WLAN-Sicherheit: So schützen Sie Ihr Netzwerk
Dank Wireless Local Area Network (WLAN) stecken störende Netzwerkkabel heutzutage nur noch in besonders leistungshungrigen Geräten. Ob Notebook Smartphone oder Kühlschrank: Der Router bringt mittlerweile die meisten Geräte per WLAN ins Internet. Die Verwendung des drahtlosen Netzwerks ist aber mit gewissen Risiken verbunden – denn wenn ein Angreifer das WLAN knackt, kann er auf zahlreiche unterschiedliche Gerätetypen zugreifen, die teilweise kaum geschützt sind. Wer sein drahtloses Heimnetz aber ausreichend absichert, macht unerwünschten Eindringlingen das Leben schwer. Im Folgenden erfahren Sie, wie Sie die WLAN-Sicherheit erhöhen und die Tipps bei der weitverbreiteten FritzBox umsetzen.
Tipp 1: Sicheres Passwort
Hier ändern Sie bei der FritzBox das WLAN-Passwort sowie das Verschlüsselungsverfahren.
Mit einem starken Passwort für das WLAN haben Sie eines der Hauptprobleme bereits behoben. Denn ist der Zugangscode einem Angreifer erst einmal bekannt, ist ihm die uneingeschränkte Anmeldung in Ihrem Netzwerk möglich – und das nicht nur einmalig.
Für ein sicheres Passwort sollten Sie mindestens 20 Zeichen und keinesfalls echte Wörter oder Zahlenfolgen wie Ihr Geburtsdatum verwenden – die lassen sich zu leicht erraten. Wechseln Sie am besten zwischen zufälligen großen und kleinen Buchstaben sowie Zahlen und Sonderzeichen.
Damit Sie das Passwort nicht vergessen, denken Sie sich einen Merksatz als Eselsbrücke aus und verkürzen diesen zu einem Passwort. Aus "Jeden Abend um 18:30 Uhr schmiere ich mir zweieinhalb Brötchen mit Butter, Frischkäse und Kräutern – lecker!" wird so "JAu18:30Usim2,5BmB,FuK–l!". Klingt albern, hilft aber ungemein.
Sofern Ihr WLAN noch mit dem ab Werk eingestellten Passwort geschützt ist, sollten Sie es ändern – denn der Code steht in der Regel auf der Unterseite des Geräts und lässt sich gegebenenfalls leicht abgelesen. Einige Hersteller verwenden sogar ein identisches Passwort für all ihre Netzwerkgeräte.
Besuchern verschaffen Sie am besten per Gastnetz Zugang zum Internet – dieses ist vom regulären Netzwerk getrennt.
So ändern Sie das WLAN-Passwort Ihrer FritzBox: Geben Sie http://fritz.box/ in die Adresszeile Ihres Browsers ein und melden Sie sich mit dem Routerpasswort an. Klicken Sie auf die drei Punkte rechts oben und aktivieren Sie die Erweiterte Ansicht. Klicken Sie links im Menü auf WLAN und Sicherheit. Bei "WPA-Verschlüsselung" und "WLAN-Netzwerkschlüssel" lässt sich das Passwort ändern. Bestätigen Sie mit Übernehmen.
Tipp 2: WLAN-Verschlüsselung
Wenn das WLAN-Verschlüsselungsverfahren nichts taugt, schützt auch das beste Passwort Ihr Netzwerk nicht. Netzwerkgeräte verwenden als Verfahren für gewöhnlich WPA, WPA2 und WPA3. Damit die Verschlüsselung zustande kommt, müssen sowohl Netzwerk- als auch Endgerät das Verfahren beherrschen.
Sehr alte Geräte verwenden nur das Verfahren WPA. Es gilt als unsicher, verwenden Sie stattdessen WPA2 oder (wenn möglich) WPA3. Die Wahrscheinlichkeit, dass eines Ihrer Endgeräte ausschließlich WPA unterstützt, ist heutzutage sehr gering. Sollte dem trotzdem so sein, ist es auch aus einem anderen Grund klug, es nicht mit dem Internet zu verbinden: Es bekommt aufgrund des fortgeschrittenen Alters höchstwahrscheinlich keine Updates mehr und stellt daher ein Sicherheitsrisiko dar. Einige Router besitzen die Option "WPA / WPA2", die beide Verfahren für Verbindungen nutzt. Sehen Sie von ihr ab und entscheiden Sie sich lieber für "reines" WPA2.
