Nicht erst seit dem neuesten Datenskandal bei Google machen sich immer mehr Leute, gerade auch Privatpersonen, Gedanken um die Sicherheit ihres Funknetzwerkes. Das zeigt nicht nur die höher frequentierte Flut an Anfragen an meine Person, sondern auch das allgemeine große Entsetzen, das erst kürzlich wieder erfolgreich durch Medienberichte provoziert wurde.
Außerdem soll dieser Artikel schonmal vorbeugend wirken, denn durch den DSL-Ausbau in meinem Kaff Dorf wird es in nächster Zeit sicherlich häufiger vorkommen, dass neue Router mit W-Lan enigerichtet werden müssen.
Den meisten meiner Leser werden die Tipps, die ich im Begriff bin zu geben nicht wirklich neu sein, aber dennoch sollen diese hier, gerade für die vielleicht etwas unversierteren Nutzer noch einmal Erwähnung finden. Diese Tipps helfen vor allem dabei, euer Funknetzwerk sicherer zu machen und vor unbefugtem Zugriff zu schützen. Angenehmer Nebeneffekt dabei ist, dass, wie der Titel schon sagt, Datensammlern wie Google das Leben schwer gemacht wird, auch wenn von offizieller Seite aus ja keine Daten mehr erhoben, sondern nur noch die bereits gesammelten aufbewahrt werden sollen.
1. Ist die Hardware noch zeitgemäß?
Das erste große Problem bei vielen Usern ist schlicht, dass sie einen Router verwenden, der vor 10 Jahren vielleicht einmal als modern bezeichnet werden konnte. Diese alten Geräte unterstützen moderne Sicherheitsstandards oft noch gar nicht und bieten so eine leichte Angriffsfläche. Neue, aktuellere Hardware kostet nicht die Welt und schließt eine Menge Lücken auf einen Schlag, weshalb dies der erste Schritt sein sollte. Es muss ja nicht immer die aktuellste Fritz!Box sein, auch preisgünstigere Varianten bieten annähernd den gleichen Komfort und Funktionsumfang. Ist das gewünschte Gerät dann vor Ort geht es weiter mit dem..
2. Verstecken der SSID
Die SSID (Service Set Identifier) ist praktisch der Name des W-Lans, die Bezeichnung, die Beschreibung. Zunächst sollte der Name nicht zu offensichtlich gewählt und schon gar nicht zuzuordnen sein. Namen wie Marks W-Lan, Wlan-WG, Praxis Dr. Dumm eignen sich also eher nicht. Wenn man allerdings aus welchen Gründen auch immer nicht möglich ist, gibt es auch die Möglichkeit, die SSID ganz einfach nicht zu übermitteln. Dazu wird der Status einfach auf Invisible gesetzt, und der Name des Funknetzwerkes in Zukunft nicht mehr in die Welt hinausposaunt. Danach folgt der wohl wichtigste Teil, nämlich..
3. Die Verschlüsselung
Die richtige Verschlüsselung ist heute unumgänglich, wenn man auf Dauer alleine und ungestört in seinem Netz bleiben möchte. Auch hier ist eine aktuelle Hardware von Nöten, da veraltete Systeme oft moderne Verschlüsselungsstandards gar nicht erst beherrschen. So ist die WEP-Verschlüsselung (Wired Equivalent Privacy) dort meist Standard, heute mit einfachen Mitteln aber innerhalb von 5 Minuten leicht zu knacken. Angebracht ist WPA2 (Wi-Fi Protected Access) mit dem aktuellen Verschlüsselungsstandard AES (Advanced Encryption Standard), oder zumindest eine normale WPA-Verschlüsselung. Diese ist allerdings auch wertlos ohne..
4. Das richtige Passwort
Der wohl am Häufigsten gemachte Fehler ist die Wahl eines zu einfachen Kennworts, da man sich dieses dann leichter merken kann. Dass ein solches Kennwort aber auch für mögliche Angreifer leichter zu knacken ist, wird dabei oft außer Acht gelassen. Deshalb empfiehlt es sich generell kryptische Kennwörter festzulegen, die sowohl Groß- als auch Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Eine ganz gute Hilfe ist oft diese Methode, die ich Usern gerne ans Herz lege: Man überlegt sich einen vollständigen Satz, inklusive Satzzeichen und nimmt von den einzelnen Worten den jeweils ersten Buchstaben. Diese ergeben dann zusammen mit den Satzzeichen das fertige Kennwort.
