Mehr Schutz und Tem­po für Ihr WLAN

Mit den Stan­dards WLAN 11ax für schnel­le­res Über­tra­gungs­tem­po und WPA3 für mehr Si­cher­heit star­tet ei­ne neue Ära

PC-WELT - - Inhalt - VON THO­MAS RAU

Schnel­ler, schnel­ler, im­mer schnel­ler: In den letz­ten Jah­ren ver­such­ten Wlan-an­bie­ter ih­re neu­en Ge­rä­te vor al­lem mit dem Ar­gu­ment des hö­he­ren Tem­pos zu ver­kau­fen. Doch da­mit lie­fen sie in ei­ne Fal­le, die auf ähn­li­che Wei­se schon bei Cpu-her­stel­lern wie In­tel zu­ge­schnappt hat­te. Denn die meis­ten An­wen­der ha­ben kei­nen Be­darf für schnel­le­re Wlan-ge­rä­te, son­dern for­dern mehr Reich­wei­te und sta­bi­le­re Ver­bin­dun­gen im Funk­netz. Die­sen Trend ha­ben zu­letzt Mesh-wlan-sys­te­me be­stärkt, die vor al­lem da­mit wer­ben, für al­le Ge­rä­te im WLAN ei­ne aus­rei­chen­de Da­ten­ra­te si­cher­zu­stel­len. Auch in punc­to Si­cher­heit tat sich zu­letzt nicht viel: WPA2 galt als un­knack­bar. Die­sen Ein­druck än­der­te der Krack-an­griff vom Ok­to­ber 2017 nach­hal­tig: For­scher fan­den her­aus, dass das Wpa2-ver­fah­ren grund­sätz­lich an­fäl­lig für At­ta­cken ist.

Mit den neu­en Stan­dards 11ax und WPA3 will die Wi-fi Al­li­an­ce, das wich­tigs­te Fir­men­gre­mi­um im Wlan-be­reich, die­sen neu­en Her­aus­for­de­run­gen be­geg­nen. 11ax soll da­für sor­gen, dass auch in WLANS mit vie­len Ge­rä­ten je­des ein­zel­ne aus­rei­chend schnell Da­ten über­tra­gen kann. WPA3 soll die Si­cher­heit so weit ver­bes­sern, dass sich selbst Funk­net­ze mit ei­nem schwa­chen Pass­wort kaum mehr an­grei­fen las­sen. Wir er­läu­tern die De­tails der neu­en Ver­fah­ren und sa­gen Ih­nen, wie Sie schon heu­te von ih­ren Vor­tei­len pro­fi­tie­ren kön­nen.

11ax: End­lich schnel­les WLAN für al­le Ge­rä­te im Heim­netz

Mit 11ax tritt der sechs­te Wlan-stan­dard an. Er ist der di­rek­te Nach­fol­ger des ak­tu­el­len Stan­dards 11ac. Das wich­tigs­te Ziel von 11ax: Mehr Tem­po für je­des ein­zel­ne Ge­rät auch in ei­nem gro­ßen WLAN – da­her die of­fi­zi­el­le Be­zeich­nung „High Ef­fi­ci­en­cy WLAN“. Da­bei sol­len zahl­rei­che Neue­run­gen hel­fen: Von bis zu acht par­al­le­len Da­ten­strö­men und der ef­fi­zi­en­te­ren Mo­du­la­ti­on 1024-QAM pro­fi­tie­ren 4K- und 8K-vi­deo­st­rea­m­ing so­wie VR- und Ar-an­wen­dun­gen, die nicht nur ho­he Band­brei­te, son­dern auch ei­ne un­ter­bre­chungs­freie Über­tra­gung ver­lan­gen. Mit Of­dma-mul­ti­plex­ing und Mu-mi­mo im Up- und Down­link sol­len sich meh­re­re Ge­rä­te das um­kämpf­te Me­di­um Funk bes­ser tei­len kön­nen. Ein ver­bes­ser­tes In­ter­fe­renz­ma­nage­ment ver­hin­dert, dass Funk­net­ze aus der Nach­bar­schaft das Tem­po im ei­ge­nen WLAN zu stark ein­brem­sen. Und WPA3 küm­mert sich mit neu­en Strom­spar­me­cha­nis­men wie Tar­get-wake­up-time und spe­zi­el­len Über­tra­gungs­ver­fah­ren um mo­bi­le und ver­netz­te Klein­ge­rä­te im Smart Ho­me, für die nicht ho­hes Tem­po, son­dern gro­ße Reich­wei­te, sta­bi­le Über­tra­gung und lan­ge Ak­ku­lauf­zeit ent­schei­dend sind.