So ziemlich alle Router und Endgeräte, die gegenwärtig erhältlich sind, verwenden das Verfahren WPA2. Es gilt als relativ sicher, musste aber bereits mit Updates geflickt werden, da Sicherheitslücken wie "Kr00k" Angreifern in der Vergangenheit Zugang verschafften. Mehr Sicherheit bietet WPA3.
WPA3 ist das neuste und sicherste Verschlüsselungsverfahren für WLAN. Da nicht alle Endgeräte es beherrschen, empfiehlt es sich, im Router die Option "WPA2 / WPA3" zu verwenden (sofern vorhanden). AVMs FritzBoxen unterstützen WPA3 ab der Betriebssystemversion FritzOS 7.20.
So ändern Sie die WLAN-Verschlüsselung Ihrer FritzBox: Klicken Sie im Router-Menü auf WLAN und Sicherheit. Bei "WPA-Verschlüsselung" und "WPA-Modus" lässt sich das Verfahren ändern. Abschließend bestätigen Sie einmal mehr mit Übernehmen.
Tipp 3: Aktuelle Firmware
Firmware-Updates schließen oft Sicherheitslücken.
Halten Sie die Betriebssystemversion Ihres Routers auf dem aktuellen Stand, denn die Software enthält womöglich Sicherheitslücken, die der Hersteller im Idealfall durch Updates schließt. Haben Sie auch einen Blick auf alle verbundene Endgeräte und deren Firmware: Lücken etwa bei Smartphones, Notebooks und Smart-Home-Geräten ermöglichen Angreifern gegebenenfalls den Zugriff auf das WLAN und das Heimnetz. Bedenken Sie das ebenfalls beim Kauf von Handys & Co.: Hinter dem vermeintlichen Schnäppchen könnte sich ein älteres Gerät verbergen, das keine Sicherheitsupdates mehr erhält.
So aktualisieren Sie die Firmware Ihrer FritzBox: Klicken Sie im FritzBox-Menü auf System und Update. Per Klick auf Neues FRITZ!OS suchen fragt die FritzBox ab, ob eine neue Firmware verfügbar ist und ob diese gegebenenfalls zu installieren ist. Im Reiter Auto-Update lassen sich außerdem automatische Updates aktivieren, indem Sie Stufe III: Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren (Empfohlen) wählen. Bestätigen Sie mit Übernehmen.
Tipp 4: WPS nur bei Bedarf
Hier lässt sich bei der FritzBox WPS aktivieren und deaktivieren.
Das Wi-Fi Protected Setup (WPS) ist schon eine praktische Sache: Ohne die Eingabe eines Passworts lassen sich neue Geräte damit schnell mit dem WLAN verbinden. WPS kann aber Risiken bergen.
Beim WPS-PIN-Verfahren erstellt der Router einen Code, den man auf dem Endgerät eingeben muss. Liest der Angreifer ihn aus, gelangt er ins Netzwerk.
Besser ist die WPS-Push-Button-Configuration (WPS-PBC): Wie der Name schon verrät, muss man hierbei eine physische Taste am Router und dem zu verbindenden Gerät drücken. Manchmal verwendet das Endgerät auch eine Software-Taste.
Wenn Sie wirklich sichergehen möchten, dass kein Angreifer über das WPS-Verfahren ins Heimnetz kommt, sollten Sie WPS im Router-Menü ganz ausschalten und es nur für einen kurzen Moment aktivieren, wenn Sie ein neues Gerät per WPS verbinden wollen.
So ändern Sie die WPS-Einstellungen Ihrer FritzBox: Klicken Sie im FritzBox-Menü auf WLAN, Sicherheit und WPS-Schnellverbindung. Hier lässt sich bei WPS aktiv der Haken setzen oder entfernen. Bestätigen Sie anschließend mit Übernehmen.
Tipp 5: WLAN-Zeitschaltung
Die WLAN-Zeitschaltung der FritzBox schaltet das Funknetz zu vorgegebenen Zeiten aus.
