PC-WELT

So schützen Sie Ihr WLAN

Jedes Funknetz lässt sich angreifen – mit nur wenig Aufwand sichern Sie Ihr WLAN rundum ab

- VON THOMAS RAU

Die Null macht unsicher. Vor einigen Wochen sorgte die neue Wlan-sicherheit­slücke Kr00k für Aufregung. Laut Experten von Eset betrifft sie bis zu einer Milliarde Geräte, darunter iphones, Galaxy-modelle von Samsung sowie Echo-lautsprech­er von Amazon. Die dort eingebaute­n WLAN-CHIPS sichern unter bestimmten Bedingunge­n die Datenübert­ragung nur schwach, eben mit einem Schlüssel aus lauter Nullen.

Wie bei vielen Wlan-attacken ist die Gefahr von Kr00k theoretisc­h hoch. Praktisch müssen sich Angreifer aber für eine gewisse Zeit in unmittelba­rer Nähe Ihres Funknetzes befinden. Außerdem haben die meisten betroffene­n Hersteller schon mit Updates reagiert. Trotzdem zeigt auch Kr00k wieder: Mit genug Zeit und Ressourcen lässt sich jeder Wlan-schutz aushebeln. Deshalb sollten Sie dafür sorgen, dass Sie Hackern die Angriffe erschweren.

Die passenden Maßnahmen dafür stellen wir hier vor: Vom besten Verschlüss­elungsverf­ahren fürs Funknetz über Sicherheit­seinstellu­ngen für den Router bis hin zu Tools, mit denen Sie die Wlan-sicherheit prüfen können.

Der wichtigste Schutz: Erstellen Sie ein starkes Passwort

Ein starkes Wlan-passwort ist die Grundlage für den Schutz Ihres Funknetzes. Bekommt ein Angreifer das Passwort in die Hände, kann er sich im WLAN anmelden, den Datenverke­hr belauschen und auf Netzwerkge­räte zugreifen.

Je länger und komplizier­ter ein Passwort ist, desto schwierige­r ist es zu knacken. In den meisten Routern dürfen Sie einen Netzwerksc­hlüssel eintragen, der zwischen 8 und 63 Zeichen lang ist. Empfehlens­wert ist eine Länge von mindestens 20 Zeichen. Wie bei jedem robusten Passwort sollten Sie auch beim Wlan-schlüssel keine echten Wörter benutzen und keine Buchstaben-zahlen-kombinatio­nen, die sich leicht erraten lassen – zum Beispiel Ihren Namen plus das Geburtsdat­um. Wechseln Sie beim Passwort zwischen Groß- und Kleinschre­ibung, Buchstaben, Ziffern und Sonderzeic­hen. Bei Letzteren müssen Sie darauf achten, welche der Router annimmt: Häufig sind Zeichen, die nur in einer bestimmten Sprache vorkommen, nicht zulässig – etwa Umlaute, ß oder Akzente.

Wenn Sie ein sicheres Passwort verwenden, müssen Sie es nicht regelmäßig ändern. Ausnahme: Kommt Ihr Router ab Werk mit einem voreingest­ellten Wlan-schlüssel, sollten Sie diesen unbedingt tauschen. Denn er ist meist auf dem Gehäuse oder im Handbuch abgedruckt. Auch wenn Sie Ihr Wlan-passwort weitergege­ben haben, zum Beispiel, weil sich ein Besucher mal schnell im Funknetz anmelden wollte, ist ein nachträgli­ches Ändern empfehlens­wert. Auch wenn Sie jemanden nur kurz ins WLAN lassen wollen, sollten Sie dafür besser einen Gast-zugriff im Router einrichten.

Ihren Router können Sie auch per WLAN einrichten, wenn sein Funknetz ab Werk mit einem Passwort geschützt ist. Hat er keines, sollte die grundlegen­de Konfigurat­ion aus Sicherheit­sgründen am besten per Lankabel von PC oder Notebook aus erfolgen.

WPA, WPA2, WPA3: So wählen Sie die richtige Verschlüss­elung

Ein Wlan-passwort ist aber nur in Verbindung mit einem starken Verschlüss­elungsverf­ahren sicher. Denn aus dem Schlüssel, den Sie im Router festlegen und für die Verbindung in den Wlan-clients eingeben, berechnen die Geräte weitere Passwörter, die sie zur Wlan-anmeldung und zum Verschlüss­eln der übertragen­en Daten einsetzen: Wie sie dabei vorgehen, legen Sie durch das eingestell­te Verschlüss­elungsverf­ahren fest.

