Mehr Schutz und Tempo für Ihr WLAN
Mit den Standards WLAN 11ax für schnelleres Übertragungstempo und WPA3 für mehr Sicherheit startet eine neue Ära
Schneller, schneller, immer schneller: In den letzten Jahren versuchten Wlan-anbieter ihre neuen Geräte vor allem mit dem Argument des höheren Tempos zu verkaufen. Doch damit liefen sie in eine Falle, die auf ähnliche Weise schon bei Cpu-herstellern wie Intel zugeschnappt hatte. Denn die meisten Anwender haben keinen Bedarf für schnellere Wlan-geräte, sondern fordern mehr Reichweite und stabilere Verbindungen im Funknetz. Diesen Trend haben zuletzt Mesh-wlan-systeme bestärkt, die vor allem damit werben, für alle Geräte im WLAN eine ausreichende Datenrate sicherzustellen. Auch in puncto Sicherheit tat sich zuletzt nicht viel: WPA2 galt als unknackbar. Diesen Eindruck änderte der Krack-angriff vom Oktober 2017 nachhaltig: Forscher fanden heraus, dass das Wpa2-verfahren grundsätzlich anfällig für Attacken ist.
Mit den neuen Standards 11ax und WPA3 will die Wi-fi Alliance, das wichtigste Firmengremium im Wlan-bereich, diesen neuen Herausforderungen begegnen. 11ax soll dafür sorgen, dass auch in WLANS mit vielen Geräten jedes einzelne ausreichend schnell Daten übertragen kann. WPA3 soll die Sicherheit so weit verbessern, dass sich selbst Funknetze mit einem schwachen Passwort kaum mehr angreifen lassen. Wir erläutern die Details der neuen Verfahren und sagen Ihnen, wie Sie schon heute von ihren Vorteilen profitieren können.
11ax: Endlich schnelles WLAN für alle Geräte im Heimnetz
Mit 11ax tritt der sechste Wlan-standard an. Er ist der direkte Nachfolger des aktuellen Standards 11ac. Das wichtigste Ziel von 11ax: Mehr Tempo für jedes einzelne Gerät auch in einem großen WLAN – daher die offizielle Bezeichnung „High Efficiency WLAN“. Dabei sollen zahlreiche Neuerungen helfen: Von bis zu acht parallelen Datenströmen und der effizienteren Modulation 1024-QAM profitieren 4K- und 8K-videostreaming sowie VR- und Ar-anwendungen, die nicht nur hohe Bandbreite, sondern auch eine unterbrechungsfreie Übertragung verlangen. Mit Ofdma-multiplexing und Mu-mimo im Up- und Downlink sollen sich mehrere Geräte das umkämpfte Medium Funk besser teilen können. Ein verbessertes Interferenzmanagement verhindert, dass Funknetze aus der Nachbarschaft das Tempo im eigenen WLAN zu stark einbremsen. Und WPA3 kümmert sich mit neuen Stromsparmechanismen wie Target-wakeup-time und speziellen Übertragungsverfahren um mobile und vernetzte Kleingeräte im Smart Home, für die nicht hohes Tempo, sondern große Reichweite, stabile Übertragung und lange Akkulaufzeit entscheidend sind.
Trotz der Änderungen bleibt 11ax kompatibel zu allen Vorgängerstandards: Gemischte WLANS mit neuen und alten Geräten sind also kein Problem. Allerdings können Sie die meisten Vorteile von 11ax nur nutzen, wenn zumindest der Router und ein Client den Standard unterstützen.
