Sicheres WLAN: Der beste Schutz für Euer Netzwerk
In Eurem Zuhause verbinden sich immer mehr Geräte mit dem WLAN. Umso wichtiger wird damit dessen Absicherung nach außen. Wir zeigen Euch, wie Ihr Euer WLAN gegen fremde Zugriffe schützt.
Der WLAN-Router wird mehr und mehr zur Schaltzentrale im Smart Home, doch jedes neue Gerät, das wir daran anschließen, ist ein neuer Angriffsvektor. Eventuell wird darüber die WLAN-Kennung nicht ordentlich gesichert und Angreifer können sich Zugriff auf Euer Netzwerk verschaffen. Damit wir es den Angreifern so schwer wie möglich machen, gibt es ein paar Faustregeln beim Sichern unseres WLANs zu beachten.
Bevor Ihr loslegt, könnt Ihr ja mal Eure Neugier walten lassen: Findet heraus, ob ein Fremder Euer WLAN ausschnüffelt. Eine Anleitung dazu haben wir im separaten Artikel aufbereitet:
Selbst wenn alles sauber aussieht, könnten Eure WLAN-Daten bereits einem unbefugten Dritten in die Hände gefallen sein. Möglicherweise ist er bloß aktuell nicht mit Eurem Netzwerk verbunden und wartet stattdessen noch ab. Daher lohnen die folgenden Schritte nichtsdestotrotz.
Sämtliche der folgenden Tipps könnt Ihr an Eurem Router umsetzen. Wie Ihr Euch mit ihm verbindet, um ihn zu konfigurieren, entnehmt Ihr entweder dem Aufkleber auf Eurem Router oder den mitgelieferten Unterlagen. Dort findet Ihr die lokale (IP-)Adresse und das Administrator-Passwort.
Ein Bonus-Sicherheitstipp an dieser Stelle ist es, die Standard-Zugänge für die Admin-Oberfläche Eures Routers zu ändern. Einmal mit dem WLAN verbunden, könnte ein Angreifer sonst durch simples Probieren bekannter Standardkombinationen Zugang zu Eurer Router-Konfiguration bekommen.
Zum Abschnitt:
- SSID verstecken, WPS-Push unterbinden
- Gastzugang für sicheres WLAN verwenden und beschränken
- Ausschließlich WPA2-Verschlüsselung für's WLAN verwenden
- Alter der Router-Firmware überprüfen
1. SSID verstecken, WPS-Push deaktivieren
Auch wenn diese Methode gewiefte Angreifer nicht abschrecken wird, hebt sie doch ein wenig die Schwelle für einen Missbrauch. Der Name Eures WLAN-Netzwerkes wird als Service Set Identifier (kurz: SSID) bezeichnet und lässt sich verstecken. Dann wird er zumindest bei Laptops, Tablets oder Smartphones in Eurer Nähe nicht mehr in der "Liste verfügbarer WLAN-Netzwerke" angezeigt. Natürlich hält das findige Schnüffler nicht davon ab, Euer Netzwerk trotzdem zu finden.
Wireless Protected Setup, oder kurz WPS ist eine einfache Methode, sich ohne Eingabe eines Passwortes mit einem WLAN-Netzwerk zu verbinden. Der Schutz besteht darin, dass der neue Client einen Knopf auf Eurem Router oder auf einem Repeater drücken muss. Aktiviert er innerhalb eines kleinen Zeitfensters WPS-Push in seinem Gerät, verbinden sich das Gerät und der Router. Der Angreifer braucht dazu also physischen Zugang zu Eurer WLAN-Hardware. Schützt Euer WLAN also, indem Ihr entweder den Router schwieriger Erreichbar macht oder indem Ihr WPS in Euren Router-Einstellungen abschaltet.
2. Gastzugang für sicheres WLAN verwenden und beschränken
Inzwischen ermöglichen es Euch die meisten WLAN-Router, ein zweites WLAN für Gäste einzurichten. Die dürfen dann Geräte in Eurem privaten Netzwerk nicht sehen. Und eventuell bietet Euer Router zudem die Möglichkeit, den Gastzugang weiter zu beschränken. Legt Ihr etwa fest, dass nur E-Mail und Web-Verbindungen aufgebaut werden dürfen, erschwert Ihr Aktivitäten wie Filesharing oder Fernsteuerung.