Weitere Möglichkeiten sind natürlich noch, das Kennwort in regelmäßigen Abständen zu ändern, oder die Reichweite und somit die Sendeleistung des W-Lans herunterzusetzen. Diese sind aber eher nebensächlich, solange man sich an die oben genannten Punkte hält. Dann bleibt auch Google draußen 
Liana (1)
Bei manchen Boxen kann man auch noch einstellen, dass nachts das WLAN abgeschaltet wird.
Das ist erstens sicherheitstechnisch gut und zweitens wird man dann daran erinnert, dass schon wieder Schlafenszeit ist.
Ansonsten bevorzuge ich nach wie vor das gute alte Kabel. Bei mir ging das recht gut, da durch die Stromleitung schon Kabelkanäle verlegt werden mussten. Da war noch Platz für die Cat 6 Leitungen. ^^
Zudem habe ich sowieso schon genug FUNK im Haus. DECT-Telefon, Handy und dann noch der gute alte Piepser. Da kann ich nur hoffen, dass die Kinderplanung später auch noch gut funktioniert.
Ah, sehr guter Tipp, das kann man natürlich auch noch machen!
Kabel ist natürlich immer die sicherere Variante, aber Funk hat schon was bequemes
Und wenn es tatsächlich nach der Funkbelastung geht, können wir unsere Kinderplanung alle vergessen fürchte ich ^^
Oder einfach jetzt schnell anfangen und dann nach 3 Kindern wieder aufhören.
Hm, dafür ist es aber noch ein wenig früh, oder nicht?
Hm vielleicht schon. Aber lieber mit 23 anfangen als später dann mit 32.
Wobei ich mir dazu erstmal die passende Partnerin suchen müsste. Soll ja dann auch fürs Leben reichen. ^^
Aber um wieder zum Thema zu kommen: Das Verstecken des SSID ist sehr sinnvoll und das mit dem Passwort eigentlich auch kein Problem mehr. Der Rechner merkt sich ja das Passwort und meldet sich dann automatisch an.
Eine gute und brauchbare Alternative sind übrigens auch noch die Stromnetzwerke. In einer Steckdose anstecken und an der anderen Steckdose abzapfen. Da du mit deinem Laptop sowieso öfters an der Steckdose sein müsst, wäre das sicher auch nicht mehr schlimm.
Früher waren die Teile nicht so zuverlässig, aber heute funktionieren die wunderbar. Anscheinend auch gut in alten Gebäuden, dort wo du mit WLAN deutlich mehr Probleme hast. ^^
Das Problem liegt eigentlich größenteils an flascher oder gar keiner Beratung beim Abschluss eines DSL Vertrags und Neuanschaffung eines Routers. Wenn Oma und Opa keine Enkel haben, der sich mit der Materie auskennt, wird es ein unsicheres Netz bleiben. Durch die Google Aktion werden hoffentlich nun ein paar Leute Aufspringen und ihre WLAN Sicherheit überdenken. Ich denke diese Aktion wird viel zu hoch gepusht und Google wird zu Unrecht an den Pranger gestellt.
Man könnte höchstens WAR-Driving machen und an jeder Haustür klingeln und sagen, dass das WLAN unsicher ist. Bei netten Menschen könnte man das ja auch gleich umstellen… Bei bösen Leuten gleich wieder verschwinden und sagen: haha…
Naja, irgendwie ist man ja in gewisser Weise selbst Schuld wenn man sich unvorbereitet in die elektronische Welt stürzt.
Das Problem: Muss man die Leute darauf aufmerksam machen ist davon auszugehen, dass diese 0 Plan von der Materie haben und die Arbeit schließlich und endlich an einem selbst hängen bleibt
Eigentlich bin ich immer davon ausgegangen, dass die Leute mittlerweile bescheid wissen. Aber da hab ich mich wohl geirrt.
