So schützen Sie Ihr WLAN
Jedes Funknetz lässt sich angreifen – mit nur wenig Aufwand sichern Sie Ihr WLAN rundum ab
Die Null macht unsicher. Vor einigen Wochen sorgte die neue Wlan-sicherheitslücke Kr00k für Aufregung. Laut Experten von Eset betrifft sie bis zu einer Milliarde Geräte, darunter iphones, Galaxy-modelle von Samsung sowie Echo-lautsprecher von Amazon. Die dort eingebauten WLAN-CHIPS sichern unter bestimmten Bedingungen die Datenübertragung nur schwach, eben mit einem Schlüssel aus lauter Nullen.
Wie bei vielen Wlan-attacken ist die Gefahr von Kr00k theoretisch hoch. Praktisch müssen sich Angreifer aber für eine gewisse Zeit in unmittelbarer Nähe Ihres Funknetzes befinden. Außerdem haben die meisten betroffenen Hersteller schon mit Updates reagiert. Trotzdem zeigt auch Kr00k wieder: Mit genug Zeit und Ressourcen lässt sich jeder Wlan-schutz aushebeln. Deshalb sollten Sie dafür sorgen, dass Sie Hackern die Angriffe erschweren.
Die passenden Maßnahmen dafür stellen wir hier vor: Vom besten Verschlüsselungsverfahren fürs Funknetz über Sicherheitseinstellungen für den Router bis hin zu Tools, mit denen Sie die Wlan-sicherheit prüfen können.
Der wichtigste Schutz: Erstellen Sie ein starkes Passwort
Ein starkes Wlan-passwort ist die Grundlage für den Schutz Ihres Funknetzes. Bekommt ein Angreifer das Passwort in die Hände, kann er sich im WLAN anmelden, den Datenverkehr belauschen und auf Netzwerkgeräte zugreifen.
Je länger und komplizierter ein Passwort ist, desto schwieriger ist es zu knacken. In den meisten Routern dürfen Sie einen Netzwerkschlüssel eintragen, der zwischen 8 und 63 Zeichen lang ist. Empfehlenswert ist eine Länge von mindestens 20 Zeichen. Wie bei jedem robusten Passwort sollten Sie auch beim Wlan-schlüssel keine echten Wörter benutzen und keine Buchstaben-zahlen-kombinationen, die sich leicht erraten lassen – zum Beispiel Ihren Namen plus das Geburtsdatum. Wechseln Sie beim Passwort zwischen Groß- und Kleinschreibung, Buchstaben, Ziffern und Sonderzeichen. Bei Letzteren müssen Sie darauf achten, welche der Router annimmt: Häufig sind Zeichen, die nur in einer bestimmten Sprache vorkommen, nicht zulässig – etwa Umlaute, ß oder Akzente.
Wenn Sie ein sicheres Passwort verwenden, müssen Sie es nicht regelmäßig ändern. Ausnahme: Kommt Ihr Router ab Werk mit einem voreingestellten Wlan-schlüssel, sollten Sie diesen unbedingt tauschen. Denn er ist meist auf dem Gehäuse oder im Handbuch abgedruckt. Auch wenn Sie Ihr Wlan-passwort weitergegeben haben, zum Beispiel, weil sich ein Besucher mal schnell im Funknetz anmelden wollte, ist ein nachträgliches Ändern empfehlenswert. Auch wenn Sie jemanden nur kurz ins WLAN lassen wollen, sollten Sie dafür besser einen Gast-zugriff im Router einrichten.
Ihren Router können Sie auch per WLAN einrichten, wenn sein Funknetz ab Werk mit einem Passwort geschützt ist. Hat er keines, sollte die grundlegende Konfiguration aus Sicherheitsgründen am besten per Lankabel von PC oder Notebook aus erfolgen.
WPA, WPA2, WPA3: So wählen Sie die richtige Verschlüsselung
Ein Wlan-passwort ist aber nur in Verbindung mit einem starken Verschlüsselungsverfahren sicher. Denn aus dem Schlüssel, den Sie im Router festlegen und für die Verbindung in den Wlan-clients eingeben, berechnen die Geräte weitere Passwörter, die sie zur Wlan-anmeldung und zum Verschlüsseln der übertragenen Daten einsetzen: Wie sie dabei vorgehen, legen Sie durch das eingestellte Verschlüsselungsverfahren fest.