Ein solcher Zugang ist besonders empfehlenswert, wenn Ihr Smart-Home-Geräte unterschiedlicher Hersteller einsetzt. Denn da für sie noch kein Qualitätsstandard für WLAN-Sicherheit etabliert wurde, muss man sie pauschal als unsicher einstufen. Jede per WLAN vernetzte Glühbirne könnte Angreifern potenziell Zugang zu Eurem Netzwerk verschaffen. Und spätestens dann sollte sich nicht der Heimserver mit Euren Privatphotos und -dokumenten darin befinden.
Michael Steigerwald demonstrierte einen solchen Hack anhand der von Heise inzwischen als Tuya geouteten WLAN-Glühbirnen:
Wenn Ihr noch mehr über die Vorteile eines Gastzugangs für Euer WLAN wissen möchtet, findet Ihr hier weitere gute Tipps.
3. Ausschließlich WPA2-Verschlüsselung für's WLAN verwenden, MAC-Filter aktivieren
Dass die Daten zwischen Router und WLAN-Endgerät verschlüsselt und nicht abhörbar übertragen werden müssen, sollte eigentlich selbstverständlich sein. Leider sind die verwendeten Verschlüsselungen wie WEP oder WPA immer nur so lange sicher, wie ihre Sicherheitslücken nicht bekannt werden.
Schritt Nummer 1 sollte also sein, dass Ihr in den Router-Einstellungen die Verschlüsselung (oder "Netzwerk-Sicherheit") auf "nur WPA2" umstellt. Paralleler Betrieb "WPA/WPA2" erlaubt es alten Geräten, die leicht knackbare WPA-Verbindung aufzubauen, die Angreifern Zugang zu Eurem Netzwerkschlüssel verschaffen kann.
Seit dem Bekanntwerden der WPA2-Sicherheitslücke KRACK Ende 2017 hat selbst das bis dahin als sicher bezeichnete und in aktuellen Routern noch immer alternativlose WPA2 einen Image-Schaden davongetragen. Etliche Router und Repeater erhielten entsprechende Patches und machten WPA2 wieder einigermaßen sicher. Doch kurz darauf hat die für die WLAN-Normierung zuständige WiFi-Alliance WPA3 spezifiziert. Erst das soll die Verschlüsselung wieder deutlich schwerer knackbar machen.
Theoretisch ließen sich WPA2-Router per Software-Update zu WPA3 aufrüsten (siehe dazu die spannende Diskussion im Golem-Forum). Doch da der Router-Chipsatz den Datenstrom in Echtzeit verschlüsseln muss, kann es sein, dass bestehende Hardware diesen Aufwand mit ihrer derzeitigen Rechenleistung nicht stemmen kann. Daher warten wir noch gespannt auf erste WPA3-Router.
Ein Filter für bestimmte Media-Access-Control-(MAC)-Adressen kann die Sicherheit noch weiter erhöhen. Anhand einer so genannten Whitelist legt Ihr fest, welche Gerätekennungen vom Router eine IP-Adresse zugewiesen bekommen. Ein Angreifer müsste also zuerst eine Kennung von einem zugelassenen Gerät auslesen und dessen Identität per Spoofing übernehmen.
4. Neue Router-Firmware verwenden
Bei der Sicherheit Eures WLAN-Netzwerks ist der Router Euer Dreh- und Angelpunkt. Denn er definiert, welche Standards beim heimischen Datenverkehr gelten. Ist seine Software jedoch nicht aktuell, hilft auch die beste Konfiguration nicht. Dann bleiben Sicherheitslücken wie die oben erwähnte KRACK offen.
Manche Router-Hersteller liefern regelmäßig Updates, die automatisch installiert werden. Andere erfordern, dass Ihr in der Router-Konfiguration die Installation manuell anstoßt. Ein paar Hersteller liefern Updates selten oder viel zu spät. Und alle Hersteller machen irgendwann Schluss mit Updates. Ist das Modell zu alt, wird es mit dem "End of Life"-Status versehen und sich selbst überlassen.
Mit etwas Glück und Freude an Bastelarbeiten könnt Ihr die Firmware durch die Community-Software OpenWRT ersetzen.
Fazit
WLAN ist bequem und völlig zurecht Standardausstattung im modernen Haushalt. Doch unbefugte Dritte machen sich dies zu Nutze und treiben damit gerne Schabernack. Damit Ihr es ihnen zumindest so schwer wie möglich macht, solltet Ihr zumindest Eure privaten Daten in Eurem Netzwerk besonders schützen und von weniger vertrauenswürdigen Geräten wie WLAN-Glühbirnen getrennt betreiben.