11ax: So soll der neue Standard fast 10 Gbit/s schaffen
Bis zu 9,6 Gbit/s sollen mit 11ax über die 5-Ghz-frequenz möglich sein. Das klingt zunächst beeindruckend, doch schon mit dem Vorgängerstandard 11ac waren theoretisch über 5 GHZ knapp 7 Gbit/s möglich. Geräte mit diesem Tempo wird es aber nicht geben, denn die dafür notwendige
„Lahmes Tempo in großen WLANS und schwache Passwörter: Neue Standards machen damit Schluss.“
Unterstützung von acht parallelen Datenströmen erfordert viele Antenne, eine leistungsfähige CPU und ein aufwendiges Platinendesign, was den Preis eines entsprechenden Routers in unerschwingliche Höhen treiben würde. In der Praxis wird eine Maximalgeschwindigkeit von 4,8 Gbit/s üblich sein, die sich mit vier Antennen, 160 MHZ breiten Funkkanälen und der neuen 11ax-modulation 1024-QAM erreichen lässt. Für angekündigte 11ax-router versprechen die Hersteller zwar werbewirksam Datenraten von rund 11 Gbit/s. Das ist aber die Summe aus dem möglichen Tempo der drei unterstützen Frequenzen (zweimal 4,8 Gbit/s über 5 GHZ plus 1,15 Gbit/s über 2,4 GHZ), nicht einer einzigen.
In der Praxis lassen sich außerdem 160 MHZ breite Funkkanäle kaum ohne erhebliche Störungen nutzen. Denn damit können eigentlich schon zahlreiche aktuelle 11ac-router arbeiten, zum Beispiel auch die Fritzbox 7590 mit Fritz-os 7. So bleibt als einziges Tempoplus von 11ax, das sich auch in der Praxis niederschlägt, die neue Modulation 1024-QAM: Damit lassen sich die übertragenen Informationen enger packen, sodass sich eine um 25 Prozent höhere Datenrate als bei der 256-Qam-modulation von 11ac ergibt. Allerdings ist dieses Verfahren auch störanfälliger, sodass seine Vorteile nur über kurze Entfernungen zum Tragen kommen.
Smartphones und Notebooks mit 11ax werden wie bisher mit 2 x 2 Datenströmen arbeiten, weil für mehr Antennen in diesen Geräten kein Platz ist. Das WLAN-TEMPO steigt damit über die 5-Ghz-frequenz von 867 Mbit/s auf knapp 1,2 Gbit/s.
Mehr Daten werden gleichzeitig übertragen
11ax soll ein grundsätzliches Problem der Wlan-technik in den Griff bekommen: Den Streit um einen freien Funkkanal. Denn eigentlich dürfen Wlan-geräte nur übertragen, wenn die Funkstrecke frei ist – je mehr Geräte in einem Funknetz unterwegs sind, umso heftiger wird um die knappe Ressource gestritten; für jedes Gerät bleibt weniger davon übrig, was zu geringerem Tempo führt. Die Lösung von 11ax: Mehrere Geräte dürfen das Funkmedium gleichzeitig nutzen.
Einen ersten Schritt hat bereits 11ac mit Mu-mimo (Multi-user-mimo) gemacht: Ein Router kann damit an mehrere Geräte gleichzeitig Daten übertragen. Mit 11ax klappt das jetzt auch in der Gegenrichtung von mehreren Wlan-clients zum Router. Außerdem nutzt mit 11ax erstmals auch die Wlan-technik das Verfahren OFDMA (Orthogonal Frequency Division Multiple Access), das bereits bei LTE zum Einsatz kommt. Damit können Wlan-geräte das Funkmedium noch kleinteiliger gemeinsam nutzen: Bisher teilte der Router den Clients einen bestimmten Zeitraum zu, in dem sie übertragen durften. Mit Mimo lässt sich
eine Übertragung in einzelne Datenströme unterteilen, die gleichzeitig über die verschiedenen Antennen von Router und Gegenstelle ausgetauscht werden. Mit 11ax kann der Router nun auch diese einzelnen Datenströme unterteilen, um verschiedene Gegenstellen gleichzeitig zu bedienen: Das Funkmedium wird also sehr effizient genutzt. Das funktioniert auch in Gegenrichtung, indem der Router festlegt, welche Gegenstellen ihm zu einem bestimmten Zeitpunkt Daten senden dürfen.