Wenn das WLAN nicht eingeschaltet ist, dann kann es auch niemand angreifen – logisch. Viele Router bieten eine WLAN-Zeitschaltung, mit der sich das Netzwerk zu geplanten Zeiten automatisch abschaltet. Das bietet sich in Zeiträumen an, in denen man kein WLAN benötigt – etwa nachts.
So aktivieren Sie die WLAN-Zeitschaltung Ihrer FritzBox: Klicken Sie im FritzBox-Menü auf WLAN, Zeitschaltung und Zeitschaltung für das WLAN-Funknetz verwenden. Nun lässt sich auswählen, ob sich das WLAN jeden Tag um die gleiche Zeit abschalten soll oder ob Sie einen detaillierten Zeitplan erstellen wollen. Bestätigen Sie anschließend mit Übernehmen.
Tipp 6: MAC-Adressenfilter
Mit dem MAC-Adressfilter der FritzBox sperren Sie unbekannte Geräte aus.
Jedem Gerät ist eine einmalige MAC-Adresse zugeordnet, die sich nicht verändern lässt. Mit einem entsprechenden Filter gewähren Sie Ihren PCs, Handys & Co. den Zugang zum Netzwerk, während Sie alle unbekannten Geräte aussperren. Für geschulte Angreifer ist ein solcher Filter kein großes Hindernis, der Nachbar dürfte sich daran aber die Zähne ausbeißen.
Risiko Router: So schützen Sie Ihr WLAN-Netzwerk
Thomas Rau
Immer wieder greifen Hacker Router und Heimnetze an. Sie nutzen aus, dass viele Hersteller kaum für die Sicherheit ihrer Geräte sorgen. Deshalb sollten Sie aktiv werden und Lücken stopfen.
Vergrößern Wir zeigen, wie Sie Ihren Router absichern © Shadow Inspiration /
Jedes WLAN ist unsicher! Ihr Router ist in Gefahr! Hacker kapern Ihr Heimnetz! Mit derart alarmierenden Überschriften wird immer wieder über Sicherheitslücken berichtet, die WLAN und Netzwerk betreffen und damit insbesondere den Internetrouter betreffen. Doch oftmals steckt in diesen Meldungen wenig Substanz, weshalb sie sich häufig als Übertreibung oder seltene Einzelfälle abtun lassen.
Das Problem: Es ist tatsächlich genau so dramatisch. Vor rund einem Jahr testete das Fraunhofer FKIE (Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie) 127 Router sieben großer Hersteller und stellte fast bei jedem Modell Sicherheitsmängel fest – teilweise waren diese derart erheblich, dass sich eine weitere Nutzung des Geräts eigentlich verbietet. Die Probleme im Test reichten von Firmware, für die es selten ein Update oder gar kein Update gibt, über veraltete Routerbetriebssysteme mit Sicherheitslücken bis zu fest hinterlegten und nicht vom Anwender veränderbaren Zugangsinformationen. Genau solche Sicherheitslücken erlauben es Angreifern immer wieder mit erstaunlicher Leichtigkeit, Routereinstellungen zu verändern, Geräte im Heimnetz zu übernehmen und sensible Daten auszuspähen – nicht nur bei den Modellen im FKIE-Test, sondern bei einer Vielzahl von Routern, Repeatern, NAS-Systemen und IP-Kameras, die sich in vielen Heimnetzen befinden.
Ebenso einfach ist es allerdings, diese Attacken abzuwehren: Mit den richtigen Handgriffen führen Sie sogleich die passenden Maßnahmen durch. Dafür müssen Sie aber in der Regel selbst tätig werden: Auch wenn viele Netzwerkhersteller gerne von Automatismen sprechen, mit denen sich die Geräte wie von selbst schützen, reicht das in den meisten Fällen für einen zuverlässigen Schutz nicht aus.
Wir erklären Ihnen anhand relevanter Beispiele, wie Sie aktuellen Sicherheitsproblemen wirkungsvoll begegnen, wie Sie sie bei jedem Gerät beheben und wie Sie vorgehen, wenn es keine schnelle Lösung gibt.
