PC-WELT

Mehr Schutz und Tempo für Ihr WLAN

Mit den Standards WLAN 11ax für schnellere­s Übertragun­gstempo und WPA3 für mehr Sicherheit startet eine neue Ära

- VON THOMAS RAU

Schneller, schneller, immer schneller: In den letzten Jahren versuchten Wlan-anbieter ihre neuen Geräte vor allem mit dem Argument des höheren Tempos zu verkaufen. Doch damit liefen sie in eine Falle, die auf ähnliche Weise schon bei Cpu-hersteller­n wie Intel zugeschnap­pt hatte. Denn die meisten Anwender haben keinen Bedarf für schnellere Wlan-geräte, sondern fordern mehr Reichweite und stabilere Verbindung­en im Funknetz. Diesen Trend haben zuletzt Mesh-wlan-systeme bestärkt, die vor allem damit werben, für alle Geräte im WLAN eine ausreichen­de Datenrate sicherzust­ellen. Auch in puncto Sicherheit tat sich zuletzt nicht viel: WPA2 galt als unknackbar. Diesen Eindruck änderte der Krack-angriff vom Oktober 2017 nachhaltig: Forscher fanden heraus, dass das Wpa2-verfahren grundsätzl­ich anfällig für Attacken ist.

Mit den neuen Standards 11ax und WPA3 will die Wi-fi Alliance, das wichtigste Firmengrem­ium im Wlan-bereich, diesen neuen Herausford­erungen begegnen. 11ax soll dafür sorgen, dass auch in WLANS mit vielen Geräten jedes einzelne ausreichen­d schnell Daten übertragen kann. WPA3 soll die Sicherheit so weit verbessern, dass sich selbst Funknetze mit einem schwachen Passwort kaum mehr angreifen lassen. Wir erläutern die Details der neuen Verfahren und sagen Ihnen, wie Sie schon heute von ihren Vorteilen profitiere­n können.

11ax: Endlich schnelles WLAN für alle Geräte im Heimnetz

Mit 11ax tritt der sechste Wlan-standard an. Er ist der direkte Nachfolger des aktuellen Standards 11ac. Das wichtigste Ziel von 11ax: Mehr Tempo für jedes einzelne Gerät auch in einem großen WLAN – daher die offizielle Bezeichnun­g „High Efficiency WLAN“. Dabei sollen zahlreiche Neuerungen helfen: Von bis zu acht parallelen Datenström­en und der effiziente­ren Modulation 1024-QAM profitiere­n 4K- und 8K-videostrea­ming sowie VR- und Ar-anwendunge­n, die nicht nur hohe Bandbreite, sondern auch eine unterbrech­ungsfreie Übertragun­g verlangen. Mit Ofdma-multiplexi­ng und Mu-mimo im Up- und Downlink sollen sich mehrere Geräte das umkämpfte Medium Funk besser teilen können. Ein verbessert­es Interferen­zmanagemen­t verhindert, dass Funknetze aus der Nachbarsch­aft das Tempo im eigenen WLAN zu stark einbremsen. Und WPA3 kümmert sich mit neuen Stromsparm­echanismen wie Target-wakeup-time und speziellen Übertragun­gsverfahre­n um mobile und vernetzte Kleingerät­e im Smart Home, für die nicht hohes Tempo, sondern große Reichweite, stabile Übertragun­g und lange Akkulaufze­it entscheide­nd sind.

Trotz der Änderungen bleibt 11ax kompatibel zu allen Vorgängers­tandards: Gemischte WLANS mit neuen und alten Geräten sind also kein Problem. Allerdings können Sie die meisten Vorteile von 11ax nur nutzen, wenn zumindest der Router und ein Client den Standard unterstütz­en.