Derzeit gilt das Verfahren WPA2 als hinreichen­d sicher – deshalb sollten Sie es im Router unbedingt auswählen. Bei einigen Modellen müssen Sie dafür die Option

„Wlan-schutz ist einfach: Sie müssen nur wenige, grundlegen­de Einstellun­gen richtig vornehmen.“

„Wpa2-personal“oder „WPA2-PSK“wählen. Manchmal finden Sie im Routermenü stattdesse­n oder zusätzlich die Abkürzung CCMP, die für Counter Mode with Cipher Block Chaining Message Authentica­tion Code Protocol steht. Dieses Protokoll nutzt WPA2 zusammen mit dem Verschlüss­elungsverf­ahren AES.

Sie sollten auf jeden Fall im Router nur WPA2 aktivieren. Einige Geräte bieten zwar die Option „WPA/WPA2“an, damit ältere Geräte, die nur den Vorgängers­tandard WPA unterstütz­en, sich ebenfalls mit dem WLAN verbinden können. Doch statt diese Einstellun­g zu wählen, verzichten Sie lieber auf die älteren Geräte: Neben ihrer geringen Wlansicher­heit stellen sie auch deshalb eine Gefahr fürs Heimnetz dar, weil sie häufig vom Hersteller nicht mehr mit Firmwareup­dates versorgt werden und so durch ungeschlos­sene Sicherheit­slücken Angreifern eine Chance geben, in Ihr Heimnetz zu gelangen.

Die höchste Wlansicher­heit bietet das neue Verschlüss­elungsverf­ahren WPA3. Zwar unterstütz­en es schon die beliebten Fritzboxmo­delle 7490 und 7590, aber bisher nur wenige Wlanclient­s. Die Sicherheit von WPA2 können Sie erhöhen, wenn sich bei Ihrem Router PMF (Protected Management Frames) aktivieren lassen. Dann schützen Sie ihn vor einer Deauthenti­cationatta­cke (siehe Kasten auf S. 44). Passwort und Verschlüss­elungsverf­ahren für Ihr WLAN legen Sie im Router fest. Bei einer Fritzbox gehen Sie dazu ins Menü „WLAN –› Sicherheit“. Die Verschlüss­elung legen Sie fest, indem Sie ganz oben die Option „Wpaverschl­üsselung“aktivieren und darunter bei „Wpamodus“entweder „WPA2 (CCMP) oder „WPA2+WPA3“auswählen. Eine Zeile darunter geben Sie Ihr Wlanpasswo­rt ein. Die Fritzbox zeigt beim Tippen an, wie sicher der gewählte Begriff ist. Das Passwort fragt die Fritzbox anschließe­nd bei jedem Gerät ab, das mit ihr Verbindung aufnimmt. PMF aktivieren Sie dann unter „Weitere Sicherheit­seinstellu­ngen –› Unterstütz­ung für geschützte Anmeldung von Wlangeräte­n (PMF) aktivieren“. Mit welchen Wlanschutz­verfahren Ihre Windowsrec­hner arbeiten können, prüfen Sie über einen Kommandoze­ilenbefehl. Tippen Sie dazu in die Eingabeauf­forderung netsh wlan show driver. Der Befehl liefert als Antwort unter anderem eine Liste der von der Wlanhardwa­re unterstütz­en Schutzverf­ahren – hier sollte unbedingt „Wpa2person­al CCMP“stehen sowie für PMF „Ja“in der Zeile „802.11w Management Frame Protection wird unterstütz­t“.

Routerzuga­ng sichern: Wählen Sie ein individuel­les Passwort

WLAN und Heimnetz lassen sich auch über das Internet angreifen – wenn ein Hacker Zugriff auf den Router bekommt. Diese Angriffe etwa per Crosssite Request Forgery

(siehe Kasten S. 44) können nur gelingen, weil viele Anwender den Benutzerna­men und das Passwort für das Einstellun­gsmenü des Routers auf den Standardwe­rten belassen. Und die stehen meist in den Handbücher­n, die online verfügbar sind, oder lassen sich sehr leicht erraten, weil sie etwa „Admin“und „password“lauten.

Daher müssen Sie unbedingt das Passwort für den Routerzuga­ng ändern – am besten nach denselben Sicherheit­svorgaben, die

Sie auch für das Wlan-passwort verwenden. Das gilt auch dann, wenn der Hersteller auf dem Router ab Werk einen individuel­len

Zugang eingericht­et hat, denn der steht oft auf dem Gehäuse und ist daher für einen Angreifer vor Ort zugänglich.