Tipp: 10 goldene Regeln für mehr PC-Sicherheit
Fragattacks: Angriff aufs WLAN
Vergrößern AVM reagierte schnell mit einem Fritz-OS-Update auf die WLAN-Lücke Fragattacks: Seit der Version 7.27 ist sie geschlossen. Auch ältere Router bekommen das Update.
Das Sicherheitsproblem: Fragattacks steht für „Fragmentation and Aggregation Attacks“, da die Lücken dadurch zustandekommen, dass WLAN-Geräte Datenpakete aufteilen (fragmentieren) und zusammenfassen (aggregieren), um sie schneller übertragen zu können. Allerdings kontrollieren sie hierbei nicht umfassend, ob die aufgeteilten und zusammengesetzten Pakete genauso sicher sind wie die ursprünglichen. Auf diese Weise kann ein Angreifer beispielsweise manipulierte Datenpakete unerkannt einschmuggeln.
Warum ist das gefährlich? Selbst aktuelle Sicherheitsstandards wie WPA3 sind grundsätzlich anfällig für Fragattacks. Dort lassen sich die Lücken aber in der Praxis kaum ausnutzen, da dafür der Anwender bestimmte Einstellungen tätigen müsste. Standards wie WPA3 schreiben jedoch lediglich vor, wie ein Router vorgehen muss, um unter anderem den Datentransfer zu verschlüsseln. Ob er das tatsächlich auch so macht, hängt davon ab, wie zuverlässig diese Vorgaben in seiner Software umgesetzt sind: Und weil das oft nur schlampig passiert, lassen sich bei konkreten Modellen dann die Fragattacks-Lücken einfacher ausnutzen, um zum Beispiel Passwörter aus den übertragenen Daten zu stehlen. Das Gleiche gilt vor allem auch, um einzelne Geräte im Heimnetz zu übernehmen, die abgesehen von der WLAN-Verschlüsselung nicht zusätzlich geschützt sind.
Vergrößern In einem Video demonstriert Fragattacks-Entdecker Mathy Vanhoef, wie sich über die Sicherheitslücke auch Smart-Home-Geräte wie eine Lampe manipulieren lassen.
Was Sie jetzt tun müssen: Installieren Sie unbedingt eine aktuelle Firmware für Ihre WLAN-Geräte. Wie es in solchen Fällen üblich ist, hat Mathy Vanhoef, der Entdecker von Fragattacks, die Hersteller vorab über die Sicherheitslücken informiert, damit sie diese bei ihren Produkten schließen können, bevor er seine Ergebnisse öffentlich machte. Eine neue Firmwareversion sollte Ihre Geräte daher schützen.
Fritzbox-Modelle von AVM beispielsweise sind ab Fritz-OS 7.27 vor Fragattacks geschützt – diese Firmwareversion ist für die meisten aktuellen Router bereits verfügbar, darunter die 7590, die 7490 sowie die 7590 AX und die 7530 AX.
Welche Fritz-OS-Version für bestimmte Fritzbox-Router aktuell ist, finden Sie in dieser Übersicht .
Bei TP-Link sehen Sie die Geräte wie auch die Angabe der Firmwareversion , ab der sie gegen Fragattacks gesichert sind. Die entsprechenden Infos liefern Netgear hier und Asus hier nach einem Klick auf „Security advisory für FragAttack“.
Vergrößern Aktivieren Sie im Router die Funktion für ein automatisches Firmware-Update, prüft das Gerät selbstständig, ob es eine neue Version gibt, und installiert sie.
Attacke auf Fritzbox: Anmeldeversuche am Routermenü
Vergrößern Misslungene Anmeldeversuche auf das Routermenü zeigt zum Beispiel die Fritzbox in ihrem Ereignisprotokoll: Hier probieren die Angreifer wahllos verschiedene Benutzernamen und Passwörter aus.
Das Sicherheitsproblem: Im Frühjahr erschraken viele Fritzbox-Benutzer: Im Ereignisprotokoll des Routers fanden sich zahlreiche Einträge für misslungene Anmeldeversuche am Menü: Im Minutentakt erfolgten Angriffe mit scheinbar willkürlichen Benutzernamen, die alle von einer bestimmten IP-Adresse ausgingen. Die Fritzbox lehnte die Anmeldung aufgrund eines falschen Passwortes jedes Mal ab.