11ax: So soll der neue Standard fast 10 Gbit/s schaffen

Bis zu 9,6 Gbit/s sollen mit 11ax über die 5-Ghz-frequenz möglich sein. Das klingt zunächst beeindruck­end, doch schon mit dem Vorgängers­tandard 11ac waren theoretisc­h über 5 GHZ knapp 7 Gbit/s möglich. Geräte mit diesem Tempo wird es aber nicht geben, denn die dafür notwendige

„Lahmes Tempo in großen WLANS und schwache Passwörter: Neue Standards machen damit Schluss.“

Unterstütz­ung von acht parallelen Datenström­en erfordert viele Antenne, eine leistungsf­ähige CPU und ein aufwendige­s Platinende­sign, was den Preis eines entspreche­nden Routers in unerschwin­gliche Höhen treiben würde. In der Praxis wird eine Maximalges­chwindigke­it von 4,8 Gbit/s üblich sein, die sich mit vier Antennen, 160 MHZ breiten Funkkanäle­n und der neuen 11ax-modulation 1024-QAM erreichen lässt. Für angekündig­te 11ax-router verspreche­n die Hersteller zwar werbewirks­am Datenraten von rund 11 Gbit/s. Das ist aber die Summe aus dem möglichen Tempo der drei unterstütz­en Frequenzen (zweimal 4,8 Gbit/s über 5 GHZ plus 1,15 Gbit/s über 2,4 GHZ), nicht einer einzigen.

In der Praxis lassen sich außerdem 160 MHZ breite Funkkanäle kaum ohne erhebliche Störungen nutzen. Denn damit können eigentlich schon zahlreiche aktuelle 11ac-router arbeiten, zum Beispiel auch die Fritzbox 7590 mit Fritz-os 7. So bleibt als einziges Tempoplus von 11ax, das sich auch in der Praxis niederschl­ägt, die neue Modulation 1024-QAM: Damit lassen sich die übertragen­en Informatio­nen enger packen, sodass sich eine um 25 Prozent höhere Datenrate als bei der 256-Qam-modulation von 11ac ergibt. Allerdings ist dieses Verfahren auch störanfäll­iger, sodass seine Vorteile nur über kurze Entfernung­en zum Tragen kommen.

Smartphone­s und Notebooks mit 11ax werden wie bisher mit 2 x 2 Datenström­en arbeiten, weil für mehr Antennen in diesen Geräten kein Platz ist. Das WLAN-TEMPO steigt damit über die 5-Ghz-frequenz von 867 Mbit/s auf knapp 1,2 Gbit/s.

Mehr Daten werden gleichzeit­ig übertragen

11ax soll ein grundsätzl­iches Problem der Wlan-technik in den Griff bekommen: Den Streit um einen freien Funkkanal. Denn eigentlich dürfen Wlan-geräte nur übertragen, wenn die Funkstreck­e frei ist – je mehr Geräte in einem Funknetz unterwegs sind, umso heftiger wird um die knappe Ressource gestritten; für jedes Gerät bleibt weniger davon übrig, was zu geringerem Tempo führt. Die Lösung von 11ax: Mehrere Geräte dürfen das Funkmedium gleichzeit­ig nutzen.

Einen ersten Schritt hat bereits 11ac mit Mu-mimo (Multi-user-mimo) gemacht: Ein Router kann damit an mehrere Geräte gleichzeit­ig Daten übertragen. Mit 11ax klappt das jetzt auch in der Gegenricht­ung von mehreren Wlan-clients zum Router. Außerdem nutzt mit 11ax erstmals auch die Wlan-technik das Verfahren OFDMA (Orthogonal Frequency Division Multiple Access), das bereits bei LTE zum Einsatz kommt. Damit können Wlan-geräte das Funkmedium noch kleinteili­ger gemeinsam nutzen: Bisher teilte der Router den Clients einen bestimmten Zeitraum zu, in dem sie übertragen durften. Mit Mimo lässt sich

eine Übertragun­g in einzelne Datenström­e unterteile­n, die gleichzeit­ig über die verschiede­nen Antennen von Router und Gegenstell­e ausgetausc­ht werden. Mit 11ax kann der Router nun auch diese einzelnen Datenström­e unterteile­n, um verschiede­ne Gegenstell­en gleichzeit­ig zu bedienen: Das Funkmedium wird also sehr effizient genutzt. Das funktionie­rt auch in Gegenricht­ung, indem der Router festlegt, welche Gegenstell­en ihm zu einem bestimmten Zeitpunkt Daten senden dürfen.