Software-Updates Eures Routers solltet Ihr so schnell wie möglich und – wenn es geht – automatisch installieren. Und wenn WPA3 endlich in neuer Hardware verfügbar wird, lohnt sich garantiert das Aufrüsten Eurer bestehenden WLAN-Ausrüstung. Möglicherweise hilft Euch dabei Euer Provider.
>>Gastzugang für sicheres WLAN verwenden und beschränken<<
Das ist bei manchen Providern, z. B. Unitymedia, sehr schwierig. Seit geraumer Zeit wird dort der sog. WifiSpot in die Verträge implementiert. UM teilt dazu mit, das man dadurch sämtliche UM Hotspots kostenfrei mit dem Smartphone nutzen kann. Das stimmt auch. Was aber verschwiegen wird ist, das UM dann die >eigene< Fritzbox ebenfalls zum Hotspot macht und jeder den >eigenen< Gastzugang ohne das man es überhaupt merkt oder sieht nutzen kann. Der Gastzugang in der Fritzbox kann aber trotzdem selbst konfiguriert werden, was jedoch keinen Einfluß auf den von UM implementierten WifiSpot hat.
Wenn man schon länger einen UM Vertrag ohne WifiSpot hat und man die UM Hotspots mit seinem Smartphone nutzen möchte, kann man das beantragen und es passiert das Gleiche ohne das man davon erfährt.
>>Neue Router-Firmware verwenden<< ??
Das dürfte den meisten Nutzern nicht möglich sein. Warum? Wer heute einen Vertrag abschließt, bekommt einen Router dazu. Dieser ist und bleibt Eigentum des Providers. Und bei diesen Routern ist auch die Firmware geändert und kann nur vom Provider Upgedatet werden. Bei einem selbst gekauften Router ist ein Firmware Update natürlich jederzeit möglich.
>>Und alle Hersteller machen irgendwann Schluss mit Updates. Ist das Modell zu alt, wird es mit dem "End of Life"-Status versehen und sich selbst überlassen<< ??
Ebenfalls falsch. Selbst auf einer 10 Jahre alten Fritzbox läuft die neueste AVM Firmware einwandfrei und Problemlos.
> Sicheres WLAN: Der beste Schutz für Euer Netzwerk
Der beste Schutz für ein Netzwerk wäre wohl die physikalische Trennung nach außen. Also vom Internet und vom WLAN! So suggeriert die Überschrift, mit einem WLAN könne man sein Netzwerk sicherer machen. Das genaue Gegenteil ist aber der Fall.
Deshalb muss man nicht darauf verzichten, sondern man muss sich dessen bewusst sein und Gegenmaßnahmen ergreifen.
Dazu gehört als allererstes, dass ein Router niemals per WLAN erstkonfiguriert wird. Danach wird:
a) Passwort zum Router geändert
b) die WPA2-Passphrase geändert
c) die Firmware des Routers aktualisiert
Warum die Passphase ändern? Bei sehr viele Hersteller lässt sich die Passphase zurückrechnen. Sonderlich lang und damit sicher ist sie mit 6, 8 oder 10 Stellen auch nicht.
Danach kann man den Router auch per WLAN feinkonfigurieren.
> Auch wenn diese Methode gewiefte Angreifer nicht abschrecken wird, hebt sie doch ein wenig die Schwelle für einen Missbrauch.
Hört endlich auf das Märchen von Absichern durch "verstecken der SSID" zu erzählen. Das ist eine Funktechnik und da ist gar nichts versteckt. Es ist nunmal die Physik, dass sich Funkwellen ausbreiten. Die lassen sich nicht verstecken, es sei denn, man funkt gar nicht erst. Eine SSID muss ebenfalls vorhanden sein und sich erkennbar machen, sonst könnte sich gar kein Gerät mit einem WLAN mit "versteckter" SSID verbinden.
Das WLAN und die SSID sind immer sichtbar! Nur unsere Geräte für den (entschuldigung) Dummie verkaufen und für dumm und nutzen Begriffe, die für die Tonne sind und etwas suggerieren, was nicht vorhanden ist.
Wie ich neulich schon kommentiert habe, ist das angebliche Verstecken nichts weiter als ein Zusatzsignal, mit dem gebeten wird, keine Verbindung aufzunehmen.