Derzeit gilt das Verfahren WPA2 als hinreichend sicher – deshalb sollten Sie es im Router unbedingt auswählen. Bei einigen Modellen müssen Sie dafür die Option
„Wlan-schutz ist einfach: Sie müssen nur wenige, grundlegende Einstellungen richtig vornehmen.“
„Wpa2-personal“oder „WPA2-PSK“wählen. Manchmal finden Sie im Routermenü stattdessen oder zusätzlich die Abkürzung CCMP, die für Counter Mode with Cipher Block Chaining Message Authentication Code Protocol steht. Dieses Protokoll nutzt WPA2 zusammen mit dem Verschlüsselungsverfahren AES.
Sie sollten auf jeden Fall im Router nur WPA2 aktivieren. Einige Geräte bieten zwar die Option „WPA/WPA2“an, damit ältere Geräte, die nur den Vorgängerstandard WPA unterstützen, sich ebenfalls mit dem WLAN verbinden können. Doch statt diese Einstellung zu wählen, verzichten Sie lieber auf die älteren Geräte: Neben ihrer geringen Wlansicherheit stellen sie auch deshalb eine Gefahr fürs Heimnetz dar, weil sie häufig vom Hersteller nicht mehr mit Firmwareupdates versorgt werden und so durch ungeschlossene Sicherheitslücken Angreifern eine Chance geben, in Ihr Heimnetz zu gelangen.
Die höchste Wlansicherheit bietet das neue Verschlüsselungsverfahren WPA3. Zwar unterstützen es schon die beliebten Fritzboxmodelle 7490 und 7590, aber bisher nur wenige Wlanclients. Die Sicherheit von WPA2 können Sie erhöhen, wenn sich bei Ihrem Router PMF (Protected Management Frames) aktivieren lassen. Dann schützen Sie ihn vor einer Deauthenticationattacke (siehe Kasten auf S. 44). Passwort und Verschlüsselungsverfahren für Ihr WLAN legen Sie im Router fest. Bei einer Fritzbox gehen Sie dazu ins Menü „WLAN –› Sicherheit“. Die Verschlüsselung legen Sie fest, indem Sie ganz oben die Option „Wpaverschlüsselung“aktivieren und darunter bei „Wpamodus“entweder „WPA2 (CCMP) oder „WPA2+WPA3“auswählen. Eine Zeile darunter geben Sie Ihr Wlanpasswort ein. Die Fritzbox zeigt beim Tippen an, wie sicher der gewählte Begriff ist. Das Passwort fragt die Fritzbox anschließend bei jedem Gerät ab, das mit ihr Verbindung aufnimmt. PMF aktivieren Sie dann unter „Weitere Sicherheitseinstellungen –› Unterstützung für geschützte Anmeldung von Wlangeräten (PMF) aktivieren“. Mit welchen Wlanschutzverfahren Ihre Windowsrechner arbeiten können, prüfen Sie über einen Kommandozeilenbefehl. Tippen Sie dazu in die Eingabeaufforderung netsh wlan show driver. Der Befehl liefert als Antwort unter anderem eine Liste der von der Wlanhardware unterstützen Schutzverfahren – hier sollte unbedingt „Wpa2personal CCMP“stehen sowie für PMF „Ja“in der Zeile „802.11w Management Frame Protection wird unterstützt“.
Routerzugang sichern: Wählen Sie ein individuelles Passwort
WLAN und Heimnetz lassen sich auch über das Internet angreifen – wenn ein Hacker Zugriff auf den Router bekommt. Diese Angriffe etwa per Crosssite Request Forgery
(siehe Kasten S. 44) können nur gelingen, weil viele Anwender den Benutzernamen und das Passwort für das Einstellungsmenü des Routers auf den Standardwerten belassen. Und die stehen meist in den Handbüchern, die online verfügbar sind, oder lassen sich sehr leicht erraten, weil sie etwa „Admin“und „password“lauten.
Daher müssen Sie unbedingt das Passwort für den Routerzugang ändern – am besten nach denselben Sicherheitsvorgaben, die
Sie auch für das Wlan-passwort verwenden. Das gilt auch dann, wenn der Hersteller auf dem Router ab Werk einen individuellen
Zugang eingerichtet hat, denn der steht oft auf dem Gehäuse und ist daher für einen Angreifer vor Ort zugänglich.