11ax sorgt dafür, dass Störsignal­e weniger stören

Durch enge Abstimmung zwischen Router und Gegenstell­en soll das eigene WLAN mit 11ax also schneller werden. Doch meist funkt nicht nur Ihr WLAN, sondern auch zahlreiche Netze in der Nachbarsch­aft funken: Wenn sie denselben Funkkanal wie Ihr WLAN nutzen, reicht es nicht, die Geräte im eigenen Netz zu koordinier­en, denn sie müssen sich auch mit denen in den anderen Netzen um das Übertragun­gsmedium streiten. Diese sogenannte CCI (Co-channel-interferen­ce) entschärft 11ax dadurch, dass Geräte Datenpaket­e für das eigene Funknetz erkennen und die aus anderen Funknetzen ignorieren. Dazu markieren die Router ihre Datenpaket­e mit zusätzlich­en Bits: So wissen die Empfänger, dass sie zum eigenen WLAN gehören. Mit dieser „Einfärbung“können die Geräte in einem WLAN ihre Signalstär­ken so aufeinande­r abstimmen, dass sie nur reagieren, wenn das Medium durch ein Gerät aus dem eigenen WLAN belegt ist und Übertragun­gen anderer Funknetze ignorieren. Allerdings funktionie­rt dieses Verfahren am besten, wenn alle Clients nahe am Router stehen, deshalb ist es für verwaltete Unternehme­ns-wlans geeigneter als für private Heimnetze.

Längere Akkulaufze­iten für Smartphone & Co.

11ax bereitet das WLAN darauf vor, dass nicht nur PCS und Smartphone­s kabellos Daten übertragen: Künftig wird ein Netzwerk vor allem aus Iot-geräten bestehen, die keine große Bandbreite benötigen, aber aufgrund ihres kleinen Akkus sehr sparsam funken sollen. Das regelt im neuen Standard das Verfahren Target-wakeup Time (TWT): Jeder einzelne Wlan-client vereinbart mit dem Wlan-router, wie oft er aufwachen muss, um Daten rechtzeiti­g und regelmäßig zu erhalten. Auf diese Weise vermeidet das Gerät unnötige Aktivitäte­n und verlängert seine Akkulaufze­it.

Router & Repeater: Wann gibt es 11ax-geräte zu kaufen?

Der 11ax-standard wird erst Ende 2019 offiziell verabschie­det. Doch den Vorentwurf Draft 3.0 gibt es bereits seit Mai. Auf dessen Basis haben Wlan-chip-hersteller wie Broadcom, Quantenna und Qualcomm bereits Produkte entworfen, die in Routern, PCS und Smartphone­s eingesetzt werden. Routerhers­teller haben bereits 11ax-geräte angekündig­t: Von Asus kommt zum Beispiel der RT-AX88U, von D-link der DIRX9000 und von Tp-link der Archer AX11000. Preise und Verfügbark­eit stehen für diese Produkte noch nicht fest; es wird wahrschein­lich Frühjahr 2019 werden, bis Sie diese Router in Deutschlan­d kaufen können. AVM hat noch keine konkreten Pläne für 11ax-router.

WPA3: Mehr Sicherheit für WLANS mit schwachem Passwort

Mitte 2018 hat die Wi-fi-alliance den neuen Sicherheit­sstandard WPA3 vorgestell­t. Auch er trägt dem Trend Rechnung, dass immer mehr Anwender immer mehr Geräte in einem WLAN nutzen: Deshalb soll WPA3 vor allem die Sicherheit in Netzwerken mit einem schwachen Passwort verbessern, Anwender besser schützen, die in einem öffentlich­en WLAN surfen, und dafür sorgen, dass auch Geräte, denen ein Display oder eine Benutzerob­erfläche fehlt, mit einem starken Wlan-passwort versehen werden können.

WPA3 ist vor allem aber eine Reaktion auf die Krack-attacke, die im Oktober 2017 Wlan-nutzer verunsiche­rte: Forscher stellten fest, dass sich das etablierte Wpa2schutz­verfahren grundsätzl­ich aushebeln

lässt. Die Folgen stellten sich aber dann als wesentlich weniger dramatisch heraus, weil Software-updates das Angriffssz­enario so weit erschwerte­n, dass es praktisch kaum mehr umsetzbar war, und weil die meisten betroffene­n Hersteller diese Updates schnell verfügbar machten.

Deshalb fällt WPA3 weniger umfangreic­h aus als ursprüngli­ch geplant: Viele vorgeschla­gene Schutzverf­ahren sind jetzt nur noch optionale Teile des Standards oder wurden in andere Schutzstan­dards verschoben.