Trotz der Än­de­run­gen bleibt 11ax kom­pa­ti­bel zu al­len Vor­gän­ger­stan­dards: Ge­misch­te WLANS mit neu­en und al­ten Ge­rä­ten sind al­so kein Pro­blem. Al­ler­dings kön­nen Sie die meis­ten Vor­tei­le von 11ax nur nut­zen, wenn zu­min­dest der Rou­ter und ein Cli­ent den Stan­dard un­ter­stüt­zen.

11ax: So soll der neue Stan­dard fast 10 Gbit/s schaf­fen

Bis zu 9,6 Gbit/s sol­len mit 11ax über die 5-Ghz-fre­quenz mög­lich sein. Das klingt zu­nächst be­ein­dru­ckend, doch schon mit dem Vor­gän­ger­stan­dard 11ac wa­ren theo­re­tisch über 5 GHZ knapp 7 Gbit/s mög­lich. Ge­rä­te mit die­sem Tem­po wird es aber nicht ge­ben, denn die da­für not­wen­di­ge

„Lah­mes Tem­po in gro­ßen WLANS und schwa­che Pass­wör­ter: Neue Stan­dards ma­chen da­mit Schluss.“

Un­ter­stüt­zung von acht par­al­le­len Da­ten­strö­men er­for­dert vie­le An­ten­ne, ei­ne leis­tungs­fä­hi­ge CPU und ein auf­wen­di­ges Pla­ti­nen­de­sign, was den Preis ei­nes ent­spre­chen­den Rou­ters in un­er­schwing­li­che Hö­hen trei­ben wür­de. In der Pra­xis wird ei­ne Ma­xi­mal­ge­schwin­dig­keit von 4,8 Gbit/s üb­lich sein, die sich mit vier An­ten­nen, 160 MHZ brei­ten Funk­ka­nä­len und der neu­en 11ax-mo­du­la­ti­on 1024-QAM er­rei­chen lässt. Für an­ge­kün­dig­te 11ax-rou­ter ver­spre­chen die Her­stel­ler zwar wer­be­wirk­sam Da­ten­ra­ten von rund 11 Gbit/s. Das ist aber die Sum­me aus dem mög­li­chen Tem­po der drei un­ter­stüt­zen Fre­quen­zen (zwei­mal 4,8 Gbit/s über 5 GHZ plus 1,15 Gbit/s über 2,4 GHZ), nicht ei­ner ein­zi­gen.

In der Pra­xis las­sen sich au­ßer­dem 160 MHZ brei­te Funk­ka­nä­le kaum oh­ne er­heb­li­che Stö­run­gen nut­zen. Denn da­mit kön­nen ei­gent­lich schon zahl­rei­che ak­tu­el­le 11ac-rou­ter ar­bei­ten, zum Bei­spiel auch die Fritz­box 7590 mit Fritz-os 7. So bleibt als ein­zi­ges Tem­pop­lus von 11ax, das sich auch in der Pra­xis nie­der­schlägt, die neue Mo­du­la­ti­on 1024-QAM: Da­mit las­sen sich die über­tra­ge­nen In­for­ma­tio­nen en­ger pa­cken, so­dass sich ei­ne um 25 Pro­zent hö­he­re Da­ten­ra­te als bei der 256-Qam-mo­du­la­ti­on von 11ac er­gibt. Al­ler­dings ist die­ses Ver­fah­ren auch stör­an­fäl­li­ger, so­dass sei­ne Vor­tei­le nur über kur­ze Ent­fer­nun­gen zum Tra­gen kom­men.

