WLAN

Um es Angreiferinnen bzw. Angreifern so schwer wie möglich und im Idealfall unmöglich zu machen, die Kommunikation über ein Drahtlosnetzwerk (WLAN) im Klartext mitzulesen, sind ein paar wichtige Einstellungen zu beachten. 

Konfiguration des eigenen WLANs

Die folgenden Einstellungen sind beim Einrichten eines WLANs einzuhalten:

  • Starke Verschlüsselung: Als Verschlüsselung sollte WPA2 gewählt werden; falls das technisch nicht möglich ist, kann auch noch WPA verwendet werden. Keinesfalls sollte jedoch WEP ausgewählt werden, da WEP keinen wirksamen Schutz mehr bietet. Die Verwendung von WEP oder ein gänzlich ungesichertes WLAN kann zu rechtlichen Problemen führen, wenn darüber durch Dritte illegale Aktivitäten durchgeführt werden.
  • WPS deaktivieren: WPS ist eine Funktion zum einfachen Verbinden von Geräten mit einem Netzwerk. Es sind jedoch Fälle bekannt, bei denen Router eine fehlerhafte Implementierung für WPS verwenden. Diese sind mit einfachsten Mitteln zu knacken, wodurch der Schutz zum Beispiel durch WPA2 völlig ausgehebelt wird. Diese Funktion wird selten verwendet, birgt aber Risiken.
  • Starkes WLAN-Passwort: Für das WLAN-Passwort (Pre-Shared Key) sind ebenso wie für andere Passwörter die Richtlinien bezüglich Vertraulichkeit einzuhalten. Die Länge des Passwortes sollte die maximal mögliche Anzahl an Zeichen verwenden und auch eine Mischung aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
  • Standardkonfiguration ändern: Ändern Sie sowohl die Zugangsdaten für den Administrator-Account am WLAN-Router als auch den angezeigten Namen des Drahtlosnetzwerkes (SSID). Da der Netzwerkname öffentlich einsehbar ist, sollte er keine Details zur verwendeten Hardware, zum Internetanbieter oder der Person, die das Netzwerk betreibt, enthalten. Details hierzu finden Sie unter Router-Absicherung.

Zusätzliche Härtungsmaßnahmen

Zur erweiterten Absicherung, etwa für Firmennetze, sollten auch noch folgende Maßnahmen getroffen werden:

  • Positionierung und Empfang: Die Erreichbarkeit des WLANs sollte soweit möglich auf das abzudeckende Gebiet reduziert werden. Dazu kann etwa die Sendeleistung am Router verringert werden bzw. können die Router und Antennen umpositioniert werden. Dadurch wird die potenzielle Angriffsreichweite verringert.
  • MAC-Adressfilter: Sofern die Geräte in einem Drahtlosnetzwerk gleich oder annähernd gleich bleiben, empfiehlt es sich, die MAC-Adressen-Filterung zu aktivieren. 
  • EAP: Bei größeren WLANs sollte eine aktuelle EAP-Authentifizierungsmethode verwendet werden.
  • Netzwerktrennung: Sollten mehrere WLANs mit unterschiedlichen Berechtigungsgruppen verwendet werden, so muss eine strikte Trennung der Netze eingehalten werden. Ein Gäste-WLAN und ein internes WLAN sollten zum Beispiel getrennt von dem jeweils anderen Router zur Verfügung gestellt werden.

Weitere Informationen

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 24.03.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria