1. Digital

Bonn/Berlin: Gegen Datendiebe und Mitsurfer: WLAN richtig sichern

Bonn/Berlin : Gegen Datendiebe und Mitsurfer: WLAN richtig sichern

Niemand würde vertrauliche Briefe ohne Umschlag verschicken oder das Handy einem Fremden zum Telefonieren überlassen. Doch etwas Ähnliches passiert täglich unzählige Male. Von den rund neun Millionen privaten WLAN-Netzen in Deutschland ist etwa jedes Sechste nicht gesichert.

Das schätzt der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM). Den Besitzern dieser Netzwerke drohen nicht nur finanzielle Schäden, sondern möglicherweise auch rechtliche Konsequenzen.

„Wenn jemand über Ihren Internetzugang strafbewehrte Inhalte herunterlädt, gelten sie selbst erstmal als Verdächtiger”, erklärt Matthias Gärtner, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn.

Dann könnte es zum Beispiel so aussehen, als habe man sich Kinderpornografie heruntergeladen. Tatsächlich war es aber jemand, der mit seinem Notebook im Auto vor dem Haus saß und nur darauf gewartet hat, für seine Machenschaften einen ungesicherten drahtlosen Zugang zum Internet zu finden.

Ein WLAN-Router oder Access-Point - das Gerät, das dem Rechner den Drahtlos-Zugang ins Internet ermöglicht - sendet nicht nur innerhalb des Hauses. Abhängig von den örtlichen Gegebenheiten, der Stärke der Mauern etwa, reicht das Funknetzwerk mehr oder weniger weit in die Nachbarschaft. Und wer über ein solches Netzwerk mitsurfen will, muss kein Experte sein - es genügen ein paar Klicks mit der Maus.

Hat der Inhaber eines ungesicherten Netzwerks für seinen Online-Zugang keine Flatrate, kann das wilde Mitsurfen für ihn teuer werden. Denn er zahlt die Rechnung dafür. Abgesehen davon bietet ein offenes Netzwerk eine Angriffsfläche für Hacker, die es direkt auf Daten abgesehen haben, die auf den Rechnern im Netzwerk liegen.

Verschlüsselung ist also ein Muss. „Und es ist nicht allzu kompliziert”, sagt Christian Spahr, Sprecher der BITKOM in Berlin. Verschlüsselung bedeutet, aus klar lesbaren Informationen eine nicht ohne weiteres zu deutende Zeichenfolge zu machen. Der Schlüssel ist ein Algorithmus, eine mathematische Formel. In den Frühzeiten von WLAN wurde auf den Standard WEP (Wired Equivalent Privacy) gesetzt.

Doch WEP konnte geknackt werden und ist nach heutigen technischen Möglichkeiten keine sichere Lösung mehr. Trotzdem kann nicht jeder mit seinem PC WEP entschlüsseln - dafür braucht es gewisse Kenntnisse und spezielle Software. WEP sei daher immer noch besser als gar keine Verschlüsselung, rät der Verein „Deutschland sicher im Netz” aus Berlin.

Der direkte und sicherere Nachfolger von WEP heißt WPA (Wi-Fi Protected Access). Doch auch er lässt sich mittlerweile von Profis überwinden. Sicherer ist WPA2. Das BSI rät, WPA2 möglichst zusammen mit einem Pre-Shared-Key (PSK) genannten Passwort zu verwenden. Das heißt dann WPA2-PSK.

Doch viele ältere WLAN-Geräte unterstützen WPA2 noch nicht. Daher ist es besonders bei Verwendung einer der älteren Verschlüsselungsmethoden sinnvoll, weitere Vorkehrungen zum Schutz des WLANs zu treffen.

Jede Netzwerkkarte und jede Drahtlos-Komponente hat eine einmalige Kennzeichnung - die sogenannte MAC-Adresse. Und die Sicherheit des Netzwerks lässt sich erhöhen, indem nur Geräten mit bestimmten MAC-Adressen der Zugang gewährt wird. Am besten wird das gleich bei der Einrichtung des Netzwerks festgelegt.

Häufig werden die MAC-Adressen der Rechner, die sich im jeweiligen WLAN befinden, vom Router oder Access-Point automatisch angezeigt. Der Nutzer muss dann nur noch das Häkchen an der richtigen Stelle setzen.

Um herauszufinden, welche MAC-Adresse der Rechner hat, öffnet man im Startmenü von Windows XP das Programm „Ausführen” und gibt „cmd” ein. Dann öffnet sich ein Fenster, in das der Nutzer „ipconfig/all” eingibt und die Enter-Taste drückt. Die Mac-Adresse des Netzwerkadapters steht hinter „Physikalische Adresse”.

Der Verein „Deutschland sicher im Netz” gibt weitere Tipps für die WLAN-Sicherheit: „Manche WLAN-Access-Points gestatten es, die Sendeleistung und damit die Ausdehnung des Funknetzwerks zu verringern, um auf diesem Wege ebenfalls Eindringlinge fernzuhalten.” Eine weitere Möglichkeit, Angreifer auszusperren, ist es, das WLAN ein Stück weit unsichtbar zu machen. Dazu wird die Bekanntgabe der SSID deaktiviert.

Die SSID ist eine vom Nutzer frei wählbare Bezeichnung für das eigene Funknetzwerk. Bezeichnungen wie „WLAN der Familie XY” seien ungeeignet, so der Verein „Deutschland sicher im Netz”. Solche Begriffe würden „Lauscher und Ganoven” magisch anziehen.

Allerdings darf der Nutzer sich nicht darauf verlassen, dass sein WLAN durch die Deaktivierung der SSID für Angreifer gänzlich unsichtbar ist: Mit dem richtigen Werkzeug machen Hacker auch solche WLANs ausfindig.

Wie auch beim E-Mail-Konto sollten die Passwörter für das WLAN regelmäßig gewechselt werden. Ein gutes Passwort hat dem BSI zufolge mindestens acht Zeichen. Tabu seien Namen von Familienmitgliedern, Haustieren, besten Freunden oder ähnlich simple Begriffe.

Denn sie lassen sich durch sogenannte Wörterbuch-Attacken relativ einfach knacken. Dabei probiert ein Programm zahllose Zeichenkombinationen aus. Besser ist es daher, eine zufällige Folge von Zahlen, Zeichen und Buchstaben zu verwenden.

Wichtig ist es außerdem, voreingestellte Passwörter, etwa bei fabrikneuen WLAN-Routern, schon bei der Einrichtung zu ändern. Hacker kennen diese Voreinstellungen. Darüber hinaus sollte der Nutzer sein Funknetzwerk abschalten, wenn er es gerade nicht benötigt.

WLAN im Ad-hoc- oder im Infrastruktur-Modus