Smart­pho­nes und Note­books mit 11ax werden wie bis­her mit 2 x 2 Da­ten­strö­men ar­bei­ten, weil für mehr An­ten­nen in die­sen Ge­rä­ten kein Platz ist. Das WLAN-TEM­PO steigt da­mit über die 5-Ghz-fre­quenz von 867 Mbit/s auf knapp 1,2 Gbit/s.

Mehr Da­ten werden gleich­zei­tig über­tra­gen

11ax soll ein grund­sätz­li­ches Pro­blem der Wlan-tech­nik in den Griff be­kom­men: Den Streit um ei­nen frei­en Funk­ka­nal. Denn ei­gent­lich dür­fen Wlan-ge­rä­te nur über­tra­gen, wenn die Funk­stre­cke frei ist – je mehr Ge­rä­te in ei­nem Funk­netz un­ter­wegs sind, um­so hef­ti­ger wird um die knap­pe Res­sour­ce ge­strit­ten; für je­des Ge­rät bleibt we­ni­ger da­von üb­rig, was zu ge­rin­ge­rem Tem­po führt. Die Lö­sung von 11ax: Meh­re­re Ge­rä­te dür­fen das Funk­me­di­um gleich­zei­tig nut­zen.

Ei­nen ers­ten Schritt hat be­reits 11ac mit Mu-mi­mo (Mul­ti-user-mi­mo) ge­macht: Ein Rou­ter kann da­mit an meh­re­re Ge­rä­te gleich­zei­tig Da­ten über­tra­gen. Mit 11ax klappt das jetzt auch in der Ge­gen­rich­tung von meh­re­ren Wlan-cli­ents zum Rou­ter. Au­ßer­dem nutzt mit 11ax erst­mals auch die Wlan-tech­nik das Ver­fah­ren OF­DMA (Or­tho­go­nal Fre­quen­cy Di­vi­si­on Mul­ti­ple Ac­cess), das be­reits bei LTE zum Ein­satz kommt. Da­mit kön­nen Wlan-ge­rä­te das Funk­me­di­um noch klein­tei­li­ger ge­mein­sam nut­zen: Bis­her teil­te der Rou­ter den Cli­ents ei­nen be­stimm­ten Zei­t­raum zu, in dem sie über­tra­gen durf­ten. Mit Mi­mo lässt sich

ei­ne Über­tra­gung in ein­zel­ne Da­ten­strö­me un­ter­tei­len, die gleich­zei­tig über die ver­schie­de­nen An­ten­nen von Rou­ter und Ge­gen­stel­le aus­ge­tauscht werden. Mit 11ax kann der Rou­ter nun auch die­se ein­zel­nen Da­ten­strö­me un­ter­tei­len, um ver­schie­de­ne Ge­gen­stel­len gleich­zei­tig zu be­die­nen: Das Funk­me­di­um wird al­so sehr ef­fi­zi­ent ge­nutzt. Das funk­tio­niert auch in Ge­gen­rich­tung, in­dem der Rou­ter fest­legt, welche Ge­gen­stel­len ihm zu ei­nem be­stimm­ten Zeit­punkt Da­ten sen­den dür­fen.