11ax sorgt dafür, dass Störsignale weniger stören
Durch enge Abstimmung zwischen Router und Gegenstellen soll das eigene WLAN mit 11ax also schneller werden. Doch meist funkt nicht nur Ihr WLAN, sondern auch zahlreiche Netze in der Nachbarschaft funken: Wenn sie denselben Funkkanal wie Ihr WLAN nutzen, reicht es nicht, die Geräte im eigenen Netz zu koordinieren, denn sie müssen sich auch mit denen in den anderen Netzen um das Übertragungsmedium streiten. Diese sogenannte CCI (Co-channel-interference) entschärft 11ax dadurch, dass Geräte Datenpakete für das eigene Funknetz erkennen und die aus anderen Funknetzen ignorieren. Dazu markieren die Router ihre Datenpakete mit zusätzlichen Bits: So wissen die Empfänger, dass sie zum eigenen WLAN gehören. Mit dieser „Einfärbung“können die Geräte in einem WLAN ihre Signalstärken so aufeinander abstimmen, dass sie nur reagieren, wenn das Medium durch ein Gerät aus dem eigenen WLAN belegt ist und Übertragungen anderer Funknetze ignorieren. Allerdings funktioniert dieses Verfahren am besten, wenn alle Clients nahe am Router stehen, deshalb ist es für verwaltete Unternehmens-wlans geeigneter als für private Heimnetze.
Längere Akkulaufzeiten für Smartphone & Co.
11ax bereitet das WLAN darauf vor, dass nicht nur PCS und Smartphones kabellos Daten übertragen: Künftig wird ein Netzwerk vor allem aus Iot-geräten bestehen, die keine große Bandbreite benötigen, aber aufgrund ihres kleinen Akkus sehr sparsam funken sollen. Das regelt im neuen Standard das Verfahren Target-wakeup Time (TWT): Jeder einzelne Wlan-client vereinbart mit dem Wlan-router, wie oft er aufwachen muss, um Daten rechtzeitig und regelmäßig zu erhalten. Auf diese Weise vermeidet das Gerät unnötige Aktivitäten und verlängert seine Akkulaufzeit.
Router & Repeater: Wann gibt es 11ax-geräte zu kaufen?
Der 11ax-standard wird erst Ende 2019 offiziell verabschiedet. Doch den Vorentwurf Draft 3.0 gibt es bereits seit Mai. Auf dessen Basis haben Wlan-chip-hersteller wie Broadcom, Quantenna und Qualcomm bereits Produkte entworfen, die in Routern, PCS und Smartphones eingesetzt werden. Routerhersteller haben bereits 11ax-geräte angekündigt: Von Asus kommt zum Beispiel der RT-AX88U, von D-link der DIRX9000 und von Tp-link der Archer AX11000. Preise und Verfügbarkeit stehen für diese Produkte noch nicht fest; es wird wahrscheinlich Frühjahr 2019 werden, bis Sie diese Router in Deutschland kaufen können. AVM hat noch keine konkreten Pläne für 11ax-router.
WPA3: Mehr Sicherheit für WLANS mit schwachem Passwort
Mitte 2018 hat die Wi-fi-alliance den neuen Sicherheitsstandard WPA3 vorgestellt. Auch er trägt dem Trend Rechnung, dass immer mehr Anwender immer mehr Geräte in einem WLAN nutzen: Deshalb soll WPA3 vor allem die Sicherheit in Netzwerken mit einem schwachen Passwort verbessern, Anwender besser schützen, die in einem öffentlichen WLAN surfen, und dafür sorgen, dass auch Geräte, denen ein Display oder eine Benutzeroberfläche fehlt, mit einem starken Wlan-passwort versehen werden können.
WPA3 ist vor allem aber eine Reaktion auf die Krack-attacke, die im Oktober 2017 Wlan-nutzer verunsicherte: Forscher stellten fest, dass sich das etablierte Wpa2schutzverfahren grundsätzlich aushebeln
lässt. Die Folgen stellten sich aber dann als wesentlich weniger dramatisch heraus, weil Software-updates das Angriffsszenario so weit erschwerten, dass es praktisch kaum mehr umsetzbar war, und weil die meisten betroffenen Hersteller diese Updates schnell verfügbar machten.
Deshalb fällt WPA3 weniger umfangreich aus als ursprünglich geplant: Viele vorgeschlagene Schutzverfahren sind jetzt nur noch optionale Teile des Standards oder wurden in andere Schutzstandards verschoben.
