Mancher Zeitgenosse ist schlicht sorglos. Inspiriert durch die Werbung der Internetprovider folgen sie der Einrichtung der gelieferten Hardware in geradezu schlafwandlerischem Glauben, dass die Werkseinstellungen eine schnelle Verbindung ins Internet erlauben und die kleine Anleitung auf dem Waschzettel des Lieferumfangs sie vor jeglichem Unbill beschützt.
Andere, ebenso wenig erfahrene Nutzer glauben das alles nicht und klammern sich an das scheinbar sichere Kabel. Einstecken, sicher, fertig. Mit einem WLAN-Internetradio steigt die Versuchung, der Drahtlos-Verbindung eine Chance zu geben. Komfort steigern, ohne auf Sicherheit zu verzichten? Mit den folgenden Tipps zur Einrichtung Ihres WLAN-Routers ist das kein Problem.
Wie gefährdet ist mein Netz?
Am Anfang steht die Sicherheitsanalyse. Dass eine Arztpraxis, ein Maklerbüro oder ein Industriebetrieb ein potenziell interessantes Angriffsziel für professionelle Hacker darstellt, dürfte nahe liegend sein. Wie steht es aber mit dem WLAN für die eigenen vier Wände?
Viele schätzen ihr Risiko als gering ein. Das stimmt aber nur dann, wenn Sie nicht von zu Hause arbeiten und bei Ihrer Berufstätigkeit nicht mit sensiblen Daten, die kriminelle Begehrlichkeiten wecken, in Berührung kommen. Andernfalls sind gerade private WLAN-Zugänge von führenden Mitarbeitern für Profi-Datenspione das lohnendere Ziel, weil die Sicherungsmechanismen im Privatnetz weit weniger ausgefeilt sind, als jene im gesicherten Datennetz eines Arbeitgebers.
Der freundliche Busfahrer, die fleißige Krankenschwester, sie sitzen normalerweise nicht im Fadenkreuz professioneller Datendiebe. Angriffe gibt es dennoch, doch gehen die meist auf das Konto von Hobby-Informatikern. Sie haben Spaß daran, in fremde Netzwerke einzudringen, den gekaperten Internetzugang für eigene und möglicherweise illegale Zwecke zu missbrauchen, oder die Netzwerkeinstellungen so zu verdrehen, dass der Besitzer morgen nicht mehr ins Internet gehen kann.
Verschlüsselung immer notwendig
Den etwa 20 Prozent der privaten WLAN-Benutzer, die ohne jede Sicherheitsmaßnahme arbeiten, ist kaum noch zu helfen. Ein ganz und gar offenes Netz hat keinerlei Verschlüsselung aktiviert, lässt neue Benutzer zu und teilt ihnen bereitwillig eine IP-Adresse zum Surfen im Internet mit. Ebenso schlecht ist es, die Werkseinstellungen des Routers nicht zu verändern.
WLAN-fähige Router und Access-Points sowie WLAN-Module in Laptops werden oft ohne eingeschaltete Sicherheitsmechanismen ausgeliefert. Auch die Passwörter und der Benutzernamen für das Netzwerk sind immer identisch. Entsprechende Listen über die Werkseinstellungen aller namhaften Hersteller kann man im Internet leicht finden.
Schaut her, hier bin ich...
Einen guten Hinweis erhalten Angreifer bisweilen über die so genannte SSID. Das ist die Kennung, mit der sich ein WLAN-Zugangspunkt zu erkennen gibt. Die Namen der Werkseinstellung verraten meist den Hersteller oder den Internetprovider über den das Gerät bezogen wurde. Die Vermutung liegt dann Nahe, dass ein Netz mit Werkseinstellungen betrieben wird.
Da sich Nutzer beim ersten Kontakt mit der WLAN-Einrichtung schwer tun, zu begreifen, ob die Angaben der SSID später noch wichtig sind, ist die Versuchung groß, für die SSID und das Netzpasswort den selben Begriff zu wählen. Gelangt ein Hacker in das Netz und verwaltet man sein eigenes Netzwerk mit dem Passwort „admin“ - ebenfalls eine beliebte Voreinstellung - muss man sich nicht wundern, wenn der plötzlich der Zugriff auf die eigenen Ressourcen versperrt bleibt.