11ax sorgt da­für, dass Stör­si­gna­le we­ni­ger stö­ren

Durch en­ge Ab­stim­mung zwi­schen Rou­ter und Ge­gen­stel­len soll das ei­ge­ne WLAN mit 11ax al­so schnel­ler werden. Doch meist funkt nicht nur Ihr WLAN, son­dern auch zahl­rei­che Net­ze in der Nach­bar­schaft fun­ken: Wenn sie den­sel­ben Funk­ka­nal wie Ihr WLAN nut­zen, reicht es nicht, die Ge­rä­te im ei­ge­nen Netz zu ko­or­di­nie­ren, denn sie müs­sen sich auch mit de­nen in den an­de­ren Net­zen um das Über­tra­gungs­me­di­um strei­ten. Die­se so­ge­nann­te CCI (Co-chan­nel-in­ter­fe­rence) ent­schärft 11ax da­durch, dass Ge­rä­te Da­ten­pa­ke­te für das ei­ge­ne Funk­netz er­ken­nen und die aus an­de­ren Funk­net­zen igno­rie­ren. Da­zu mar­kie­ren die Rou­ter ih­re Da­ten­pa­ke­te mit zu­sätz­li­chen Bits: So wis­sen die Emp­fän­ger, dass sie zum ei­ge­nen WLAN ge­hö­ren. Mit die­ser „Ein­fär­bung“kön­nen die Ge­rä­te in ei­nem WLAN ih­re Si­gnal­stär­ken so auf­ein­an­der ab­stim­men, dass sie nur re­agie­ren, wenn das Me­di­um durch ein Ge­rät aus dem ei­ge­nen WLAN be­legt ist und Über­tra­gun­gen an­de­rer Funk­net­ze igno­rie­ren. Al­ler­dings funk­tio­niert die­ses Ver­fah­ren am bes­ten, wenn al­le Cli­ents na­he am Rou­ter ste­hen, des­halb ist es für ver­wal­te­te Un­ter­neh­mens-wlans ge­eig­ne­ter als für pri­va­te Heim­net­ze.

Län­ge­re Ak­ku­lauf­zei­ten für Smart­pho­ne & Co.

11ax be­rei­tet das WLAN dar­auf vor, dass nicht nur PCS und Smart­pho­nes ka­bel­los Da­ten über­tra­gen: Künf­tig wird ein Netz­werk vor al­lem aus Iot-ge­rä­ten be­ste­hen, die kei­ne gro­ße Band­brei­te be­nö­ti­gen, aber auf­grund ih­res klei­nen Ak­kus sehr spar­sam fun­ken sol­len. Das re­gelt im neu­en Stan­dard das Ver­fah­ren Tar­get-wake­up Time (TWT): Je­der ein­zel­ne Wlan-cli­ent ver­ein­bart mit dem Wlan-rou­ter, wie oft er auf­wa­chen muss, um Da­ten recht­zei­tig und re­gel­mä­ßig zu er­hal­ten. Auf die­se Wei­se ver­mei­det das Ge­rät un­nö­ti­ge Ak­ti­vi­tä­ten und ver­län­gert sei­ne Ak­ku­lauf­zeit.

Rou­ter & Re­pea­ter: Wann gibt es 11ax-ge­rä­te zu kau­fen?

Der 11ax-stan­dard wird erst En­de 2019 of­fi­zi­ell ver­ab­schie­det. Doch den Vor­ent­wurf Draft 3.0 gibt es be­reits seit Mai. Auf des­sen Ba­sis ha­ben Wlan-chip-her­stel­ler wie Broad­com, Qu­an­ten­na und Qual­comm be­reits Pro­duk­te ent­wor­fen, die in Rou­tern, PCS und Smart­pho­nes ein­ge­setzt werden. Rou­ter­her­stel­ler ha­ben be­reits 11ax-ge­rä­te an­ge­kün­digt: Von Asus kommt zum Bei­spiel der RT-AX88U, von D-link der DIRX9000 und von Tp-link der Archer AX11000. Prei­se und Ver­füg­bar­keit ste­hen für die­se Pro­duk­te noch nicht fest; es wird wahr­schein­lich Früh­jahr 2019 werden, bis Sie die­se Rou­ter in Deutsch­land kau­fen kön­nen. AVM hat noch kei­ne kon­kre­ten Plä­ne für 11ax-rou­ter.