Auch bei WPA3 wird es eine Variante für das Heimnetz geben, die ein gemeinsames Passwort für alle Wlan-geräte in einem Netzwerk erfordert (Wpa3-personal). Unternehmen nutzen ein Verfahren, das eine zentrale Sicherheitsverwaltung für das WLAN erlaubt (Wpa3-enterprise).
Der Übergang von WPA2 zu WPA3 wird langsam und schrittweise erfolgen: Beide Verfahren sind kompatibel, sodass auch ein WLAN, in dem Geräte mit beiden Schutzmechanismen vertreten sind, optimal gesichert werden kann. Wpa3-geräte nutzen dann den sogenannten Transition Mode, den auch Wpa2-geräte verstehen. WPA2 bleibt so lange verpflichtend für die Wi-fizertifizierung, bis die Mehrzahl der neuen Wlan-produkte mit WPA3 arbeiten. Experten rechnen damit, dass dies noch rund zwei Jahre dauern wird.
Wpa3-personal: Der neue Schutz für das WLAN zu Hause
Für Sie wird sich mit WPA3 nicht viel ändern: Denn es gilt weiterhin, dass Sie Ihr Netzwerk mit einem möglichst komplexen Passwort schützen sollten. Daraus berechnen die Wlan-geräte dann weitere Schlüssel, die die Datenübertragung gegen Lauscher absichern sollen. Allerdings nutzen Wpa3-geräte dafür nicht mehr das aktuelle Verfahren PSK (Pre-shared-key), sondern SAE (Simultaneous Authentication of Equals). Denn SAE behebt eine grundsätzliche Schwachstelle von WPA2: Um passende Schlüssel berechnen zu können, müssen die beiden Wlan-gegenstellen das Passwort (Pre-shared-key, PSK) austauschen, das Sie bei beiden eingegeben haben. Das passiert zwar ebenfalls verschlüsselt: Doch Angreifer können diesen Austausch abhören und anhand dieser Informationen versuchen, den PSK mit einer Wörterbuch-attacke zu erraten. SAE erfüllt dagegen den sogenannten Zeroknowledge-proof: Router und Gegenstelle können sich gegenseitig bestätigen, dass sie das gemeinsame Passwort kennen, ohne es austauschen zu müssen. Der PSK ist also nicht mehr in den Datenpaketen enthalten, die zwischen beiden hin und her gehen. Das schützt vor allem vor Wörterbuch-attacken auf WLANS mit einem schwachen Passwort: Denn üblicherweise schneidet ein Angreifer den Datenverkehr mit, nachdem er einen Client veranlasst hat, sich vom Router abzumelden. Beim Abhören der erneuten Kontaktaufnahme zwischen Router und Client bekommt er dann auf jeden Fall Datenpakete, die den Psk-austausch enthalten. Damit führt er eine sogenannte Offline-wörterbuch-attacke durch, indem er mit hoher Rechnerleistung – zum Beispiel per Cloudserver – verschiedene Passwörter durchprobiert. Je schwächer der ursprüngliche PSK, desto schneller ist er am Ziel und kann den kompletten Datenverkehr entschlüsseln oder sich ins WLAN einklinken.
Mit SAE soll sich dieses Verfahren selbst bei höchster Rechenleistung nicht in einer überschaubaren Zeitdauer durchführen lassen und deshalb einen Angriff praktisch sinnlos machen. Außerdem bietet SAE Perfect Forward Secrecy (PFS, vorwärts gerichtete Geheimhaltung): Selbst, wenn ein Angreifer den Schlüssel herausfinden sollte, lassen sich damit zuvor mitgeschnittene Datenpakete nicht mehr entschlüsseln.
