Sicherheitsprüfsteine gegen Angreifer. Eine drahtlose Vernetzung setzt sich anderen Gefährdungen aus als Festnetzanwendungen. Beim Betrieb eines WLANs sollten Sicherheitsprüfsteine beachtet werden.
Die Vernetzung von Computern und deren Komponenten hat sowohl für Organisationen als auch private Nutzer eine neue Qualität durch den Einsatz von drahtlosen Übertragungen erreicht. Am vorläufigen Ende dieser Entwicklung steht das WLAN mit seinen ihm eigenen Sicherheitsanforderungen. Eine drahtlose Vernetzung setzt sich anderen Gefährdungen aus als Festnetzanwendungen. Das liegt in der Natur der Datenübertragung per Funk.
Netzverfügbarkeit
Störanfälligkeit von Funknetzen ist ein grundsätzliches Problem. Dabei soll es hier allerdings nicht um zufällige Störungen durch Geräte, die denselben Frequenzbereich nutzen, gehen. Es gibt Störungen, die bewusst von Angreifern hervorgerufen werden, um den Funkverkehr zu sabotieren.
Zur Disposition steht dabei eines der wesentlichen Ziele beim Betrieb von IT-Anlagen: die Verfügbarkeit. Zunächst wird diese sichergestellt durch die konkrete Netztopologie selbst, das heißt die geografische Fixierung der WLAN-Komponenten, insbesondere der Access Points. Von Bedeutung ist auch eine optimale Konfiguration unter Berücksichtigung des Betriebsmodus, der Frequenzbereiche und der Übertragungsgeschwindigkeit. Wegen der Störanfälligkeit ist eine kontinuierliche Beobachtung des Netzbetriebs erforderlich. Bei Störungen sollte die Ursache möglichst zeitnah gefunden werden.
Problem der Datenintegrität
In Funknetzen wie auch in drahtgebundener Umgebung muss sichergestellt werden, dass alle Daten ihren Adressaten vollständig und unverändert erreichen. Falls die Daten unterwegs manipuliert worden sind, muß der Empfänger diesen Umstand wahrnehmen können, um auf eine solche Manipulation reagieren zu können. Vom Ergebnis her ist es unerheblich, ob eine solche Störung durch bewusste Manipulation oder durch technisch bedingte Übertragungsfehler hervorgerufen wird.
Wechselseitige Authentizität
Eine wesentliche Rolle bei der drahtlosen Kommunikation spielt die Authentizität. Jede Station muss sich der Authentizität, das heißt auch der Berechtigung, des Kommunikationspartners gegenüber sicher sein. Das gilt für Sender und Empfänger und genauso umgekehrt. Es muss sichergestellt sein, dass niemand unbefugt ins Netz eindringen kann, indem er sich etwa als gültiges Mitglied der Netzteilnehmer verstellt. Selbstverständlich gilt diese Anforderung besonders dann, wenn sensible Daten ausgetauscht werden, die für den Geschäftsverkehr und die Unternehmenssicherheit von Bedeutung sind.
Anforderungen an die Vertraulichkeit
Gegenüber der Kommunikation in offenen Netzen, die gerade auf die allgemeine Teilhabe an allen zugänglichen Informationen ausgelegt sind, spielt die Vertraulichkeit des Informationsaustausches in privaten drahtlosen Netzen aus Sicht des Datenschutzes eine ganz andere Rolle. Hier müssen entsprechende Geheimhaltungsstufen tatsächlich zum Tragen kommen. Da Funksignale prinzipiell mitgehört werden können, geht dieser Weg nur über eine Verschlüsselung. Eine Verschlüsselung erfüllt dabei zwei Aufgaben:
- Sie sollte die übermittelten Informationen und
- die zugehörigen Verbindungsdaten schützen.
Angreifer und ihre Motive
Hier die wichtigsten Angriffsmotive und -formen:
- Technische Herausforderung: spielerische Hacker, die ausprobieren wollen, ob sie irgendwo Zugang gewinnen können, ohne bewußt Schaden anrichten zu wollen; dazu gehört auch die Intention, andere ohne deren Wissen zu belauschen und in deren Privatsphäre einzudringen. Die Tools dazu sind meist aus dem Internet bezogen.
- Kriminelle Zielsetzungen: die Absicht ist, anderen Personen oder Unternehmen Schaden zuzufügen, oder sich zu bereichern.
- Unbefugte Mitbenutzung des Internetzugangs: wird ein WLAN in Kombination mit einem DSL-Anschluß betrieben, gibt es Versuche, den Internet-Zugang unbefugt mitzubenutzen; hierbei besteht die Möglichkeit, den Account für Downloads von vertraulichen Daten oder für kriminelle Kontakte zu mißbrauchen.
- Sich direkte materielle Vorteile verschaffen: alle Arten des unbefugten Zugriffs sind möglich; ohne daß der Betroffene zunächst oder auch über einen längeren Zeitraum etwas davon merkt.
- Einschleusen von Daten oder Software: unbefugte Stationen in ein WLAN einschmuggeln, um dort gezielt Daten abzusetzen, indem den Access Points eine autorisierte Identität vorgetäuscht wird; Beispiele: Implantierung von Spyware, um Kreditkartendaten auszuspionieren, Attacken mit trojanischen Pferden, die wichtige Datenbestände eines Unternehmens stehlen, Viren, die Daten zerstören können.
Sicherheitsprüfsteine
Hier einige wichtige Fragen, die beim Betrieb eines WLAN Beachtung finden sollten:
- Unterdrücken Sie die Ausstrahlung der SSID? Die Ausstrahlung der SSID teilt der Umgebung mit, daß ein WLAN in Betrieb ist.
- Wird der Ad-hoc-Modus immer abgeschaltet? Der Ad-hoc-Modus ermöglicht den Aufbau eines spontanen WLANs durch Client-zu-Client-Kommunikation. Bei eingeschaltetem Ad-hoc-Modus können nicht-autorisierte Clients direkt auf das WLAN zugreifen.
- Nutzen Sie die WEP-Verschlüsselungsmöglichkeit? Nutzen Sie das WEP-Verfahren in Bereichen mit vertraulichen Informationen? Die WEP-Verschlüsselungsmethode ist ein symmetrisches Verfahren, bei dem Access Points und Clients einen gemeinsamen Schlüssel verwenden. Die WEP-Verschlüsselungsmethode gilt allgemein als unsicher, ist aber dennoch einem völlig unverschlüsselten Zustand vorzuziehen.
- Legen Sie besondere Aufmerksamkeit auf die Verhinderung schwacher Passphrasen? Die Sicherheit von Passphrasen hängt von ihrer Länge und Zeichenkombination ab. Schwache Passphrasen sind kurze Wörter, die lediglich aus Buchstaben bestehen und möglicherweise in Wörterbüchern zu finden sind.