Warum ist das gefährlich? Im Fall der Attacke auf die Fritzbox handelte es sich um eher planlose Rateversuche des Angreifers. Doch wie bei vielen anderen Angriffen ist das Ziel der Hacker, Zugriff auf das Routermenü zu erlangen, um dort Einstellungen zu ändern: Dabei geht es aber nicht darum, Ihr WLAN abzuschalten oder Internetbandbreite abzugreifen, denn das würde den meisten Routerbesitzern sofort auffallen. Stattdessen geht es den Angreifern etwa darum, unauffällig einen ungesicherten Fernzugriff einzurichten, um den Router selbst dann noch zu kontrollieren, wenn der Besitzer seine Passwörter ändert. Oder sie leiten über veränderte DNS-Einstellungen den Internetzugriff aus dem Heimnetz auf einen von ihnen kontrollierten Server um. Dadurch fangen sie Daten ab beziehungsweise schleusen Malware in das Heimnetz ein.
Was Sie jetzt tun müssen: Sichern Sie den Zugriff auf das Routermenü mithilfe eines starken Passworts und – falls erforderlich – mit einem speziellen Benutzernamen. Am sichersten ist es, jeweils eigene Nutzerkonten für einzelne Funktionen einzurichten, die nur dafür Rechte haben – wie etwa ein Konto für das Routermenü, eines für den VPN-Zugriff, ein drittes für den Zugang zum Router-NAS et cetera. Das erlaubt zum Beispiel die Fritzbox unter „System –› FRITZ!Box-Benutzer“.
Es ist umso wichtiger, ein individuelles Passwort für das Routermenü zu vergeben, da die Standardpasswörter sich leicht erraten lassen oder für viele Modelle bequem im Internet zu finden sind, wie etwa unter .
Vergrößern Die meisten Attacken sind nur möglich, wenn im Router der Fernzugriff aus dem Internet aktiv ist. Benötigen Sie diese Funktion nicht, sollten Sie sie deshalb unbedingt ausschalten.
Aus dem Internet lässt sich das Routermenü nur attackieren, wenn Sie den Fernzugriff für das Gerät aktiviert haben. Auch beim geschilderten Fritzbox-Beispiel waren nur Router betroffen, bei denen unter „Internet –› Freigaben –› FRITZ!Box-Dienste“ der Internetzugriff zugelassen war. Daher sollten Sie diese Funktion abschalten, wenn Sie sie nicht benötigen, oder sie andernfalls mithilfe eines Benutzerkontos sichern, das Sie nur dafür einrichten – inklusive starkem Passwort. Des Weiteren können Sie den Standardport 443 für den Fernzugriff ändern, um potenzielle Angreifer nicht sogleich darauf zu stoßen, dass Ihr Router von außen zugänglich ist. Einige Modelle bieten auch die Option, den Fernzugriff nur zu erlauben, wenn er von festgelegten IP-Adressen erfolgt.
Siehe auch: 6 Schritte zum optimal geschützten Router
Eine Sicherheitslücke, viele betroffene Geräte
Das Sicherheitsproblem: Im Frühjahr dieses Jahres entdeckten Sicherheitsexperten von Tenable eine massive Sicherheitslücke in Routern von Buffalo. Kurze Zeit später stellte sich dann heraus, dass das Problem nicht nur Modelle dieses Anbieters betraf: Schuld daran war eine fehlerhafte Firmware des Herstellers Arcadyan, der ebenfalls für viele andere Firmen Router fertigt, die diese unter ihrem Namen verkaufen. Aus diesem Grund findet sich die Sicherheitslücke beispielsweise auch in Routern von Internet-Providern wie etwa dem Telekom Speedport Smart 3, den Vodafone-Routern Easybox 903 und 904 sowie der O2 Homebox 6441.
Warum ist das gefährlich? Durch die Sicherheitslücke kann ein Angreifer über einen Fernzugriff die Anmeldung für das Routermenü umgehen. Anstatt die Anmeldeseite direkt aufzurufen, lässt sie sich bei den betroffenen Routern ebenfalls über einen Umweg erreichen – dann fragt das Gerät jedoch keine Zugangsdaten ab. Wie dieser Pfad lautet, muss der Angreifer ausprobieren. Wenn er ihn findet, hat er Zugriff auf die Routereinstellungen.