Wi-fi Easy Connect: Sicherheit für Smart Home und IOT
Wenn sich ein WLAN am besten mit einem komplexen Passwort schützen lässt, sollte es auf jedem Gerät auch einfach einzutragen sein. Bei Wlan-clients mit einem kleinen oder gar keinem Display oder ohne Tasten ist das schwierig, weshalb dafür aktuell das Wps-verfahren (Wi-fi Protected Setup) genutzt wird. Allerdings hat WPS einige Schwachstellen. Deshalb soll es künftig durch das Device Provisioning Protocol (DPP) ersetzt werden, das die Basis für das Verfahren Wi-fi Easy Connect bildet. Dieser Standard schreibt vor, wie Smarthome-geräte, etwa Steckdosen, Lampen, Heizungsthermostate und Sensoren, einen sicheren Zugangsschlüssel für das WLAN erhalten können.
Das kann zum Beispiel über eine Smartphone-app geschehen, in der sich ein Passwort für das Gerät eingeben lässt beziehungs-
weise die den Qr-code auf dem Gerät einliest oder den das Gerät am Smartphone erkennt. Auch per NFC oder Bluetooth kann der Erstkontakt für einen sicheren Verbindungsaufbau erfolgen.
Viele Hersteller, zum Beispiel von Ip-kameras, nutzen diesen Weg schon für die Vernetzung ihrer Geräte. Mit Wi-fi Easy Connect soll aber sichergestellt werden, dass sich auch Geräte unterschiedlicher Hersteller auf diese Weise verbinden lassen.
Wi-fi Enhanced Open: Einfacher Schutz im öffentlichen WLAN
Öffentliche WLANS sind eine bequeme Alternative zum Surfen über das Mobilfunknetz. Allerdings sind sie meist entweder völlig unverschlüsselt, oder der Wlan-schlüssel ist gut sichtbar auf einem Plakat notiert. So können Sie sich zwar schnell verbinden, aber ein Angreifer kann ebenso bequem den Datenverkehr abhören.
Das Verfahren Wi-fi Enhanced Open soll die Sicherheit in frei verfügbaren WLANS zumindest etwas erhöhen. Dafür nutzt es OWE (Opportunistic Wireless Encryption): Damit kommt ein Gerät ohne Passwort in ein öffentliches WLAN, handelt mit dessen Router aber eine individuelle Verschlüsselung für die Datenverbindung aus. Ein passiver Lauscher am Nebentisch oder im Nebenzimmer bekommt dann nichts mehr mit. Voraussetzung dafür ist allerdings, dass sowohl der Router des WLANS wie auch das WLAN-GERÄT, das sich verbinden will, OWE unterstützen. Denn während der Anmeldung müssen beide signalisieren, dass sie das Verfahren kennen, um anschließend auf diese Weise einen sicheren Verbindungsschlüssel aushandeln zu können.
Wie lassen sich Wlan-geräte mit WPA3 aktualisieren?
WPA3 und die anderen neuen Sicherheitsstandards lassen sich grundsätzlich über ein Software-update nachrüsten, da sie keine neue Hardware voraussetzen. Einige Experten gehen bei WPA3 davon aus, dass der Sae-schlüsselaustausch weniger Rechenleistung als PSK erfordern soll, also auch für ältere Geräte möglich ist. Ob und wann aber Hersteller ein Wpa3-upgrade anbieten und ob sie das für alle ihre Geräte tun werden, ist unklar. Wahrscheinlich wird das erst dann der Fall sein, wenn die Nachfrage nach WPA3 so stark ist, dass sich Wpa2-geräte nicht mehr gut verkaufen lassen. Die meisten Wlan-hersteller, die Geräte für das Heimnetz verkaufen, sehen WPA2 derzeit als ausreichend sicher an, sofern alle entsprechenden Firmware-updates installiert sind.
Einen verpflichtenden Teil des Wpa3-standards bieten einige Wlan-geräte schon jetzt: Protected Management Frames (PMF) sollten Schutz vor gefälschten Steuerungspaketen bieten. Damit lässt sich verhindern, dass ein Angreifer Clients absichtlich vom Router trennt, um sie anschließend auf einen eigenen Router umzuleiten oder ihre erneute Verbindung mit dem Router zu belauschen, um an das Wlan-passwort zu kommen. Bei einer Fritzbox mit Fritz-os 7 zum Beispiel aktivieren Sie PMF unter „WLAN –› Sicherheit –› Verschlüsselung“.