WLAN

Tipps & Tricks: So sichern Sie Ihr heimisches WLAN

Wer zu Hause einen WLAN-Router betreibt, sollte das WLAN-Signal in jedem Fall verschlüsseln - bei unverschlüsselten Netzen besteht nicht nur die Gefahr, dass Fremde illegale Inhalte über den DSL-Anschluss verbreiten, sondern auch, dass Daten aus dem Heimnetzwerk ausgelesen werden.

Von Ralf Trautmann / Susanne Kirchhoff

Kommentare (225)

AAA

Teilen (148)

E-Mail 3
Drucken 145

Tipps & Tricks: So sichern Sie Ihr heimisches WLAN Wer zu Hause ein WLAN nutzt, sollte in jedem Fall den Zugang beschränken und das Signal verschlüsseln. So kann der Nutzer vermeiden, dass Fremde Zugriff auf seine Daten erlangen oder Dritte unberechtigterweise den Internetzugang nutzen. Dabei kann der Nutzer bereits mit wenigen Maßnahmen die Sicherheit seines heimischen Drahtlos-Netzwerks entscheidend erhöhen.

Konfigurationsoberfläche schützen

Wichtig ist zunächst, das WLAN per Kabel und nicht per Funk zu konfigurieren. Die Oberfläche für die WLAN-Einstellungen erreicht der Nutzer dabei im Normalfall bequem über den Web-Browser. Für den Zugang zur Konfigurationsoberfläche sollte der Nutzer ein Passwort vergeben und die Konfiguration per Fernzugriff und via Funk deaktivieren.

SSID-Kennung ändern

Jedes WLAN-Netzwerk trägt einen Namen, die so genannte SSID (Service Set Identifier). Die voreingestellten Werte für Passwörter und den Namen des Netzwerks sollte der Nutzer bei der ersten Inbetriebnahme eines WLAN-Access-Points ändern. Es gab bereits Fälle, bei denen die vom Hersteller voreingestellte SSID Rückschlüsse auf das werksseitige Passwort zuließ. Auch bei der neu gewählten Kombination von Name und Passwort sollte das natürlich nicht der Fall sein.

Einige Router bieten dem Nutzer an, den Namen des Netzwerks (SSID) zu verstecken. Das vergrößert jedoch nur scheinbar die Sicherheit. Im Normalfall versendet jeder WLAN-Access-Point oder -Router in regelmäßigen Abstand seinen Namen und einige weitere Parameter. Durch das "Verstecken" wird diese Funktion abgeschaltet. Jedoch ist es für versierte Angreifer weiterhin leicht möglich, den Netzwerknamen zu ermitteln. Denn diejenigen Geräte, die sich (berechtigterweise) mit dem Access Point verbinden wollen, senden den ihnen bekannten Netzwerknamen und das können auch Unbekannte in Reichweite "abhören". So erfahren diese die SSID anstatt durch eine Nachricht wie "Hallo, hier ist[Routername]" eben durch ein "Bist du da, [Routername]?", was beispielsweise ein Smartphone oder Laptop im Heimnetzwerk sendet.

Verschlüsselung und Authentifizierung mit WPA/WPA2

WEP ist die Abkürzung für Wired Equivalent Privacy und steht für ein Protokoll, das in einem Netzwerk das Abhören von Funksignalen verhindert. Das unsichere WEP war das ursprünglich für den WLAN-Standard IEEE 802.11 vorgesehene Verschlüsselungsprotokoll und ist mittlerweile von WPA und WPA2 abgelöst worden. Heute ist WPA2, der Nachfolger von WPA, die Standard-Sicherungsmethode im WLAN. Ältere Geräte, die im Auslieferungszustand nur WEP beherrschten, können oft per Firmware-Update auf WPA2 oder zumindest WPA aufgerüstet werden.