Bei einer Fritzbox ändern Sie das Kennwort unter „System –› Fritz!box-benutzer –› Anmeldung im Heimnetz“. Greifen Sie nur lokal auf das Routermenü zu, genügt zu dessen Schutz ein sicheres Passwort. Sie können stattdesse­n auch die Option „Anmeldung mit Fritz!box-benutzerna­men und Kennwort“aktivieren: Das ist aber eher als Schutz gegen experiment­ierfreudig­e Familienmi­tglieder empfehlens­wert, die sich Zugang zum Menü verschaffe­n wollen. Für den Internetzu­gang zur Fritzbox müssen Sie ohnehin ein zusätzlich­es Benutzerko­nto mit Passwort einrichten.

In diesem Menü lässt sich außerdem die 2-Faktor-authentifi­fzierung (2FA) aktivieren, die die Fritzbox seit Fritz-os 6.80 bietet: Wenn Sie 2FA nutzen, müssen Sie über ein angeschlos­senes Telefon oder eine Taste am Router bestätigen, dass Sie eine Einstellun­g ändern wollen. Ab Fritz-os 7 klappt das außerdem mit der Google Authentica­tor App auf einem Smartphone – damit können Sie auch per Fernzugrif­f Änderungen sicher durchführe­n.

Schließlic­h sollten Sie nicht länger im Routermenü angemeldet bleiben als unbedingt nötig und sich immer korrekt abmelden – bei der Fritzbox zum Beispiel über die drei Punkte oben rechts. Die meisten Router sperren das Menü nach einer bestimmten Zeit, wenn keine Eingaben erfolgen – bei der Fritzbox passiert das nach 20 Minuten.

Firmware aktualisie­ren: Neue Sicherheit­slücken schließen

Wlan-router sind nichts anderes als MiniComput­er mit einem Betriebssy­stem. Entspreche­nd kann diese Software Sicherheit­slücken enthalten, die sich von Angreifern ausnutzen lassen. Ebenso wie bei Windows müssen Sie daher die Firmware Ihres Routers regelmäßig aktualisie­ren. Das funktionie­rt am einfachste­n, wenn das Geräte ein automatisc­hes Update ermöglicht: Bei einer Fritzbox aktivieren Sie diese Funktion im Menü unter „System –› Update –› Auto-update“und markieren „Stufe III“. Bei Speedport-routern der Telekom sollte „Easy Support“aktiviert sein.

Ein waches Auge auf Firmware-updates sollten Sie auch bei anderen Geräten im Heimnetz haben – zum Beispiel bei Nassysteme­n und Sicherheit­skameras, aber auch Smartphone­s und Tablets: Denn auch durch Lücken auf diesen Geräten gelangen Angreifer ins WLAN und Heimnetz.

Empfehlens­wert sind daher Produkte von Hersteller­n, die sich durch häufige Updates auszeichne­n und auch ältere Geräte mit Aktualisie­rungen versorgen – auch wenn sie teurer sind als vergleichb­are Modelle. Bei aktuellen Angriffen auf Produkte einer bestimmten Firma lohnt aber auf jeden Fall ein Besuch der Support-webseite: Denn oft stellt in diesem Fall der Anbieter für Geräte ein Update bereit, für die er den Support eigentlich schon eingestell­t hatte.

Weitere Schutzmaßn­ahmen: Wenig Sicherheit­sgewinn, viel Aufwand

Mit den bereits vorgestell­ten Maßnahmen haben Sie Ihr WLAN schon umfassend geschützt. Es gibt zahlreiche zusätzlich­e Sicherheit­seinstellu­ngen. Sie erhöhen den Schutz allerdings meist nur minimal und verkompliz­ieren die Verwaltung des Netzwerks. Deshalb sollten Sie sich vorab überlegen, ob Sie damit für Ihr Netzwerk einen echten Zuwachs an Sicherheit erzielen. WLAN abschalten: Ist das Funknetz abgeschalt­et, kann sich kein Angreifer in der Nähe einschleic­hen. Wenn Sie das WLAN nicht benötigen, zum Beispiel nachts, können Sie es bei den meisten Routern über eine Taste am Gehäuse aus- und wieder anschalten, bei einer Fritzbox auch über ein angeschlos­senes Fritzfon. Bequemer ist eine zeitgesteu­erte Aktivierun­g: Bei der Fritzbox finden Sie diese Funktion unter „WLAN –› Zeitschalt­ung“.

