WLAN-Sicherheit: So schützen Sie Ihr heimisches Netzwerk

So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de Wer zu Hause ein WLAN nutzt, sollte immer seinen Zugang verschlüs­seln. So kann vermieden werden, dass Fremde Zugriff auf persön­liche Daten erlangen oder Unbe­fugte den Internet­zugang mitbe­nutzen.

Konfi­gura­tions­ober­fläche schützen

So verschlüsseln Sie Ihr WLAN
Bild: teltarif.de Wenn Sie Ihren WLAN-Zugang einrichten oder später Verän­derungen an den Einstel­lungen vornehmen, sollten Sie dies per Kabel tun und nicht per Funk. Die Ober­fläche für die WLAN-Einstel­lungen errei­chen Sie dabei im Normal­fall bequem über den Web-Browser. Für den Zugang zur Konfigurations­oberfläche sollten Sie ein Pass­wort vergeben und die Konfi­gura­tion per Fern­zugriff und via Funk deak­tivieren.

SSID-Kennung ändern

Jedes WLAN-Netz­werk trägt einen Namen, die so genannte SSID (Service Set Iden­tifier). Die vorein­gestellten Werte für Pass­wörter und den Namen des Netz­werks sollte der Nutzer bei der ersten Inbetrieb­nahme eines WLAN-Access-Points ändern. Es gab bereits Fälle, bei denen die vom Hersteller vorein­gestellte SSID Rück­schlüsse auf das werks­seitige Pass­wort zuließ. Auch bei der neu gewählten Kombi­nation von Name und Pass­wort sollte das natür­lich nicht der Fall sein. Wie Sie ein sicheres Pass­wort finden, lesen Sie in einem weiteren Ratgeber.

Einige Router bieten dem Nutzer an, den Namen des Netz­werks (SSID) zu verste­cken. Das vergrö­ßert jedoch nur scheinbar die Sicher­heit. Im Normal­fall versendet jeder WLAN-Access-Point oder -Router in regel­mäßigen Abstand seinen Namen und einige weitere Para­meter. Durch das Verste­cken wird diese Funk­tion abge­schaltet. Jedoch ist es für versierte Angreifer weiterhin leicht möglich, den Netz­werk­namen zu ermit­teln. Denn dieje­nigen Geräte, die sich (berech­tigter­weise) mit dem Access Point verbinden wollen, senden den ihnen bekannten Netz­werk­namen - und das können auch Unbe­kannte in Reich­weite abhören. So erfahren diese die SSID anstatt durch eine Nach­richt wie: "Hallo, hier ist [Router­name]" eben durch ein: "Bist du da, [Router­name]?", was beispiels­weise ein Smart­phone oder Laptop im Heim­netz­werk sendet.

Verschlüs­selung und Authen­tifi­zierung mit WPA/WPA2

Die aktu­elle Stan­dard-Sicheruns­methode im WLAN, die das Abhören von Funk­signalen verhin­dert, ist WPA2. Das ursprüng­lich für den WLAN-Stan­dard IEEE 802.11 vorge­sehene Verschlüsselungs­protokoll hieß WEP (Wired Equi­valent Privacy). WEP hat sich aller­dings als unsi­cher erwiesen und wurde daher durch WPA, beziehungs­weise dessen Nach­folger WPA2 abge­löst.

Alte Geräte, die im Auslieferungs­zustand nur WEP beherrschten, können meist per Firm­ware-Update auf WPA2 oder zumin­dest WPA aufge­rüstet werden.

Zugangs­kontrolle mit MAC-Filter: Nur wenig sicherer

Die meisten Access Points bieten eine Zugangs­kontrolle über MAC-Adressen. Die Sicher­heit erhöht der Nutzer dadurch aller­dings nur begrenzt.

MAC-Adressen werden von den Hard­ware-Herstel­lern vergeben und dienen dazu, jedes Netz­werk-Gerät welt­weit eindeutig zu iden­tifi­zieren. Der Nutzer kann nun zur Zugangs­kontrolle für ein Netz­werk eine Liste von MAC-Adressen (Access Control List) anlegen und nur Geräten mit diesen Adressen die Nutzung des heimi­schen WLANs erlauben.

MAC-Adressen lassen sich relativ unkom­pliziert fälschen. Für einen Angreifer ist es möglich, den MAC-Filter zu über­listen, sobald er die MAC-Adresse eines der berech­tigten Geräte ermit­telt hat.

