Sie sind hier: DSL-User.de > WLAN > WLAN Sicherheit
 

Mehr Sicherheit im WLAN

Wer heute einen DSL-Anschluss neu beantragt, bekommt oft einen WLAN-Router als Dreingabe, selbst wenn er den Anschluss nur mit einem stationären PC nutzen will. Aber ein falsch – oder so gut wie gar nicht – konfigurierter WLAN-Router ist ein Sicherheitsrisiko.

Andere können dann nicht nur auf Ihre Kosten surfen – das ist eher zweitrangig, wenn Sie nicht gerade einen knapp bemessenen Volumentarif nutzen – sondern auch unter Ihrer IP-Adresse allerlei illegale Aktionen durchführen. Das beginnt beim die Bandbreite belastenden Download von MP3-Musik und DiVX-Spielfilmen, und reicht bis zur Verbreitung von Viren und illegaler Pornografie. Mit ein paar einfachen Einstellungen können Sie solchen Ärger vermeiden. So geht's:

 

Ach wie gut, dass niemand weiß...

Damit jemand Ihr WLAN nutzen kann, muss er den Netzwerk-Namen, die SSID also, der Basisstation kennen. Dieser Name ist in vielen Routern voreingestellt auf einfache Begriffe wie „WLAN“ oder „WIRELESS“ und kann deshalb leicht erraten werden. Im Konfigurationsmenü Ihres Routers können Sie der SSID aber einen neuen Namen geben. Hier gelten die gleichen Grundsätze wie bei der Vergabe sicherer Kennwörter: Eine Kombination aus Buchstaben und Zahlen ist kaum zu erraten und kann auch nicht über ein Brute-Force-Programm in Erfahrung gebracht werden, das einfach alle Wörter ausprobiert, die im Lexikon stehen.

Raten ist allerdings völlig überflüssig, wenn Ihr Router die SSID permanent per Funk durch die Gegend schickt. SSID-Broadcast wird diese Unsitte genannt, die bei öffentlichen Hotspots sinnvoll, im privat genutzten WLAN aber überflüssig und gefährlich ist. Suchen Sie im Konfigurationsmenü Ihres Routers danach, und schalten Sie SSID-Broadcast ab. Damit haben Sie Ihr WLAN schon ein gutes Stück sicherer gemacht.

 

Geschlossene Gesellschaft

Wenn Sie nicht gerade ein Internetcafé oder einen öffentlichen Hotspot betreiben, bleiben die Geräte, mit denen Sie das Drahtlosnetzwerk nutzen, wahrscheinlich über einen längeren Zeitraum die gleichen. Jedes dieser Geräte ist eindeutig identifizierbar über seine MAC-Adresse. Diese Adresse ist vom Hersteller fest in Ethernet-Karten und WLAN-Adapter codiert. Selbst ältere WLAN-Router ermöglichen es, den Zugriff auf eine interne Liste von MAC-Adressen zu beschränken, Geräte von dritten haben dann nur noch eine Chance, wenn sie ihre MAC-Adresse fälschen. Der Fälscher muss dazu außerdem wissen, welche MAC-Adressen von Ihrem Router akzeptiert werden – in der Praxis ist die Beschränkung auf bestimmte MAC-Adressen eine der besten Absicherungen für Ihr WLAN-Netzwerk.

Um die MAC-Adresse einer eingebauten Netzwerkkarte unter Windows XP herauszufinden, öffnen Sie über „Start/Ausführen/CMD“ die Eingabeaufforderung und tippen den Befehl ein:

IPCONFIG /ALL

In Ihrem Router-Konfigurationsmenü finden Sie eine Option wie „MAC Control“ oder „Access Control“, in der Sie die MAC-Adressen der zugelassenen Geräte eintragen können.

 

Hört eigentlich irgendjemand zu?

Auch, wenn Sie Ihre SSID geheim halten und den Zugriff auf eine Liste zugelassener MAC-Adressen beschränken, besteht immer noch die Gefahr, dass jemand die drahtlos übermittelten Daten abfängt und mitliest. In entsprechenden Kreisen kursiert Software, die ein Mitlesen im Klartext und in Echtzeit ermöglicht, wenn die Daten nicht verschlüsselt übertragen werden. Dazu gibt es das ältere WEP- und das neuere WPA-Verfahren.

Welches Verschlüsselungsverfahren Sie verwenden, richtet sich nach dem schwächsten Glied der Kette, denn alle zum WLAN gehörenden Geräte müssen das Verfahren unterstützen. Als Mindeststandard für den Heimbereich wird heute eine WEP-Verschlüsselung mit einem 128-Bit-Schlüssel betrachtet. Das noch ältere Verfahren mit 64-Bit-Schlüsseln kann von einem durchschnittlichen Hacker in 20 Minuten decodiert werden.