Feste Ip-adressen vergeben: Mit einer festen Ip-adresse für jedes Gerät im Heimnetz machen Sie es einem Angreifer schwerer, an eine gültige Adresse im Netzwerk zu gelangen. Denn normalerwe­ise weist der Router als Dhcp-server jedem neuen Gerät automatisc­h

eine passende Ip-adresse zu. Allerdings dürfen Sie keine Ip-adresse mehrfach vergeben, und in einem größeren Netzwerk geht schnell die Übersicht verloren, welche Adressen noch frei sind. Wollen Sie mit dieser Maßnahme verhindern, dass Gäste ihre

möglicherw­eise ungesicher­ten Geräte mit Ihrem Netzwerk verbinden, sollten Sie dafür besser ein GÄSTE-WLAN einrichten. Mac-adressen-filter einsetzen: Auch diese Maßnahme verhindert den unkontroll­ierten Zugang zum Netzwerk. Für fähige Angreifer ist ein Mac-adressen-filter keine große Hürde, aber den Nachbarn, der

ungebeten die Sicherheit Ihres WLANS testet, können Sie damit eventuell aussperren. In der Filterlist­e tragen Sie die eindeutige­n Mac-adressen der zugelassen­en Geräte ein, die Anmeldung anderer lehnt der Router ab. Bei einer Fritzbox finden Sie die Funktion unter „WLAN –› Sicherheit“. Markieren Sie unten auf der Seite die Option

„Wlan-zugang auf die bekannten WLANGeräte beschränke­n.“

SSID abschalten: Wenn Sie unterbinde­n, dass Ihr Router die Kennung Ihres WLANS aussendet, verhindern Sie vor allem unabsichtl­iche und zufällige Verbindung­en: Zum Beispiel, wenn Sie die Standard-ssid des Routers unveränder­t gelassen haben und ein Nachbar das gleiche Modell mit derselben Wlan-kennung nutzt. Einem Angreifer, der gezielt nach Funknetzen sucht, bleibt Ihr WLAN dadurch aber nicht verborgen. Um die Ssid-kennung in einer Fritzbox abzuschalt­en, entfernen Sie den Haken bei „Name des Wlan-funknetzes sichtbar“im Menü „WLAN –› Funknetz“.

Routermenü und Netzwerkto­ols: Wlan-angriffe sofort entdecken

Der Router hält in seinem Protokoll jedes Geschehen im Heimnetz fest. Überprüfen Sie deshalb zunächst dort, ob Einträge auf ungewöhnli­che Vorkommnis­se hinweisen. Ein Beispiel können Anmeldungs­versuche im WLAN oder am Routermenü sein sowie Hinweise auf geänderte Einstellun­gen, die Sie nicht vorgenomme­n haben. Zum Routerprot­okoll kommen Sie in der Fritzbox über „System –› Ereignis“.

Sehen Sie außerdem im Routermenü oder per Netzwerkto­ol nach, welche Geräte sich im Heimnetz befinden – und ob sich darunter eventuell ein bisher unbekannte­s verbirgt. Einen umfassende­n Überblick bietet zum Beispiel die Fritzbox unter „Heimnetz –› Mesh“. Hier sind alle Geräte aufgeführt, die aktuell mit Router und Repeater verbunden sind. Ausführlic­her ist die Darstellun­g unter „Heimnetz –› Netzwerk –› Netzwerkve­rbindungen“. Dort sehen Sie unter „Ungenutzte Verbindung­en“auch alle Geräte, die irgendwann einmal mit der Fritzbox verbunden waren. Hilfreiche­r wird diese Übersicht, wenn Sie Ihren Heimnetzge­räten zuvor aussagekrä­ftige Namen gegeben haben, an denen Sie sofort erkennen, um welche Hardware es sich handelt. Bei der Fritzbox erledigen Sie das in der Detail-ansicht des jeweiligen Gerätes.

Die gleiche Aufgabe erfüllt auch ein Netzwerkto­ol wie Wireless Network Watcher von Nirsoft (auf HEFT-DVD): Es zeigt in einer Liste nicht nur IP- und Mac-adresse, sondern auch den Hersteller der Netzwerkha­rdware im Gerät an. Mit dieser Info finden Sie leichter heraus, um welches Gerät im Heimnetz es sich handelt.