Sichere Passwörter wählen

Auch die sicherste Verschlüsselungsmethode kann leicht ausgehebelt werden, wenn der Nutzer ein leicht zu erratendes Passwort einsetzt. Bei WPA2 können Passphrasen zwischen 8 und 63 Zeichen lang sein, als Mindestwert für ein sicheres Passwort werden zumeist 20 Zeichen genannt.

Prinzipiell wird das Passwort um so sicherer, desto zufälliger und länger es ist, denn dadurch steigt die Anzahl der notwendigen Rate-Versuche, bis es vom Angreifer ermittelt werden kann. Dazu trägt auch bei, die unterschiedlichen möglichen Zeichen zu nutzen, d.h. Buchstaben in Groß- und Kleinschreibung sowie Ziffern und Sonderzeichen.

Vermeiden sollte der Nutzer auf jeden Fall einzelne sinnvolle Wörter und beliebte Ziffernkombination (007, 0815, 123 o.ä.). Diese vereinfachen einen sogenannten Wörterbuchangriff, bei der ein Angreifer Listen von beliebten Passwörtern und Kombinationen daraus einsetzt. Auch das Ersetzen von Buchstaben durch bestimmte ähnliche Ziffern, wie bei "Pa55w0r7" statt "Passwort", ist bei Wörterbuchangriffen meistens schon berücksichtigt.

Zugangskontrolle mit MAC-Filter

Die meisten Access Points bieten auch eine Zugangskontrolle über MAC-Adressen. Die Sicherheit erhöht der Nutzer dadurch allerdings nur begrenzt. Grundsätzlich dienen MAC-Adressen dazu, jedes Netzwerk-Gerät weltweit eindeutig zu identifizieren, und werden von den Hardware-Herstellern vergeben. Der Nutzer kann nun zur Zugangskontrolle für ein Netzwerk eine Liste von MAC-Adressen (Access Control List) anlegen und nur Geräten mit diesen Adressen die Nutzung des heimischen WLANs erlauben. Allerdings lassen sich MAC-Adressen relativ unkompliziert fälschen. Daher ist es für einen Angreifer möglich, den MAC-Filter zu überlisten, sobald er die MAC-Adresse eines der berechtigten Geräte ermittelt hat.

Sicherheitsprobleme bei Wi-Fi-Protected-Setup (WPS)

Wi-Fi-Protected-Setup (WPS) soll das Anmelden von WLAN-fähigen Geräten an Routern vereinfachen - ist jedoch mit einer gravierenden Sicherheitslücke behaftet: Eine von verschiedenen möglichen Authentifizierungsmethoden von WPS ermöglicht es Unbefugten nämlich, vergleichsweise schnell Zugang zum Router zu erlangen und dann WPA2-Schlüssel abzugreifen.

Bei der WPS-Methode authentifiziert sich das WLAN-fähige Gerät mittels einer 8-stelligen PIN, die es an den Router schickt. Während des Authentifizierungsprozesses gibt der Router dem Gerät dabei an einer bestimmten Stelle bekannt, ob die ersten vier Ziffern korrekt sind. Bei der achten Ziffer handelt es sich um eine Prüfzahl - diese muss zum Knacken nicht bekannt sein. In der Folge müssen also nur noch drei Ziffern erraten werden. Statt 10⁸ verschiedene Kombinationen reduziert sich das Ganze somit auf lediglich 10⁴ + 10³ und somit 11 000 Möglichkeiten - bei automatisierten Angriffen eine überschaubare Zahl: Ohne weitere Sicherheitsmaßnahmen ist damit der Router binnen weniger Stunden geknackt.

Abhilfe schafft in erster Linie das Abschalten von WPS - wobei manches Gerät das Deaktivieren einzelner WPS-Methoden erlaubt. Als Schutzmaßnahme besteht seitens der Routerhersteller auch die Möglichkeit, nach fehlgeschlagenen Anmelde-Versuchen eine bestimmte Verzögerung zu erzwingen - doch auch dies bietet nicht unbedingt Schutz, da das automatisierte Verfahren einfach längere Zeit braucht. Bei Routern, die ständig in Betrieb sind, ist dies also nur eine Geduldsfrage.