WPA3: Mehr Si­cher­heit für WLANS mit schwa­chem Pass­wort

Mit­te 2018 hat die Wi-fi-al­li­an­ce den neu­en Si­cher­heits­stan­dard WPA3 vor­ge­stellt. Auch er trägt dem Trend Rech­nung, dass im­mer mehr An­wen­der im­mer mehr Ge­rä­te in ei­nem WLAN nut­zen: Des­halb soll WPA3 vor al­lem die Si­cher­heit in Netz­wer­ken mit ei­nem schwa­chen Pass­wort ver­bes­sern, An­wen­der bes­ser schüt­zen, die in ei­nem öf­fent­li­chen WLAN sur­fen, und da­für sor­gen, dass auch Ge­rä­te, de­nen ein Dis­play oder ei­ne Be­nut­zer­ober­flä­che fehlt, mit ei­nem star­ken Wlan-pass­wort ver­se­hen werden kön­nen.

WPA3 ist vor al­lem aber ei­ne Re­ak­ti­on auf die Krack-atta­cke, die im Ok­to­ber 2017 Wlan-nut­zer ver­un­si­cher­te: For­scher stell­ten fest, dass sich das eta­blier­te Wpa2schutz­ver­fah­ren grund­sätz­lich aus­he­beln

lässt. Die Fol­gen stell­ten sich aber dann als we­sent­lich we­ni­ger dra­ma­tisch her­aus, weil Soft­ware-up­dates das An­griffs­sze­na­rio so weit er­schwer­ten, dass es prak­tisch kaum mehr um­setz­bar war, und weil die meis­ten be­trof­fe­nen Her­stel­ler die­se Up­dates schnell ver­füg­bar mach­ten.

Des­halb fällt WPA3 we­ni­ger um­fang­reich aus als ur­sprüng­lich ge­plant: Vie­le vor­ge­schla­ge­ne Schutz­ver­fah­ren sind jetzt nur noch op­tio­na­le Tei­le des Stan­dards oder wur­den in an­de­re Schutz­stan­dards ver­scho­ben.

Auch bei WPA3 wird es ei­ne Va­ri­an­te für das Heim­netz ge­ben, die ein ge­mein­sa­mes Pass­wort für al­le Wlan-ge­rä­te in ei­nem Netz­werk er­for­dert (Wpa3-per­so­nal). Un­ter­neh­men nut­zen ein Ver­fah­ren, das ei­ne zen­tra­le Si­cher­heits­ver­wal­tung für das WLAN er­laubt (Wpa3-en­ter­pri­se).

Der Über­gang von WPA2 zu WPA3 wird lang­sam und schritt­wei­se er­fol­gen: Bei­de Ver­fah­ren sind kom­pa­ti­bel, so­dass auch ein WLAN, in dem Ge­rä­te mit bei­den Schutz­me­cha­nis­men ver­tre­ten sind, op­ti­mal gesichert werden kann. Wpa3-ge­rä­te nut­zen dann den so­ge­nann­ten Tran­si­ti­on Mo­de, den auch Wpa2-ge­rä­te ver­ste­hen. WPA2 bleibt so lan­ge ver­pflich­tend für die Wi-fi­zer­ti­fi­zie­rung, bis die Mehr­zahl der neu­en Wlan-pro­duk­te mit WPA3 ar­bei­ten. Ex­per­ten rech­nen da­mit, dass dies noch rund zwei Jah­re dau­ern wird.