Vergrößern Auf vielen Internetseiten finden Sie Standardpasswörter für nahezu alle Router: Deshalb dürfen Sie die Werkseinstellungen bei Ihrem Gerät auf keinen Fall unverändert lassen.
Was Sie jetzt tun müssen: Hier finden Sie eine Liste der betroffenen Router wie auch die Firmwareversion, mit der die Sicherheitslücke entdeckt wurde. Sie sollten also auf jeden Fall eine aktuelle Firmware für Ihr Modell installieren – bei einer Vielzahl von betroffenen Geräten wurde die Lücke mit einem Update im August geschlossen. Sicher können Sie jedoch nur dann sein, wenn der Hersteller angibt, dass die neue Firmware den Fehler „CVE-2021- 20090“ behebt – finden Sie keine entsprechende Information beim Download, sollten Sie den Routeranbieter kontaktieren. Allerdings lässt sich auch diese Lücke nur ausnutzen, wenn der Fernzugriff auf den Router eingeschaltet ist.
Darüber hinaus ist es hilfreich, zu recherchieren, von welchem Hersteller der eigene Router tatsächlich stammt. So können Sie schneller reagieren, wenn eine neue Sicherheitslücke bekannt wird – auch wenn Ihr eigenes Modell gar nicht betroffen zu sein scheint: Auf zum Beispiel finden Sie unter den Infos zu einzelnen Modellen auch die Angabe des eigentlichen Herstellers.
WLAN-Sicherheit: So schützen Sie Ihr heimisches Netzwerk
Ein unverschlüsselter WLAN-Zugang ist wie eine offenstehende Tür: Eine Einladung für Menschen, die Böses im Schilde führen. Wir erklären Ihnen die verschiedenen Verschlüsselungsmethoden.
So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de Wer zu Hause ein WLAN nutzt, sollte immer seinen Zugang verschlüsseln. So kann vermieden werden, dass Fremde Zugriff auf persönliche Daten erlangen oder Unbefugte den Internetzugang mitbenutzen.
Konfigurationsoberfläche schützen
So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de Wenn Sie Ihren WLAN-Zugang einrichten oder später Veränderungen an den Einstellungen vornehmen, sollten Sie dies per Kabel tun und nicht per Funk. Die Oberfläche für die WLAN-Einstellungen erreichen Sie dabei im Normalfall bequem über den Web-Browser. Für den Zugang zur Konfigurationsoberfläche sollten Sie ein Passwort vergeben und die Konfiguration per Fernzugriff und via Funk deaktivieren.
SSID-Kennung ändern
Jedes WLAN-Netzwerk trägt einen Namen, die so genannte SSID (Service Set Identifier). Die voreingestellten Werte für Passwörter und den Namen des Netzwerks sollte der Nutzer bei der ersten Inbetriebnahme eines WLAN-Access-Points ändern. Es gab bereits Fälle, bei denen die vom Hersteller voreingestellte SSID Rückschlüsse auf das werksseitige Passwort zuließ. Auch bei der neu gewählten Kombination von Name und Passwort sollte das natürlich nicht der Fall sein. Wie Sie ein sicheres Passwort finden, lesen Sie in einem weiteren Ratgeber.
Einige Router bieten dem Nutzer an, den Namen des Netzwerks (SSID) zu verstecken. Das vergrößert jedoch nur scheinbar die Sicherheit. Im Normalfall versendet jeder WLAN-Access-Point oder -Router in regelmäßigen Abstand seinen Namen und einige weitere Parameter. Durch das Verstecken wird diese Funktion abgeschaltet. Jedoch ist es für versierte Angreifer weiterhin leicht möglich, den Netzwerknamen zu ermitteln. Denn diejenigen Geräte, die sich (berechtigterweise) mit dem Access Point verbinden wollen, senden den ihnen bekannten Netzwerknamen - und das können auch Unbekannte in Reichweite abhören. So erfahren diese die SSID anstatt durch eine Nachricht wie: "Hallo, hier ist [Routername]" eben durch ein: "Bist du da, [Routername]?", was beispielsweise ein Smartphone oder Laptop im Heimnetzwerk sendet.