Übrigens: Auch andere WPS-Verfahren bergen zumindest theoretisch eine Gefahr. So ermöglicht die Push Button Configuration, zwei Geräte durch Drücken auf einen Knopf an den beiden Geräten in einem zweiminütigen Zeitabstand zu verbinden. Theoretisch ließe sich hier dem WLAN-Router ein Fremdgerät unterschieben, indem der Angreifer dem Druck des Nutzers auf sein eigenes WLAN-fähiges Gerät zuvorkommt.

In unseren weiteren WLAN-Ratgebern erfahren Sie, wie Sie die Reichweite Ihres WLANs verbessern und Störungen vermeiden können, wie Sie unterwegs per WLAN-Hotspot online gehen können und viele weitere Tipps, etwa zur WLAN-Einrichtung und zu WLAN-Internetradios.

WLAN-Ratgeber im Überblick

Teilen (148)

E-Mail 3
Drucken 145

Mehr zum Thema WLAN

13.09.17

Bugs in Android Oreo

Google Pixel und Player: Datenverkehr-Probleme unter Android 8.0

Android 8.0 Oreo soll in manchen Ländern für ein unerwartetes Abschalten der Highspeed-Datenverbindung beim Google Pixel sorgen. Außerdem lädt der Nexus Player Hunderte von Gigabyte mit dem neuen Betriebssystem ins Netz. zur Meldung
12.09.17

Beschlossen

EU finanziert tausende kostenlose WLAN-Hotspots

Nachdem der Ausbau kostenloser WLAN-Hotspots in einigen Ländern nur zögerlich vorankommt, nimmt die EU dafür nun Geld in die Hand. Interessant ist der europaweit einheitliche Login. zur Meldung
12.09.17

Hotspot

WLAN-Angebote in Regionalbahnen

WLAN im Zug ist eine schöne Sache - mittlerweile werden auch Regionalbahnen mit WLAN ausgerüstet. Sachsen-Anhalt macht den Anfang. zur Meldung
10.09.17

Software

AVM veröffentlicht neue FRITZ!Labor-Firmware

AVM hat für die FRITZ!Box-Modelle 7490 und 7590 eine neue Labor-Firmware veröffentlicht, die ab sofort zum Download bereitsteht. Die offizielle neue FRITZ!OS-Version 6.90 soll folgen. zur Meldung
06.09.17

Mobiles Internet

Telekom-LTE-Tarif fürs Auto: 10 GB für 9,95 Euro

Die Telekom zeigt auf der IFA einen LTE-to-WLAN-Router für die Nutzung im Auto, der mehr als nur den Internet-Zugang bietet. Auch der Tarif kann sich sehen lassen, zumal auch EU-Roaming inklusive ist. zur Meldung

Benutzername:		Erstmalig registrieren?
Bitte geben Sie Ihren Benutzernamen an.
Passwort:		Login-Daten vergessen?
Bitte geben Sie Ihr Passwort an.

Sie haben schon eine Anmeldung bei teltarif.de? Login bei bestehender Anmeldung Bitte legen Sie für Ihr erstes Posting den im Forum sichtbaren Benutzernamen und ein Passwort zum Schutz desselben fest. Ihre weiteren Daten werden vertraulich behandelt.
E-Mail-Adresse:	(sichtbar )
Bitte geben Sie Ihre E-Mail Adresse an.
Vorname:	(vertraulich)
Bitte geben Sie Ihren Vornamen an.
Name:	(vertraulich)
Bitte geben Sie Ihren Nachnamen an.
Benutzername:	(sichtbar)
Bitte geben Sie Ihren Benutzernamen an.
Passwort:
Bitte geben Sie Ihr neues Passwort an.
Passwort wiederholen:
Die beiden Passwort-Eingaben sind nicht identisch.

Beitrag:
Betreff:
Fehler innerhalb Ihrer Beitragseingabe.