Hi, ich hatte mich aus Sicherheitsgründen auch von meinem “alten” Arcor WLAN Router getrennt. Der Hatte schon bei WPA herumgezickt und WP2 kannte er überhaupt nicht. Da kam der Wechsel eines Kumpels, im Dezember letzten Jahres, auf VDSL 25 *Neid* gerade richtig und ich kaufte ihm seine FritzBox 7170 günstig ab. Ich bin damit mehr als zufrieden. Jetzt ist alles mit WPA2 verschlüsselt. Meist habe ich aber auch das gute alte Kabel an meinem Laptop.
Da ich im Verwandtenkreis für WLAN Fragen auch immer als Infoquelle herhalten muss, bin ich auch der Meinung, dass die Endnutzer zu wenig aufgeklärt werden.
Hi,
ich hoff ja noch auf mein VDSL 50, das hier bald mal kommen und meine ISDN Anbindung ablösen soll
Die FritzBox ist sicher nicht der schlechteste Router, bietet alle nötigen Sicherheitsstandards und hat dazu noch ein paar nette Zusatzfeatures im Gepäck.
Und Aufklärung tut scheinbar wirklich immer noch Not. Wenn ich hier mal durch die Gegend fahre und die ganzen offenen W-Lans sehe..
Meine Hardware ist zwar veraltet, aber ich kann wenigstens noch WPA verschlüsseln. Hier hab ich aber noch mal einige Fragen, wenn du dieses Thema schon aufgreifst:
Was ist der Unterschied zwischen WPA und WPA-PSK? Und zur Verschlüsselung ansich: TKIP, AES und TKIP+AES hab ich zur Auswahl. Wo liegt der Unterschied und was sollte man wählen?
Ich habe mein Wlan zusätzlich über die MAC-Adresse meiner Geräte gesichert, denke das bringt auch noch einiges und ist vielleicht auch noch erwähnenswert.
Hi,
zunächst einmal: Der MAC-Filter ist bei einem gewollten Angriff nutzlos, da die MAC-Adresse deines NIC ganz einfach von einem potenziellen Angreifer mitgeschnitten und für sein Gerät genutzt werden kann.
Zur Verschlüsselung: WPA ist (fast) immer auch WPA-PSK, es sei denn es ist WPA2. PSK bedeutet nichts anderes als Pre-Shared-Key, also dass beide Seiten zur Authentifizierung einen vorher festgelegten Schlüssel kennen. Es gibt noch eine Möglichkeit der WPA Verschlüsselung ohne PSK über einen RADIUS Server, das findet aber im Privatgebrauch nie Anwendung.
Bei WPA kommt allerdings im Gegensatz zu WEP noch das TKIP (Temporal Key Integrity Protocol) zum Tragen. Dieses sorgt dafür, dass die übertragenen Datenpakete nicht mit dem Pre-Shared-Key, sondern jedes mal mit einem anderen Key verschlüsselt werden. Ein Mitlesen des Kennwortes ist so nicht möglich. Angreifern bleibt nur eine Wörterbuch oder Bruteforce Attacke, die bei ausreichender Kennwortlänge und -stärke keine hohen Erfolgschancen bietet.
AES ist der neueste Verschlüsselungsstandard und erst mit WPA2 integriert. Das Verfahren ist allerdings so komplex, dass du bei Interesse an der Funktionsweise besser Fachliteratur befragen kannst als mich
Danke schon mal für die lange ausführliche Antwort. Du bist doch mein Fach-Mensch
Also heißt jetzt im Endeffekt ich sollte das mal auf TKIP+AES umstellen weil wegen besser?
Naja, auf dem Gebiet ist mein Wissen auch etwas begrenzt ^^. AES ist wie gesagt neuer und komplexer und TKIP soll langfristig durch diesen und andere neuere Standards ersetzt werden. Von daher ist man mit einer Umstellung auf AES auf der sicheren Seite und auch für die Zukunft abgesichert
AES hat meines Wissens nach auch einfach einen höheren Bitwert.
Ist wie bei den Zertifikaten. Je höher der Bitwert desto mehr Aufwand musst du betreiben um es zu knacken.
Aber wie es funktioniert schaust du mal hier rein: http://bit.ly/bTE2xy