Wpa3-per­so­nal: Der neue Schutz für das WLAN zu Hau­se

Für Sie wird sich mit WPA3 nicht viel än­dern: Denn es gilt wei­ter­hin, dass Sie Ihr Netz­werk mit ei­nem mög­lichst kom­ple­xen Pass­wort schüt­zen soll­ten. Dar­aus be­rech­nen die Wlan-ge­rä­te dann wei­te­re Schlüs­sel, die die Da­ten­über­tra­gung ge­gen Lau­scher ab­si­chern sol­len. Al­ler­dings nut­zen Wpa3-ge­rä­te da­für nicht mehr das ak­tu­el­le Ver­fah­ren PSK (Pre-sha­red-key), son­dern SAE (Si­mul­ta­neous Au­then­ti­ca­ti­on of Equals). Denn SAE be­hebt ei­ne grund­sätz­li­che Schwach­stel­le von WPA2: Um pas­sen­de Schlüs­sel be­rech­nen zu kön­nen, müs­sen die bei­den Wlan-ge­gen­stel­len das Pass­wort (Pre-sha­red-key, PSK) aus­tau­schen, das Sie bei bei­den ein­ge­ge­ben ha­ben. Das pas­siert zwar eben­falls ver­schlüs­selt: Doch An­grei­fer kön­nen die­sen Aus­tausch ab­hö­ren und an­hand die­ser In­for­ma­tio­nen ver­su­chen, den PSK mit ei­ner Wör­ter­buch-atta­cke zu er­ra­ten. SAE er­füllt da­ge­gen den so­ge­nann­ten Ze­ro­know­ledge-pro­of: Rou­ter und Ge­gen­stel­le kön­nen sich ge­gen­sei­tig be­stä­ti­gen, dass sie das ge­mein­sa­me Pass­wort ken­nen, oh­ne es aus­tau­schen zu müs­sen. Der PSK ist al­so nicht mehr in den Da­ten­pa­ke­ten ent­hal­ten, die zwi­schen bei­den hin und her ge­hen. Das schützt vor al­lem vor Wör­ter­buch-at­ta­cken auf WLANS mit ei­nem schwa­chen Pass­wort: Denn üb­li­cher­wei­se schnei­det ein An­grei­fer den Da­ten­ver­kehr mit, nach­dem er ei­nen Cli­ent ver­an­lasst hat, sich vom Rou­ter ab­zu­mel­den. Beim Ab­hö­ren der er­neu­ten Kon­takt­auf­nah­me zwi­schen Rou­ter und Cli­ent be­kommt er dann auf je­den Fall Da­ten­pa­ke­te, die den Psk-aus­tausch ent­hal­ten. Da­mit führt er ei­ne so­ge­nann­te Off­line-wör­ter­buch-atta­cke durch, in­dem er mit ho­her Rech­ner­leis­tung – zum Bei­spiel per Cloud­ser­ver – ver­schie­de­ne Pass­wör­ter durch­pro­biert. Je schwä­cher der ur­sprüng­li­che PSK, des­to schnel­ler ist er am Ziel und kann den kom­plet­ten Da­ten­ver­kehr ent­schlüs­seln oder sich ins WLAN ein­klin­ken.

Mit SAE soll sich die­ses Ver­fah­ren selbst bei höchs­ter Re­chen­leis­tung nicht in ei­ner über­schau­ba­ren Zeit­dau­er durch­füh­ren las­sen und des­halb ei­nen An­griff prak­tisch sinn­los ma­chen. Au­ßer­dem bie­tet SAE Per­fect For­ward Se­crecy (PFS, vor­wärts ge­rich­te­te Ge­heim­hal­tung): Selbst, wenn ein An­grei­fer den Schlüs­sel her­aus­fin­den soll­te, las­sen sich da­mit zu­vor mit­ge­schnit­te­ne Da­ten­pa­ke­te nicht mehr ent­schlüs­seln.

Wi-fi Ea­sy Con­nect: Si­cher­heit für Smart Ho­me und IOT

Wenn sich ein WLAN am bes­ten mit ei­nem kom­ple­xen Pass­wort schüt­zen lässt, soll­te es auf je­dem Ge­rät auch ein­fach ein­zu­tra­gen sein. Bei Wlan-cli­ents mit ei­nem klei­nen oder gar kei­nem Dis­play oder oh­ne Tas­ten ist das schwie­rig, wes­halb da­für ak­tu­ell das Wps-ver­fah­ren (Wi-fi Pro­tec­ted Se­t­up) ge­nutzt wird. Al­ler­dings hat WPS ei­ni­ge Schwach­stel­len. Des­halb soll es künf­tig durch das De­vice Pro­vi­sio­ning Pro­to­col (DPP) er­setzt werden, das die Ba­sis für das Ver­fah­ren Wi-fi Ea­sy Con­nect bil­det. Die­ser Stan­dard schreibt vor, wie Smar­tho­me-ge­rä­te, et­wa Steck­do­sen, Lam­pen, Hei­zungs­ther­mo­sta­te und Sen­so­ren, ei­nen si­che­ren Zu­gangs­schlüs­sel für das WLAN er­hal­ten kön­nen.