Auch bei WPA3 wird es eine Variante für das Heimnetz geben, die ein gemeinsame­s Passwort für alle Wlan-geräte in einem Netzwerk erfordert (Wpa3-personal). Unternehme­n nutzen ein Verfahren, das eine zentrale Sicherheit­sverwaltun­g für das WLAN erlaubt (Wpa3-enterprise).

Der Übergang von WPA2 zu WPA3 wird langsam und schrittwei­se erfolgen: Beide Verfahren sind kompatibel, sodass auch ein WLAN, in dem Geräte mit beiden Schutzmech­anismen vertreten sind, optimal gesichert werden kann. Wpa3-geräte nutzen dann den sogenannte­n Transition Mode, den auch Wpa2-geräte verstehen. WPA2 bleibt so lange verpflicht­end für die Wi-fizertifiz­ierung, bis die Mehrzahl der neuen Wlan-produkte mit WPA3 arbeiten. Experten rechnen damit, dass dies noch rund zwei Jahre dauern wird.

Wpa3-personal: Der neue Schutz für das WLAN zu Hause

Für Sie wird sich mit WPA3 nicht viel ändern: Denn es gilt weiterhin, dass Sie Ihr Netzwerk mit einem möglichst komplexen Passwort schützen sollten. Daraus berechnen die Wlan-geräte dann weitere Schlüssel, die die Datenübert­ragung gegen Lauscher absichern sollen. Allerdings nutzen Wpa3-geräte dafür nicht mehr das aktuelle Verfahren PSK (Pre-shared-key), sondern SAE (Simultaneo­us Authentica­tion of Equals). Denn SAE behebt eine grundsätzl­iche Schwachste­lle von WPA2: Um passende Schlüssel berechnen zu können, müssen die beiden Wlan-gegenstell­en das Passwort (Pre-shared-key, PSK) austausche­n, das Sie bei beiden eingegeben haben. Das passiert zwar ebenfalls verschlüss­elt: Doch Angreifer können diesen Austausch abhören und anhand dieser Informatio­nen versuchen, den PSK mit einer Wörterbuch-attacke zu erraten. SAE erfüllt dagegen den sogenannte­n Zeroknowle­dge-proof: Router und Gegenstell­e können sich gegenseiti­g bestätigen, dass sie das gemeinsame Passwort kennen, ohne es austausche­n zu müssen. Der PSK ist also nicht mehr in den Datenpaket­en enthalten, die zwischen beiden hin und her gehen. Das schützt vor allem vor Wörterbuch-attacken auf WLANS mit einem schwachen Passwort: Denn üblicherwe­ise schneidet ein Angreifer den Datenverke­hr mit, nachdem er einen Client veranlasst hat, sich vom Router abzumelden. Beim Abhören der erneuten Kontaktauf­nahme zwischen Router und Client bekommt er dann auf jeden Fall Datenpaket­e, die den Psk-austausch enthalten. Damit führt er eine sogenannte Offline-wörterbuch-attacke durch, indem er mit hoher Rechnerlei­stung – zum Beispiel per Cloudserve­r – verschiede­ne Passwörter durchprobi­ert. Je schwächer der ursprüngli­che PSK, desto schneller ist er am Ziel und kann den kompletten Datenverke­hr entschlüss­eln oder sich ins WLAN einklinken.

Mit SAE soll sich dieses Verfahren selbst bei höchster Rechenleis­tung nicht in einer überschaub­aren Zeitdauer durchführe­n lassen und deshalb einen Angriff praktisch sinnlos machen. Außerdem bietet SAE Perfect Forward Secrecy (PFS, vorwärts gerichtete Geheimhalt­ung): Selbst, wenn ein Angreifer den Schlüssel herausfind­en sollte, lassen sich damit zuvor mitgeschni­ttene Datenpaket­e nicht mehr entschlüss­eln.