Mit Tarnkappe auf Sendung
Die SSID lässt sich übrigens ganz auf unsichtbar schalten. Angreifer sehen das Netz erst einmal gar nicht. Es braucht schon Geduld, um mit Netzschnüfflern wie Kismet, die Netzwerkkennung abzufangen. Nachteil der abgeschalteten SSID: Manche WLAN-Radios lassen sich nicht per WLAN verbinden, wenn der Netzwerkname nicht sichtbar ist. Hier muss man das WLAN-Netz zur Einrichtung oftmals aber nur kurz bekanntgeben. Bestand die Verbindung einmal und ist eingerichtet, kann auf die SSID-Aussendung künftig verzichtet werden.
Häck-MAC
Auf modernen Routern kann eine Zugangskontrolle eingeführt werden. Jedes Netzwerkgerät, ob Ethernetkarte, Laptop oder WLAN-Radio hat eine eindeutige Geräteadresse, eine so genannte MAC-Adresse. Man kann den Zutritt zum Netz auf die bekannten Geräte beschränken und diese dem Router sozusagen MAC-namentlich vorstellen.
Selbst bei älteren Fritzbox-Modellen besteht eine einfache Möglichkeit, den Status quo des Netzes einzufrieren. Waren alle Geräte im Netzwerk einmal online, hat der Router alle Adressen eingesammelt. Mit der Auswahlmöglichkeit „Keine neuen WLAN-Geräte zulassen“, kann man die Schotten anschließend dicht machen.
DHCP: Komfort oder Sicherheit?
Ein weiteres vermeidbares Risiko stellt der DHCP-Server dar. DHCP, das steht für Dynamic Host Configuration Protocol. Dieser Dienst versieht jedes Netzwerkgerät mit einer vorübergehenden IP-Adresse. Die Adresse wird benötigt, damit die Geräte untereinander über das Internetprotokoll kommunizieren können. Der DHCP-Server vergibt diese Adressen automatisch. Die automatische Zuweisung stellt ein gewisses Sicherheitsrisiko dar.
Ist ein Angreifer bis zum Bezug der IP-Adresse gekommen, steht er quasi schon im Türrahmen der privaten Festplatte. Die Adressen zwischen Router, PC, Laptop und Webradio können aber ebenso gut fest manuell vergeben werden.
Für ältere WLAN-Webradios der ersten Generation - am ehesten daran erkennbar, dass sie nur den langsamen WLAN-Standard 802.11b beherrschen - sind feste IP-Adressen durchaus ein Problem, weil sie sich fest auf eine automatische Adressenzuweisung verlassen. Für alle modernen WLAN-Internetradios ist die Zuweisung einer festen IP hingegen eine leichte Übung.
Neuerdings erkennen die Radios per Einrichtung sogar, ob ein automatischer Adressbezug gegeben ist. Falls nicht, wechselt das Einrichtungsmenü automatisch auf die Einrichtung einer festen IP-Zuweisung.
WPA muß sein
Die wichtigste Maßnahme, um sein Funknetz zu sichern, ist es, die Funkverschlüsselung einzuschalten. Stehen verschiedene Optionen zur Wahl, sollte man WEP sogleich übergehen, denn ein derart gesichertes Datenschloss kann jeder Hobby-Hacker quasi mit einem Zahnstocher knacken. Nach Möglichkeit ist WPA-2 als Verschlüsselung zu verwenden. Noch sicherer wäre ein Virtual Private Network (VPN), was momentan jedoch von WLAN-Radios noch nicht unterstützt wird.
Runter mit der Sendeleistung
Ebenfalls einfach zu realisieren und wirkungsvoll, ist die Reduzierung der WLAN-Sendeleistung auf das erforderliche Maß. Probieren Sie, Ihre WLAN-Geräte an der entferntesten Stelle Ihres Haushalts aus und reduzieren Sie die Sendeleistung. Eine Verbindungsgüte von 35 Prozent reicht in aller Regel aus, um mit komfortabler Geschwindigkeit zu arbeiten. Mehr hilft höchstens der diebischen Elster im Garten.