Das kann zum Bei­spiel über ei­ne Smart­pho­ne-app ge­sche­hen, in der sich ein Pass­wort für das Ge­rät ein­ge­ben lässt be­zie­hungs-

wei­se die den Qr-code auf dem Ge­rät ein­liest oder den das Ge­rät am Smart­pho­ne er­kennt. Auch per NFC oder Blue­tooth kann der Erst­kon­takt für ei­nen si­che­ren Ver­bin­dungs­auf­bau er­fol­gen.

Vie­le Her­stel­ler, zum Bei­spiel von Ip-ka­me­ras, nut­zen die­sen Weg schon für die Ver­net­zung ih­rer Ge­rä­te. Mit Wi-fi Ea­sy Con­nect soll aber si­cher­ge­stellt werden, dass sich auch Ge­rä­te un­ter­schied­li­cher Her­stel­ler auf die­se Wei­se ver­bin­den las­sen.

Wi-fi En­han­ced Open: Ein­fa­cher Schutz im öf­fent­li­chen WLAN

Öf­fent­li­che WLANS sind ei­ne be­que­me Al­ter­na­ti­ve zum Sur­fen über das Mo­bil­funk­netz. Al­ler­dings sind sie meist ent­we­der völ­lig un­ver­schlüs­selt, oder der Wlan-schlüs­sel ist gut sicht­bar auf ei­nem Pla­kat no­tiert. So kön­nen Sie sich zwar schnell ver­bin­den, aber ein An­grei­fer kann eben­so be­quem den Da­ten­ver­kehr ab­hö­ren.

Das Ver­fah­ren Wi-fi En­han­ced Open soll die Si­cher­heit in frei ver­füg­ba­ren WLANS zu­min­dest et­was er­hö­hen. Da­für nutzt es OWE (Op­por­tu­nis­tic Wi­re­less En­cryp­ti­on): Da­mit kommt ein Ge­rät oh­ne Pass­wort in ein öf­fent­li­ches WLAN, han­delt mit des­sen Rou­ter aber ei­ne in­di­vi­du­el­le Ver­schlüs­se­lung für die Da­ten­ver­bin­dung aus. Ein pas­si­ver Lau­scher am Ne­ben­tisch oder im Ne­ben­zim­mer be­kommt dann nichts mehr mit. Vor­aus­set­zung da­für ist al­ler­dings, dass so­wohl der Rou­ter des WLANS wie auch das WLAN-GE­RÄT, das sich ver­bin­den will, OWE un­ter­stüt­zen. Denn wäh­rend der An­mel­dung müs­sen bei­de si­gna­li­sie­ren, dass sie das Ver­fah­ren ken­nen, um an­schlie­ßend auf die­se Wei­se ei­nen si­che­ren Ver­bin­dungs­schlüs­sel aus­han­deln zu kön­nen.

Wie las­sen sich Wlan-ge­rä­te mit WPA3 ak­tua­li­sie­ren?

WPA3 und die an­de­ren neu­en Si­cher­heits­stan­dards las­sen sich grund­sätz­lich über ein Soft­ware-up­date nach­rüs­ten, da sie kei­ne neue Hard­ware vor­aus­set­zen. Ei­ni­ge Ex­per­ten ge­hen bei WPA3 da­von aus, dass der Sae-schlüs­sel­aus­tausch we­ni­ger Re­chen­leis­tung als PSK er­for­dern soll, al­so auch für äl­te­re Ge­rä­te mög­lich ist. Ob und wann aber Her­stel­ler ein Wpa3-up­grade an­bie­ten und ob sie das für al­le ih­re Ge­rä­te tun werden, ist un­klar. Wahr­schein­lich wird das erst dann der Fall sein, wenn die Nach­fra­ge nach WPA3 so stark ist, dass sich Wpa2-ge­rä­te nicht mehr gut ver­kau­fen las­sen. Die meis­ten Wlan-her­stel­ler, die Ge­rä­te für das Heim­netz ver­kau­fen, se­hen WPA2 der­zeit als aus­rei­chend si­cher an, so­fern al­le ent­spre­chen­den Firm­ware-up­dates in­stal­liert sind.

