Ist WLAN ein zu großes Sicherheitsrisiko

Es gehört mittlerweile zum guten Ton für jede Firma, Café oder Restaurant ein kundenfreundliches WLAN Netz für die Gäste anzubieten. Ein für Kunden frei verfügbarer, schnurloser Internetzugang ist zwar bequem, birgt aber für den Betreiber und Nutzer Gefahren. Ich spreche nicht von rechtlichen Hürden und Problemen, sondern von technischen. Was ist im Vorfeld einer Inbetriebnahme eines solchen WLANs zu beachten? Und vor allem, wie sieht es mit der Sicherheit aus?

Was ist ein Sicherheitsrisiko?

Es ist ein universelles Gesetz, dass es keine 100%ige Sicherheit geben kann. Ob IT Sicherheit, Sicherheitssysteme im Auto oder beim Investieren und Anlegen von Geldern. Niemand garantiert völlige Sicherheit. Damit ist der erste Aspekt des Sicherheitsrisikios auch geklärt: Es ist immer vorhanden! Der einzige Weg das Sicherheitsrisiko für WLAN zu umgehen wäre selbstverständlich, es gar nicht zu betreiben. Das bedeutet, dass wir einen Mittelweg finden müssen zwischen dem Luxus der kabellosen Netzwerke, also dem Nutzen und der Sicherheit, die dafür sorgt, dass nichts Schädliches passiert.

WLAN: Nutzen

  • Erhöhte Produktivität durch mobile Arbeitsplätze: Den Laptop schnell aus der Dockingstation stecken, und zum Kollegen an den Tisch gehen, um Ergebnisse zu vergleichen. Das modernere und produktivere Kassensystem auf Android oder iOS Basis verwenden, um Fehler beim Kassieren zu vermeiden.
  • Smartphones und Tablets: Ohne WLAN ist auch der Einsatz moderner Geräte nicht möglich. Updates und unternehmensinterne Applikationen werden auf Grund der Datenlast und der überteurten Datentarife in Deutschland, schwer nutzbar.
  • Kundenfreundliche Zugänge: Gäste WLAN ist mittlerweile fast überall Standard. In Firmen können Gäste in Seminarpausen ihrer Arbeit weiter nachgehen und bspw. E-Mails bearbeiten oder über VPN Zugänge in ihr eigenes Netzwerk mit den dortigen Systemen kommunizieren.

WLAN: Risiko

  • Zugang zum Firmennetzwerk problemlos möglich: Im ersten Moment betrachtet, klingt es sehr gefährlich. WLAN ermöglicht es einem Angreifer, ohne eine Netzwerkdose, ohne das Betreten des Firmengebäudes, in ein Netzwerk einzudringen. Vorausgesetzt er weiß, wie er die Verschlüsselung aufbricht.
  • Vertraulichkeit des Kabels nicht gegeben: Jeglicher Datenverkehr, der über das WLAN erfolgt, wird in alle Richtungen von den Geräten abgesendet. Es gibt keine Auftrennung. Gleichzeitig auch keine Abschirmung gegen fremde Rechner. Beim Kabel ist dies alles vorhanden. Switche sorgen zudem, dass nur die Pakete am Ziel ankomme, die für das Ziel bestimmt sind.

Lösungen aus dem Dilemma

Kurz gesagt: State-of-the-Art Netzwerk Technologien müssen verwendet werden, denn ein WLAN zu Hause ist grundsätzlich völlig anders zu betrachten als das WLAN in einer Firma. Ich kenne nur wenig Menschen, die zu Hause Dinge verwenden, wie VLANs oder EAP Authentifizierung für ihr WLAN, aber genau dies sind die Lösungen aus dem Dilemma. Hier im Detail:

  • Authentifzierung: Herkömmliche WLAN Netzwerke sind meistens mit WPA oder WPA2 geschützt. Das bedeutet, dass ein Passwort für den Zugang verwendet werden muss. Im unternehmensbereich ist hier allerdings die Authentifizierung, beispielsweise mittels EAP, die richtige Wahl. Dabei muss sich das Gerät, welches sich einloggt mit einem gültigen Benutzer aus dem LDAP System der Firma authentifizieren. Zusätzlich, kann noch ein gültiges Zertifikat benötigt werden, welches die Firma, als eigenständige CA (Certificate Authority), also Zertifizierungstelle, ausgibt.
  • Netzwerksegmentierung: 192.168.0.x für alle, das passt und ist einfach! Aber leider unsicher. Server von Clients beispielsweise lassen sich über VLAN Konfigurationen an den Switchen in unterschiedliche Netzwerksegmente trennen, obwohl sie über das gleiche Kabel am Switch hängen. Firewalls müssen hier den Traffic unter den Netzen regeln, ebenso das WLAN bzw. die WLAN Netzwerke, denn ein WLAN Netzwerk sollte die Möglichkeit bieten produktiv zu arbeiten, welches wie weiter oben beschrieben über ein LDAP authentifiziert wird. Gleichzeitig, und völlig abgetrennt (VLAN oder physisch) sollte das Gäste WLAN betrieben werden, mit ausschließlich gesondertem Zugang zum Internet.

Verbleibendes Risiko

Auch die oben aufgeführten Lösungen bieten keinen 100%igen Schutz. Switche und Firewalls sind vom Mensch geschaffene Geräte, die mit fehlerhafter Firmware ausgeliefert werden. Darin enthaltene Lücken könnten natürlich die Segmentierung der VLANs umgehen. Sicherheitslücken bei der Authentifizierung könnten dafür sorgen, dass ein Nutzer ohne gültiges Zertifikat einen erfolgreichen Login durchführen kann. Aber auch schlechte Passwörter und Social Engineering Angriffe werden immer wieder funktionieren und tragen dazu bei, dass wir die 100%ige Sicherheit nie erreichen.

Was bleibt uns also übrig? Das Risiko abschätzen, alle möglichen Maßnahmen treffen und wie es im Leben überall ist, darauf hoffen, dass die Stochastik hilft, dass die 0,1% Restrisiko niemals eintreten, außer beim Lotto Spiel natürlich!

Beitragsbild WiFi symbol (verändert) von Christiaan Colen Creative Commons CC-BY SA 2.0

Artikel teilen:

Kommentar verfassen