Damit ist das "verstecken" der SSID auch kein Schutz. Es ist ein Placebo! Mehr nicht! Selbst Script-Kiddies wissen, wie man eine SSID sichtbar macht. Das Wissen macht einen noch lange nicht zu einem "gewieften Angreifer". Net Stumbler dürfte hier jeder innerhalb weniger Minuten finden.
Im Gegenteil! Versteckte WLANs werden leider häufig nicht von Routern angezeigt, mit der Folge, dass man seinen Access Point auf einen vermeintlich ungestörten Kanal einstellt. Dort könnte aber ein Nachbar "versteckt" (unter der gleichen SSID) funken und man schimpft anschließend auf die Hersteller der Technik, wie blöde die doch sind, fehlerfreie Software zu programmieren.
Also: SSID (oder WLAN-Namen) broadcasten (sichtbar schalten)!
Mich wundert es, dass der MAC-Filter fehlt. Der ist aber auch kein Sicherheitsmerkmal, weil die MAC-Adresse zu den Metadaten gehört, die immer unverschlüsselt übertragen werden. Aus dieser lässt sich zum Beispiel der Hersteller herauslesen, was manchen WLAN-Scanner anzeigen. Ein Angreifer wird daher zuerst eine MAC suche, die mit dem WLAN verbunden ist und dann seine MAC entsprechend ändern (was auch keine Kunst ist)
Wer Sicherheit will, nutzt die volle Maximallänge bei der Passphase aus, setzt diese aus zufälligen Zeichen zusammen und speichert sie in KeePass. Das eingesetze Verschlüsselungsverfahren mit einer möglichst komplexen und maximal langen Passphrase ist das einzige wirklich wirksame Mittel, sein WLAN abzusichern. Damit man dabei nicht bereits angegriffen wird, ist die Erstkonfigutation per Kabel wichtig.
Moin,
aber das hier weiß doch jedes "Computerkind" oder:"Dass man den WLAN-Zugang nur auf die bereits bekannten WLAN-Geräte beschränken sollte..."
Ich habe keine Smarthome Anwendungen ,kein "ALEXA" oder Sonstiges,nur eine Waschmaschine,einen Staubsaugerroboter ,einen Heizlüfter,eine Musikanlage und natürlich PC und Smartphonegeräte im WLAN sind glaube ich 17 Stück und bis jetzt hat niemand von Außen versucht das WLAN zu "hacken" ist das wirklich soviel...?
Gesundes Mißtrauen und jedes Update manuell und natürlich jeden Monat ein neues Passwort das hilft schon ein wenig.
Liebe Grüße und alles hier schönes Wochenende und immer freies WLAN!
Auch das Beschränken auf bekannte Geräte hält Profihacker nicht ab. M.W. kann man mit geigneter Software MAC-Adressen in einem Netzwerk auslesen und damit die MAC-Adresse des eigenen Gerätes manipulieren.
Bei "SSID verstecken" hab ich aufgehört zu lesen.
Hättest du den Satz beendet, dann hättest du gelesen, dass es zwar richtige Angreifer nicht abhält, aber immerhin andere. :)
SSID verstecken hebt mitnichten die Missbrauchsschwelle. Wer ohne SSID das WLAN nicht findet, stellt auch keine Gefahr für selbiges dar, wenn der Rest vernünftig konfiguriert ist.
Es hebt höchstens das Problemlevel, weil möglicherweise 2 gleichnamige WLANs in Reichweite sind.
Kein seriöses IT Magazin würde sowas ernsthaft als Tipp bringen, die meisten raten im Gegenteil sogar davon ab die SSID zu verstecken.