Ei­nen ver­pflich­ten­den Teil des Wpa3-stan­dards bie­ten ei­ni­ge Wlan-ge­rä­te schon jetzt: Pro­tec­ted Ma­nage­ment Fra­mes (PMF) soll­ten Schutz vor ge­fälsch­ten Steue­rungs­pa­ke­ten bie­ten. Da­mit lässt sich ver­hin­dern, dass ein An­grei­fer Cli­ents ab­sicht­lich vom Rou­ter trennt, um sie an­schlie­ßend auf ei­nen ei­ge­nen Rou­ter um­zu­lei­ten oder ih­re er­neu­te Ver­bin­dung mit dem Rou­ter zu be­lau­schen, um an das Wlan-pass­wort zu kom­men. Bei ei­ner Fritz­box mit Fritz-os 7 zum Bei­spiel ak­ti­vie­ren Sie PMF un­ter „WLAN –› Si­cher­heit –› Ver­schlüs­se­lung“.

So be­schleu­nigt 11ax die Da­ten­über­tra­gung: Mit OF­DMA (oben) über­tra­gen meh­re­re Ge­rä­te gleich­zei­tig auf ei­nem Da­ten­strom. Bei MU-MI­MO (un­ten) nut­zen ver­schie­de­ne Ge­rä­te meh­re­re par­al­le­le Über­tra­gun­gen.

Schon jetzt kön­nen ei­ni­ge Rou­ter 160 MHZ brei­te Funk­ka­nä­le für hö­he­res Über­tra­gungs­tem­po nut­zen: Hier be­legt zum Bei­spiel ei­ne Fritz­box 7590 (grü­ne Li­nie) die Ka­nä­le von 36 bis 64 über die 5-Ghz-fre­quenz.

Ein­drucks­vol­ler An­ten­nen­wald: Die ers­ten Rou­ter für 11ax, hier der Tp-link Archer AX11000, nut­zen acht An­ten­nen, um pro Fre­quenz vier Da­ten­strö­me gleich­zei­tig über­tra­gen zu kön­nen.

Ziem­lich viel los: Hier fun­ken 12 ver­schie­de­ne WLANS auf Ka­nal 6 – da­mit brem­sen sie sich ge­gen­sei­tig aus. Der neue Stan­dard 11ax soll die Pro­ble­me die­ser Co-chan­nel-in­ter­fe­rence deut­lich re­du­zie­ren.

An­ge­kün­digt, aber noch nicht er­hält­lich: Vie­le Her­stel­ler, wie zum Bei­spiel D-link, ha­ben Rou­ter mit dem neu­en 11ax-stan­dard schon vor­ge­stellt. Zu kau­fen gibt es die­se Ge­rä­te aber bis­her noch nicht.

WPA3 soll das Er­ra­ten ein­fa­cher Wlan-pass­wör­ter er­schwe­ren: Mit ei­nem aus­rei­chend star­ken Wpa2-pass­wort ist Ihr Funk­netz aber wei­ter­hin fast un­an­greif­bar, weil sehr viel Re­chen­leis­tung not­wen­dig ist, um es zu kna­cken.

Die Funk­ti­on Pro­tec­ted Ma­nage­ment Fra­mes ist für WPA3 ver­pflich­tend. In vie­len ak­tu­el­len Rou­tern, bei­spiels­wei­se ei­ner Fritz­box, kön­nen Sie das Ver­fah­ren mit ei­ner ak­tu­el­len Firm­ware schon jetzt ak­ti­vie­ren.

Ip-ka­me­ra per Qr-code ein­rich­ten: Schon jetzt be­nö­ti­gen vie­le Smart-ho­me-ge­rä­te kei­ne Pass­wort­ein­ga­be. Mit Ea­sy Con­nect wird das Ver­fah­ren stan­dar­di­siert.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.