Bei einer Fritzbox ändern Sie das Kennwort unter „System –› Fritz!box-benutzer –› Anmeldung im Heimnetz“. Greifen Sie nur lokal auf das Routermenü zu, genügt zu dessen Schutz ein sicheres Passwort. Sie können stattdessen auch die Option „Anmeldung mit Fritz!box-benutzernamen und Kennwort“aktivieren: Das ist aber eher als Schutz gegen experimentierfreudige Familienmitglieder empfehlenswert, die sich Zugang zum Menü verschaffen wollen. Für den Internetzugang zur Fritzbox müssen Sie ohnehin ein zusätzliches Benutzerkonto mit Passwort einrichten.
In diesem Menü lässt sich außerdem die 2-Faktor-authentififzierung (2FA) aktivieren, die die Fritzbox seit Fritz-os 6.80 bietet: Wenn Sie 2FA nutzen, müssen Sie über ein angeschlossenes Telefon oder eine Taste am Router bestätigen, dass Sie eine Einstellung ändern wollen. Ab Fritz-os 7 klappt das außerdem mit der Google Authenticator App auf einem Smartphone – damit können Sie auch per Fernzugriff Änderungen sicher durchführen.
Schließlich sollten Sie nicht länger im Routermenü angemeldet bleiben als unbedingt nötig und sich immer korrekt abmelden – bei der Fritzbox zum Beispiel über die drei Punkte oben rechts. Die meisten Router sperren das Menü nach einer bestimmten Zeit, wenn keine Eingaben erfolgen – bei der Fritzbox passiert das nach 20 Minuten.
Firmware aktualisieren: Neue Sicherheitslücken schließen
Wlan-router sind nichts anderes als MiniComputer mit einem Betriebssystem. Entsprechend kann diese Software Sicherheitslücken enthalten, die sich von Angreifern ausnutzen lassen. Ebenso wie bei Windows müssen Sie daher die Firmware Ihres Routers regelmäßig aktualisieren. Das funktioniert am einfachsten, wenn das Geräte ein automatisches Update ermöglicht: Bei einer Fritzbox aktivieren Sie diese Funktion im Menü unter „System –› Update –› Auto-update“und markieren „Stufe III“. Bei Speedport-routern der Telekom sollte „Easy Support“aktiviert sein.
Ein waches Auge auf Firmware-updates sollten Sie auch bei anderen Geräten im Heimnetz haben – zum Beispiel bei Nassystemen und Sicherheitskameras, aber auch Smartphones und Tablets: Denn auch durch Lücken auf diesen Geräten gelangen Angreifer ins WLAN und Heimnetz.
Empfehlenswert sind daher Produkte von Herstellern, die sich durch häufige Updates auszeichnen und auch ältere Geräte mit Aktualisierungen versorgen – auch wenn sie teurer sind als vergleichbare Modelle. Bei aktuellen Angriffen auf Produkte einer bestimmten Firma lohnt aber auf jeden Fall ein Besuch der Support-webseite: Denn oft stellt in diesem Fall der Anbieter für Geräte ein Update bereit, für die er den Support eigentlich schon eingestellt hatte.
Weitere Schutzmaßnahmen: Wenig Sicherheitsgewinn, viel Aufwand
Mit den bereits vorgestellten Maßnahmen haben Sie Ihr WLAN schon umfassend geschützt. Es gibt zahlreiche zusätzliche Sicherheitseinstellungen. Sie erhöhen den Schutz allerdings meist nur minimal und verkomplizieren die Verwaltung des Netzwerks. Deshalb sollten Sie sich vorab überlegen, ob Sie damit für Ihr Netzwerk einen echten Zuwachs an Sicherheit erzielen. WLAN abschalten: Ist das Funknetz abgeschaltet, kann sich kein Angreifer in der Nähe einschleichen. Wenn Sie das WLAN nicht benötigen, zum Beispiel nachts, können Sie es bei den meisten Routern über eine Taste am Gehäuse aus- und wieder anschalten, bei einer Fritzbox auch über ein angeschlossenes Fritzfon. Bequemer ist eine zeitgesteuerte Aktivierung: Bei der Fritzbox finden Sie diese Funktion unter „WLAN –› Zeitschaltung“.