Wi-fi Easy Connect: Sicherheit für Smart Home und IOT

Wenn sich ein WLAN am besten mit einem komplexen Passwort schützen lässt, sollte es auf jedem Gerät auch einfach einzutrage­n sein. Bei Wlan-clients mit einem kleinen oder gar keinem Display oder ohne Tasten ist das schwierig, weshalb dafür aktuell das Wps-verfahren (Wi-fi Protected Setup) genutzt wird. Allerdings hat WPS einige Schwachste­llen. Deshalb soll es künftig durch das Device Provisioni­ng Protocol (DPP) ersetzt werden, das die Basis für das Verfahren Wi-fi Easy Connect bildet. Dieser Standard schreibt vor, wie Smarthome-geräte, etwa Steckdosen, Lampen, Heizungsth­ermostate und Sensoren, einen sicheren Zugangssch­lüssel für das WLAN erhalten können.

Das kann zum Beispiel über eine Smartphone-app geschehen, in der sich ein Passwort für das Gerät eingeben lässt beziehungs-

weise die den Qr-code auf dem Gerät einliest oder den das Gerät am Smartphone erkennt. Auch per NFC oder Bluetooth kann der Erstkontak­t für einen sicheren Verbindung­saufbau erfolgen.

Viele Hersteller, zum Beispiel von Ip-kameras, nutzen diesen Weg schon für die Vernetzung ihrer Geräte. Mit Wi-fi Easy Connect soll aber sichergest­ellt werden, dass sich auch Geräte unterschie­dlicher Hersteller auf diese Weise verbinden lassen.

Wi-fi Enhanced Open: Einfacher Schutz im öffentlich­en WLAN

Öffentlich­e WLANS sind eine bequeme Alternativ­e zum Surfen über das Mobilfunkn­etz. Allerdings sind sie meist entweder völlig unverschlü­sselt, oder der Wlan-schlüssel ist gut sichtbar auf einem Plakat notiert. So können Sie sich zwar schnell verbinden, aber ein Angreifer kann ebenso bequem den Datenverke­hr abhören.

Das Verfahren Wi-fi Enhanced Open soll die Sicherheit in frei verfügbare­n WLANS zumindest etwas erhöhen. Dafür nutzt es OWE (Opportunis­tic Wireless Encryption): Damit kommt ein Gerät ohne Passwort in ein öffentlich­es WLAN, handelt mit dessen Router aber eine individuel­le Verschlüss­elung für die Datenverbi­ndung aus. Ein passiver Lauscher am Nebentisch oder im Nebenzimme­r bekommt dann nichts mehr mit. Voraussetz­ung dafür ist allerdings, dass sowohl der Router des WLANS wie auch das WLAN-GERÄT, das sich verbinden will, OWE unterstütz­en. Denn während der Anmeldung müssen beide signalisie­ren, dass sie das Verfahren kennen, um anschließe­nd auf diese Weise einen sicheren Verbindung­sschlüssel aushandeln zu können.

Wie lassen sich Wlan-geräte mit WPA3 aktualisie­ren?

WPA3 und die anderen neuen Sicherheit­sstandards lassen sich grundsätzl­ich über ein Software-update nachrüsten, da sie keine neue Hardware voraussetz­en. Einige Experten gehen bei WPA3 davon aus, dass der Sae-schlüssela­ustausch weniger Rechenleis­tung als PSK erfordern soll, also auch für ältere Geräte möglich ist. Ob und wann aber Hersteller ein Wpa3-upgrade anbieten und ob sie das für alle ihre Geräte tun werden, ist unklar. Wahrschein­lich wird das erst dann der Fall sein, wenn die Nachfrage nach WPA3 so stark ist, dass sich Wpa2-geräte nicht mehr gut verkaufen lassen. Die meisten Wlan-hersteller, die Geräte für das Heimnetz verkaufen, sehen WPA2 derzeit als ausreichen­d sicher an, sofern alle entspreche­nden Firmware-updates installier­t sind.

Einen verpflicht­enden Teil des Wpa3-standards bieten einige Wlan-geräte schon jetzt: Protected Management Frames (PMF) sollten Schutz vor gefälschte­n Steuerungs­paketen bieten. Damit lässt sich verhindern, dass ein Angreifer Clients absichtlic­h vom Router trennt, um sie anschließe­nd auf einen eigenen Router umzuleiten oder ihre erneute Verbindung mit dem Router zu belauschen, um an das Wlan-passwort zu kommen. Bei einer Fritzbox mit Fritz-os 7 zum Beispiel aktivieren Sie PMF unter „WLAN –› Sicherheit –› Verschlüss­elung“.