Sicher­heits­probleme bei Wi-Fi-Protected-Setup (WPS)

Wi-Fi-Protected-Setup (WPS) soll das Anmelden von WLAN-fähigen Geräten an Routern verein­fachen - ist jedoch mit einer gravie­renden Sicher­heits­lücke behaftet: Eine von verschie­denen mögli­chen Authen­tifi­zierungs­methoden von WPS ermög­licht es Unbe­fugten nämlich, vergleichs­weise schnell Zugang zum Router zu erlangen und dann WPA2-Schlüssel abzu­greifen. Bei der WPS-Methode authen­tifi­ziert sich das WLAN-fähige Gerät mittels einer 8-stel­ligen PIN, die es an den Router schickt. Während des Authentifizierung­sprozesses gibt der Router dem Gerät dabei an einer bestimmten Stelle bekannt, ob die ersten vier Ziffern korrekt sind. Bei der achten Ziffer handelt es sich um eine Prüf­zahl - diese muss zum Knacken nicht bekannt sein. In der Folge müssen also nur noch drei Ziffern erraten werden. Statt 10⁸ verschie­dene Kombi­nationen redu­ziert sich das Ganze somit auf ledig­lich 10⁴ + 10³ und somit 11 000 Möglich­keiten - bei auto­mati­sierten Angriffen eine über­schau­bare Zahl: Ohne weitere Sicher­heits­maßnahmen ist damit der Router binnen weniger Stunden geknackt.

Abhilfe schafft in erster Linie das Abschalten von WPS. Als Schutz­maßnahme besteht seitens der Router­hersteller auch die Möglich­keit, nach fehl­geschla­genen Anmelde-Versu­chen eine bestimmte Verzö­gerung zu erzwingen - doch auch dies bietet nicht unbe­dingt Schutz, da das auto­mati­sierte Verfahren einfach längere Zeit braucht. Bei Routern, die ständig in Betrieb sind, ist dies also nur eine Gedulds­frage.

Übri­gens: Auch andere WPS-Verfahren bergen zumin­dest theo­retisch eine Gefahr. So ermög­licht die Push Button Confi­gura­tion, zwei Geräte durch Drücken auf einen Knopf an den beiden Geräten in einem zwei­minü­tigen Zeit­abstand zu verbinden. Theo­retisch ließe sich hier dem WLAN-Router ein Fremd­gerät unter­schieben, indem der Angreifer dem Druck des Nutzers auf sein eigenes WLAN-fähiges Gerät zuvor­kommt.

In unseren weiteren WLAN-Ratge­bern erfahren Sie unter anderem, wie Sie Störungen im WLAN vermeiden, wie Sie unter­wegs per WLAN-Hotspot online gehen können, oder wie Sie zu Hause Ihr WLAN einrichten.

WLAN-Ratgeber im Überblick

• Übersicht: Mit WLAN drahtlos ins Internet
• Ein WLAN einrichten: So geht's
• Alles rund um die Sicherheit im WLAN
• So vermeiden Sie Störungen im WLAN
• WLAN-Repeater verbessern Reichweite
• WiFi Calling: Smartphone-Telefonie per WLAN
• Am WLAN-Hotspot ins Internet
• Sicherheit an WLAN-Hotspots
• Kosten und Konditionen der Hotspot-Anbieter

Mehr zum Thema WLAN

• 05.06.23
  Ratgeber
  Den richtigen Router für (V)DSL, TV-Kabel & Glasfaser finden
  
  Router gibt es für zahl­reiche Anschluss­tech­niken und auch für jeden Geld­beutel. Doch für mehr Funk­tionen muss der Inter­essent auch etwas tiefer in die Tasche greifen. Wir zeigen, worauf man beim Router-Kauf achten muss. zur Meldung
• 01.06.23
  WiFi Calling
  Achtung: Kostenfalle mit WiFi Calling im Roaming
  
  WiFi Calling wird oft als gute Möglich­keit gehan­delt, beim Tele­fonieren im Ausland Roaming-Kosten zu umgehen. Wer nicht aufpasst, zahlt aber schnell drauf. Wir erklären, wie Sie Kosten­fallen vermeiden und tatsäch­lich güns­tiger im Ausland tele­fonieren können. zur Meldung
• 23.05.23
  Forschungsstudie:
  Wie reagieren Salatpflanzen auf Mobilfunk-Strahlung?
  
  Forschende der Tech­nischen Univer­sität Darm­stadt haben Kopf­salat bestrahlt. Das ergab Verän­derungen an der Zell­struktur. Die Sende­leis­tung sei "normal" gewesen. zur Meldung
• 19.05.23
  Aus
  Telekom-Flop: Smart Speaker "Hallo Magenta" stirbt
  
  Mit ihrem Smart Speaker "Hallo Magenta" wollte es die Telekom mit den ganz Großen der Branche aufnehmen - doch der Laut­spre­cher war ein Flop. Nun wird er abge­schaltet, auch die Alexa-Steue­rung. zur Meldung
• 17.05.23
  Router
  AVM: FRITZ!Box 6670 Cable mit Wi-Fi 7 vorgestellt
  
  Der Router-Hersteller AVM hat ein neues Flagg­schiff ange­kün­digt. Das Modell heißt FRITZ!Box 6670 Cable und bietet Wi-Fi-7-Support für den Kabel­anschluss. zur Meldung