Verschlüsselung und Authentifizierung mit WPA/WPA2
Die aktuelle Standard-Sicherunsmethode im WLAN, die das Abhören von Funksignalen verhindert, ist WPA2. Das ursprünglich für den WLAN-Standard IEEE 802.11 vorgesehene Verschlüsselungsprotokoll hieß WEP (Wired Equivalent Privacy). WEP hat sich allerdings als unsicher erwiesen und wurde daher durch WPA, beziehungsweise dessen Nachfolger WPA2 abgelöst.
Alte Geräte, die im Auslieferungszustand nur WEP beherrschten, können meist per Firmware-Update auf WPA2 oder zumindest WPA aufgerüstet werden.
Zugangskontrolle mit MAC-Filter: Nur wenig sicherer
Die meisten Access Points bieten eine Zugangskontrolle über MAC-Adressen. Die Sicherheit erhöht der Nutzer dadurch allerdings nur begrenzt.
MAC-Adressen werden von den Hardware-Herstellern vergeben und dienen dazu, jedes Netzwerk-Gerät weltweit eindeutig zu identifizieren. Der Nutzer kann nun zur Zugangskontrolle für ein Netzwerk eine Liste von MAC-Adressen (Access Control List) anlegen und nur Geräten mit diesen Adressen die Nutzung des heimischen WLANs erlauben.
MAC-Adressen lassen sich relativ unkompliziert fälschen. Für einen Angreifer ist es möglich, den MAC-Filter zu überlisten, sobald er die MAC-Adresse eines der berechtigten Geräte ermittelt hat.
Sicherheitsprobleme bei Wi-Fi-Protected-Setup (WPS)
Wi-Fi-Protected-Setup (WPS) soll das Anmelden von WLAN-fähigen Geräten an Routern vereinfachen - ist jedoch mit einer gravierenden Sicherheitslücke behaftet: Eine von verschiedenen möglichen Authentifizierungsmethoden von WPS ermöglicht es Unbefugten nämlich, vergleichsweise schnell Zugang zum Router zu erlangen und dann WPA2-Schlüssel abzugreifen. Bei der WPS-Methode authentifiziert sich das WLAN-fähige Gerät mittels einer 8-stelligen PIN, die es an den Router schickt. Während des Authentifizierungsprozesses gibt der Router dem Gerät dabei an einer bestimmten Stelle bekannt, ob die ersten vier Ziffern korrekt sind. Bei der achten Ziffer handelt es sich um eine Prüfzahl - diese muss zum Knacken nicht bekannt sein. In der Folge müssen also nur noch drei Ziffern erraten werden. Statt 108 verschiedene Kombinationen reduziert sich das Ganze somit auf lediglich 104 + 103 und somit 11 000 Möglichkeiten - bei automatisierten Angriffen eine überschaubare Zahl: Ohne weitere Sicherheitsmaßnahmen ist damit der Router binnen weniger Stunden geknackt.
Abhilfe schafft in erster Linie das Abschalten von WPS. Als Schutzmaßnahme besteht seitens der Routerhersteller auch die Möglichkeit, nach fehlgeschlagenen Anmelde-Versuchen eine bestimmte Verzögerung zu erzwingen - doch auch dies bietet nicht unbedingt Schutz, da das automatisierte Verfahren einfach längere Zeit braucht. Bei Routern, die ständig in Betrieb sind, ist dies also nur eine Geduldsfrage.
Übrigens: Auch andere WPS-Verfahren bergen zumindest theoretisch eine Gefahr. So ermöglicht die Push Button Configuration, zwei Geräte durch Drücken auf einen Knopf an den beiden Geräten in einem zweiminütigen Zeitabstand zu verbinden. Theoretisch ließe sich hier dem WLAN-Router ein Fremdgerät unterschieben, indem der Angreifer dem Druck des Nutzers auf sein eigenes WLAN-fähiges Gerät zuvorkommt.
In unseren weiteren WLAN-Ratgebern erfahren Sie unter anderem, wie Sie Störungen im WLAN vermeiden, wie Sie unterwegs per WLAN-Hotspot online gehen können, oder wie Sie zu Hause Ihr WLAN einrichten.
Anzeige:
Mehr zum Thema WLAN