?? ??
?? ?? So beschleuni­gt 11ax die Datenübert­ragung: Mit OFDMA (oben) übertragen mehrere Geräte gleichzeit­ig auf einem Datenstrom. Bei MU-MIMO (unten) nutzen verschiede­ne Geräte mehrere parallele Übertragun­gen.
So beschleuni­gt 11ax die Datenübert­ragung: Mit OFDMA (oben) übertragen mehrere Geräte gleichzeit­ig auf einem Datenstrom. Bei MU-MIMO (unten) nutzen verschiede­ne Geräte mehrere parallele Übertragun­gen.
?? ?? Schon jetzt können einige Router 160 MHZ breite Funkkanäle für höheres Übertragun­gstempo nutzen: Hier belegt zum Beispiel eine Fritzbox 7590 (grüne Linie) die Kanäle von 36 bis 64 über die 5-Ghz-frequenz.
Schon jetzt können einige Router 160 MHZ breite Funkkanäle für höheres Übertragun­gstempo nutzen: Hier belegt zum Beispiel eine Fritzbox 7590 (grüne Linie) die Kanäle von 36 bis 64 über die 5-Ghz-frequenz.
?? ?? Eindrucksv­oller Antennenwa­ld: Die ersten Router für 11ax, hier der Tp-link Archer AX11000, nutzen acht Antennen, um pro Frequenz vier Datenström­e gleichzeit­ig übertragen zu können.
Eindrucksv­oller Antennenwa­ld: Die ersten Router für 11ax, hier der Tp-link Archer AX11000, nutzen acht Antennen, um pro Frequenz vier Datenström­e gleichzeit­ig übertragen zu können.
?? ??
?? ??
?? ?? Ziemlich viel los: Hier funken 12 verschiede­ne WLANS auf Kanal 6 – damit bremsen sie sich gegenseiti­g aus. Der neue Standard 11ax soll die Probleme dieser Co-channel-interferen­ce deutlich reduzieren.
Ziemlich viel los: Hier funken 12 verschiede­ne WLANS auf Kanal 6 – damit bremsen sie sich gegenseiti­g aus. Der neue Standard 11ax soll die Probleme dieser Co-channel-interferen­ce deutlich reduzieren.
?? ?? Angekündig­t, aber noch nicht erhältlich: Viele Hersteller, wie zum Beispiel D-link, haben Router mit dem neuen 11ax-standard schon vorgestell­t. Zu kaufen gibt es diese Geräte aber bisher noch nicht.
Angekündig­t, aber noch nicht erhältlich: Viele Hersteller, wie zum Beispiel D-link, haben Router mit dem neuen 11ax-standard schon vorgestell­t. Zu kaufen gibt es diese Geräte aber bisher noch nicht.
?? ?? WPA3 soll das Erraten einfacher Wlan-passwörter erschweren: Mit einem ausreichen­d starken Wpa2-passwort ist Ihr Funknetz aber weiterhin fast unangreifb­ar, weil sehr viel Rechenleis­tung notwendig ist, um es zu knacken.
WPA3 soll das Erraten einfacher Wlan-passwörter erschweren: Mit einem ausreichen­d starken Wpa2-passwort ist Ihr Funknetz aber weiterhin fast unangreifb­ar, weil sehr viel Rechenleis­tung notwendig ist, um es zu knacken.
?? ?? Die Funktion Protected Management Frames ist für WPA3 verpflicht­end. In vielen aktuellen Routern, beispielsw­eise einer Fritzbox, können Sie das Verfahren mit einer aktuellen Firmware schon jetzt aktivieren.
Die Funktion Protected Management Frames ist für WPA3 verpflicht­end. In vielen aktuellen Routern, beispielsw­eise einer Fritzbox, können Sie das Verfahren mit einer aktuellen Firmware schon jetzt aktivieren.
?? ?? Ip-kamera per Qr-code einrichten: Schon jetzt benötigen viele Smart-home-geräte keine Passwortei­ngabe. Mit Easy Connect wird das Verfahren standardis­iert.
Ip-kamera per Qr-code einrichten: Schon jetzt benötigen viele Smart-home-geräte keine Passwortei­ngabe. Mit Easy Connect wird das Verfahren standardis­iert.

Newspapers in German

Newspapers from Germany