Also mein Schutz ist es W-Lan aus zu machen. Verstehe immer nicht warum das noch jemand nutzt. Letzt bei einem Kunden gewesen der hatte 500Mbit Internet und sein Laptop hat über das W-Lan sagenhafte 12Mbit geschafft. Warum haben alle immer Probleme damit Kabel zu verlegen. Auch wenn man über W-Lan versucht Videos zu schauen FullHD geht grade noch wenn da aber schon eine DTS audio Spur mit abgespielt wird ist schon vorbei. Ruckler und ich habe bei Kunden schon so ziemlich jeden Hersteller Probiert von Tp-Link über AVM, Lancom usw. Die angegebenen Geschwindigkeiten werden nie erreicht. Und jeder Meter die man von W-Lan Router oder AP sich entfernt reduziert die Geschwindigkeit um 1/3. War auch mal auf eine AVM Schulung da meinte der Herr auch klar schaffen die das 1m vom Router im Labor ohne andere Störquellen wie Lampen oder Stromleitungen. Klar kann man es zum Mails lesen und nutzen von Streaming Plattformen nutzten die halt, wenn die Bandbreite abfällt die Qualität einfach runterschrauben. Wobei ein Kunde hat einen Samsung 4K Fernseher an einem 200Mbit Kabelanschluss. Wenn er da Netflix oder Amazon in 4K schaut hat er regelmäßig auch Ruckler bis hin zu einem Stehenden Bild. Also ich habe überall Kabel gelegt und ich wohne zur Miete habe es mit Laminatleisten gemacht die einen Kabelkanal drinnen haben. Am Handy nutzte ich nur noch LTE da bei uns hier auf dem Lan sowieso schneller als DSL. Wobei zur Zeit die EWE bei uns in der Strasse grade neue Kabel gelegt hat sah für mich aber nach Kupfer aus nicht nach Glasfaser. Mal sehen ob die 2Mbit DSL mal mehr werden bei mir Privat.
Was du als Fakt hinstellst, kann ich in meinem eigenen Zuhause nicht nachvollziehen. Das TV-Gerät bekommt einen Zugang zum WLAN über ein 5GHz-Netz. Der Router steht ca. 3m dahinter und das Signal muss durch eine tragende Wand. Das Zuspielgerät ist mittels Powerline über den Standard UPnP erreichbar. Es sind also 2 Flaschenhälse zu überwinden, die bei FullHD und DTS-Master-HD Tonspur keine Probleme darstellen. Allein bei 4k-Filmen zeigten sich ab und zu Artefakte. Nach einigen Umbauaktionen (deren Ursache aber nicht dadurch begründet war) ist das TV-Gerät nun auch am Powerline-Netz angeschlossen. Ich sehe bei WiFi nur einen Grund, dies nicht zu verwenden: die Latenz - und das betrifft eher Spiele und nicht unbedingt das Streaming.
Scheinbar haben die Leute bei denen du warst uralte Wlan Geräte, dass die nur so eine niedrige Übertragungsrate haben. :-D Ich habe mit Handy, Tablet oder Laptop in der ganzen Wohnung immer volle 200Mbit Download und 50Mbit Uploadgeschwindigkeit.
Bei einigen WLAN-Routern (bzw. -Access Points) lässt sich die Sendeleistung des WLAN-Moduls einstellen. Ist diese (z. B. durch ausprobieren) maximal so hoch, dass nur die eigene Wohnung ausgestrahlt wird, können so Dritte gar nicht aufs WLAN einwirken. In der Regel sollte dafür der WLAN-Router ziemlich genau in der Mitte der Wohnung stehen und man wird in Kauf nehmen müssen, dass die Nachbarn drüber und drunter ggf. das WLAN kompromittieren könnten.
"In Eurem Zuhause verbinden sich immer mehr Geräte mit dem WLAN" - Ach ja? Das wäre mir neu.
WPS: Welcher Angreifer hat denn bitte von außen Zugriff auf den Router und somit zur WPS-Taste?
Und den Router schwieriger erreichbar machen? Klar. Also am besten im Tresor einschließen? 🤦♂️
Dass man den WLAN-Zugang nur auf die bereits bekannten WLAN-Geräte beschränken sollte, wird in dem Artikel lieber gar nicht erwähnt. Möglicherweise, weil diese Sicherheitseinstellung dem "Experten" nicht mal bekannt ist.
Dafür glänzt Eric F.-H. wie fast immer mit großartigen Rechtschreibfehlern. 😣
Heute wieder so freundlich bei deiner Kritik? ;)
Es kann natürlich sein, dass es bei dir nicht mehr Geräte werden. Der Trend geht aber zu immer mehr WLAN-fähigen Geräten. Bei der WPS-Taste geht es wohl eher um Kinder im Haushalt, die vielleicht nicht unbedingt einfach ins Netzwerk sollen. ;) Ein Einbrecher wird sich eher nicht mit dem WLAN verbinden, stimmt. :D
Dein letzter Vorschlag fehlt aber wirklich, da werde ich Eric noch einmal darauf hinweisen, danke. :)
Und wegen der Rechtschreibung schaue ich natürlich auch noch einmal über den Artikel.
Bei WPS ist nur bei genau einer Methode das Drücken der Taste notwendig.