?? ??
?? ??
?? ?? Über einen Befehl für die Kommandoze­ile finden Sie heraus, welche Sicherheit­sfunktione­n die Wlan-hardware Ihres Windows-rechners unterstütz­t – wie hier zum Beispiel PMF.
Über einen Befehl für die Kommandoze­ile finden Sie heraus, welche Sicherheit­sfunktione­n die Wlan-hardware Ihres Windows-rechners unterstütz­t – wie hier zum Beispiel PMF.
?? ?? Wenn Ihr Router bereits die Wpa3-verschlüss­elung unterstütz­t, sollten Sie diese aktivieren. Doch für das Funknetz gilt auf jeden Fall: Das Wlan-passwort sollte ausreichen­d sicher sein.
Wenn Ihr Router bereits die Wpa3-verschlüss­elung unterstütz­t, sollten Sie diese aktivieren. Doch für das Funknetz gilt auf jeden Fall: Das Wlan-passwort sollte ausreichen­d sicher sein.
?? ?? Die Sicherheit­sfunktion PMF ist Teil der neuen Wpa3-verschlüss­elung. Sie können sie aber auch zusätzlich zu WPA2 aktivieren, sofern Ihr Router bereits eine entspreche­nde Einstellun­g vorsieht.
Die Sicherheit­sfunktion PMF ist Teil der neuen Wpa3-verschlüss­elung. Sie können sie aber auch zusätzlich zu WPA2 aktivieren, sofern Ihr Router bereits eine entspreche­nde Einstellun­g vorsieht.
?? ?? Mit dieser Einstellun­g lädt die Fritzbox automatisc­h neue Updates für Fritz-os herunter. Das erfolgt in der Regel nachts, sodass die Unterbrech­ung der Wlan-verbindung kaum stört.
Mit dieser Einstellun­g lädt die Fritzbox automatisc­h neue Updates für Fritz-os herunter. Das erfolgt in der Regel nachts, sodass die Unterbrech­ung der Wlan-verbindung kaum stört.
?? ?? Den Zugang zum Router können Sie per 2-Faktor-authentfiz­ierung zusätzlich schützen: Mit dem Passwort geben Sie dann einen Code am Fritzfon ein oder bekommen ihn per Handy-app.
Den Zugang zum Router können Sie per 2-Faktor-authentfiz­ierung zusätzlich schützen: Mit dem Passwort geben Sie dann einen Code am Fritzfon ein oder bekommen ihn per Handy-app.
?? ?? Smart-home-geräte werden beim Sicherheit­s-check im Heimnetz oft vergessen. Aber Sie müssen zum Beispiel auch bei einer Ip-kamera unbedingt regelmäßig prüfen, ob Firmware-updates vorliegen.
Smart-home-geräte werden beim Sicherheit­s-check im Heimnetz oft vergessen. Aber Sie müssen zum Beispiel auch bei einer Ip-kamera unbedingt regelmäßig prüfen, ob Firmware-updates vorliegen.
?? ?? Ein WLAN, das nicht aktiv ist, kann auch nicht angegriffe­n werden: Über eine Zeiteinste­llung im Router lässt sich das Funknetz für einen bestimmten Zeitraum ausschalte­n, zum Beispiel nachts.
Ein WLAN, das nicht aktiv ist, kann auch nicht angegriffe­n werden: Über eine Zeiteinste­llung im Router lässt sich das Funknetz für einen bestimmten Zeitraum ausschalte­n, zum Beispiel nachts.
?? ?? Ein Netzwerksc­anner wie Wireless Network Watcher zeigt alle Geräte an, die im Heimnetz aktiv sind, und liefert Infos zum Namen und der eingebaute­n Netzwerkha­rdware. So lassen sich Eindringli­nge schnell aufspüren.
Ein Netzwerksc­anner wie Wireless Network Watcher zeigt alle Geräte an, die im Heimnetz aktiv sind, und liefert Infos zum Namen und der eingebaute­n Netzwerkha­rdware. So lassen sich Eindringli­nge schnell aufspüren.
?? ?? Besitzer einer Fritzbox finden im Routermenü die Heimnetzüb­ersicht: Dort stehen alle Heimnetzge­räte, die mit dem Router oder einem Repeater verbunden sind. Unbekannte Geräte fallen Ihnen dann sofort ins Auge.
Besitzer einer Fritzbox finden im Routermenü die Heimnetzüb­ersicht: Dort stehen alle Heimnetzge­räte, die mit dem Router oder einem Repeater verbunden sind. Unbekannte Geräte fallen Ihnen dann sofort ins Auge.
?? ?? Im Ereignispr­otokoll des Routers lassen sich alle Aktionen im Heimnetz nachvollzi­ehen: Dazu gehören auch erfolgreic­he oder fehlgeschl­agene Anmeldunge­n im Routermenü oder im WLAN.
Im Ereignispr­otokoll des Routers lassen sich alle Aktionen im Heimnetz nachvollzi­ehen: Dazu gehören auch erfolgreic­he oder fehlgeschl­agene Anmeldunge­n im Routermenü oder im WLAN.

Newspapers in German

Newspapers from Germany