit aktiviertem WPA ausgeliefert, sollten Sie dennoch den voreingestellten Netzwerkschlüssel ändern, da man nicht ausschließen kann, dass zumindest Teile davon bekannt oder erratbar sind.
Admin-Passwort
Sollte ich die Web-Oberfläche meines Routers mit einem Passwort schützen?
Selbst wenn Sie allen Nutzern Ihres WLAN-Routers vertrauen und WPA aktiviert haben, sollten Sie die Web-Oberfläche mit einem individuellen Passwort sichern, das sich vom WPA-Passwort unterscheidet. Das gewählte Passwort sollten Sie auf einem Zettel notieren, schließlich greift man eher selten auf das Konfigurationsmenü zu. Nistet sich auf einem Rechner im Netz ein Schädling ein, könnte dieser unbemerkt die Router-Einstellungen manipulieren und etwa Ports für den Zugriff aus dem Internet freigeben, wenn die Web-Oberfläche nicht ausreichend geschützt ist. Aus dem gleichen Grund sollten Sie die eventuell vorhandene Konfigurationsmöglichkeit über das UPnP-Protokoll deaktivieren. Auch Fernwartungsfunktionen bieten eine Angriffsfläche und sollten nur aktiv sein, wenn Sie sie auch nutzen. Prüfen Sie, ob solche existieren und in der Standardkonfiguration möglicherweise sogar bereits aktiviert sind.
WLAN verstecken?
Ist es sinnvoll, den Netzwerknamen meines WLAN-Routers zu verstecken?
Das Abschalten der Ausstrahlung des Funknetznamens (Service Set Identifier, SSID) sorgt nicht für erhöhte Sicherheit. Mit kostenlosen Standardtools, etwa einem Sniffer, können Angreifer die SSID des versteckten Netzwerks herausfinden, da der Verbindungsaufbau zwischen Client und Access Point unverschlüsselt erfolgt – auch wenn eine Verschlüsselung aktiv ist. Vor zufälligen Schwarzsurfern, die einfach nur ins Internet wollen, ist Ihr WLAN ausreichend geschützt, wenn Sie die anderen Tipps auf dieser Seite befolgen.
(rei)