Feste Ip-adressen vergeben: Mit einer festen Ip-adresse für jedes Gerät im Heimnetz machen Sie es einem Angreifer schwerer, an eine gültige Adresse im Netzwerk zu gelangen. Denn normalerweise weist der Router als Dhcp-server jedem neuen Gerät automatisch
eine passende Ip-adresse zu. Allerdings dürfen Sie keine Ip-adresse mehrfach vergeben, und in einem größeren Netzwerk geht schnell die Übersicht verloren, welche Adressen noch frei sind. Wollen Sie mit dieser Maßnahme verhindern, dass Gäste ihre
möglicherweise ungesicherten Geräte mit Ihrem Netzwerk verbinden, sollten Sie dafür besser ein GÄSTE-WLAN einrichten. Mac-adressen-filter einsetzen: Auch diese Maßnahme verhindert den unkontrollierten Zugang zum Netzwerk. Für fähige Angreifer ist ein Mac-adressen-filter keine große Hürde, aber den Nachbarn, der
ungebeten die Sicherheit Ihres WLANS testet, können Sie damit eventuell aussperren. In der Filterliste tragen Sie die eindeutigen Mac-adressen der zugelassenen Geräte ein, die Anmeldung anderer lehnt der Router ab. Bei einer Fritzbox finden Sie die Funktion unter „WLAN –› Sicherheit“. Markieren Sie unten auf der Seite die Option
„Wlan-zugang auf die bekannten WLANGeräte beschränken.“
SSID abschalten: Wenn Sie unterbinden, dass Ihr Router die Kennung Ihres WLANS aussendet, verhindern Sie vor allem unabsichtliche und zufällige Verbindungen: Zum Beispiel, wenn Sie die Standard-ssid des Routers unverändert gelassen haben und ein Nachbar das gleiche Modell mit derselben Wlan-kennung nutzt. Einem Angreifer, der gezielt nach Funknetzen sucht, bleibt Ihr WLAN dadurch aber nicht verborgen. Um die Ssid-kennung in einer Fritzbox abzuschalten, entfernen Sie den Haken bei „Name des Wlan-funknetzes sichtbar“im Menü „WLAN –› Funknetz“.
Routermenü und Netzwerktools: Wlan-angriffe sofort entdecken
Der Router hält in seinem Protokoll jedes Geschehen im Heimnetz fest. Überprüfen Sie deshalb zunächst dort, ob Einträge auf ungewöhnliche Vorkommnisse hinweisen. Ein Beispiel können Anmeldungsversuche im WLAN oder am Routermenü sein sowie Hinweise auf geänderte Einstellungen, die Sie nicht vorgenommen haben. Zum Routerprotokoll kommen Sie in der Fritzbox über „System –› Ereignis“.
Sehen Sie außerdem im Routermenü oder per Netzwerktool nach, welche Geräte sich im Heimnetz befinden – und ob sich darunter eventuell ein bisher unbekanntes verbirgt. Einen umfassenden Überblick bietet zum Beispiel die Fritzbox unter „Heimnetz –› Mesh“. Hier sind alle Geräte aufgeführt, die aktuell mit Router und Repeater verbunden sind. Ausführlicher ist die Darstellung unter „Heimnetz –› Netzwerk –› Netzwerkverbindungen“. Dort sehen Sie unter „Ungenutzte Verbindungen“auch alle Geräte, die irgendwann einmal mit der Fritzbox verbunden waren. Hilfreicher wird diese Übersicht, wenn Sie Ihren Heimnetzgeräten zuvor aussagekräftige Namen gegeben haben, an denen Sie sofort erkennen, um welche Hardware es sich handelt. Bei der Fritzbox erledigen Sie das in der Detail-ansicht des jeweiligen Gerätes.
Die gleiche Aufgabe erfüllt auch ein Netzwerktool wie Wireless Network Watcher von Nirsoft (auf HEFT-DVD): Es zeigt in einer Liste nicht nur IP- und Mac-adresse, sondern auch den Hersteller der Netzwerkhardware im Gerät an. Mit dieser Info finden Sie leichter heraus, um welches Gerät im Heimnetz es sich handelt.