Zeitung Heute : Mobilen Hackern trotzen

Wer sein Funknetz nicht schützt, riskiert mehr als den Verlust von ein paar Digitalfotos. Dabei lässt sich das Heimnetz mit wenigen Schritten sichern

Kurt Sagatz

Sie nennen sich Wardriver. Systematisch fahren sie durch die Städte, Straße um Straße, Bezirk um Bezirk. Ihr Ziel: das Aufspüren offener Internet-Funknetze. Alles, was sie auf ihrer Suche nach ungeschützten Wireless-LANs (schnurloser Local Area Networks = lokaler Netze) benötigen, ist ein handelsüblicher Notebook auf dem Schoß des Beifahrers und eine kleine Software wie Netstumbler, die sich jeder Laie in Minuten aus dem Internet besorgen kann. Fortgeschrittene Wardriver haben an das Notebook zudem noch einen GPS-Empfänger montiert. So wird auf wenige Meter genau festgehalten, wo sich in Berlin oder jeder anderen Stadt die ungeschützten Netze befinden – ganz automatisch und nahezu umsonst.

Nur um kein Missverständnis aufkommen zu lassen. Der Name Wardriving klingt zwar fürchterlich martialisch, die meisten Wardriver sehen diese Tätigkeit allenfalls als harmloses Hobby an. Wenn man jedoch die Straßenkarten mit den vielen grünen Punkten für die offenen Netze sieht, wird der Leichtsinn vieler Internet-Nutzer sichtbar: „Was soll schon auf meiner Festplatte zu holen sein“, scheinen sie ins Netz rufen zu wollen. Dabei wird etwas sehr entscheidendes vergessen. Einen Hacker mit kriminellen Ambitionen interessieren die auf dem Computer gespeicherten privaten Digitalfotos oder die MP3-Sammlung im Zweifel weit weniger als all die Passwörter und Kennungen, die in einem unverschlüsselten Funknetzwerk im Klartext übertragen werden. Bei jedem Abruf seiner E-Mails überträgt das Mail-Programm die E-Mail-Adresse und das dazu gehörige Passwort. Häufig sind die Passwörter für den Internetzugang und das Mailkonto identisch, so dass der Eindringling nun schon zwei Zugänge nutzen kann. Damit nicht genug: Wiederum im Internet kursieren Programme, die aus dem unverschlüsselten Datenverkehr jedes Netzwerkes so gut wie jedes Passwort extrahieren können und deren biblische Namen weit über die Szene hinaus bekannt sind. Gelingt es einem Angreifer erst einmal, dieses Programm auf ein Netz loszulassen, hat es en passant in kürzester Zeit fast jede noch verfügbare Sicherheitsbarriere niedergerissen.

Die Nutzung des Internets soll so einfach und bequem wie möglich sein. Zur Rund-um-die-Uhr-DSL-Flatrate mit sechs Megabyte Datentransfer gibt es darum den Wireless-LAN-Router als zentrale Basisstation für das Heimnetzwerk fast gratis dazu. Doch der Umstieg beispielsweise von einem analogen Modem auf DSL ist allein schon eine Herausforderung. Um die Installation nicht zusätzlich zu komplizieren, wird darum auf manch sinnvolle Sicherheitseinrichtung verzichtet. Das mag für den Start sinnvoll sein, doch sobald das Netz erst einmal steht und die Internet-Daten rauschen, ist es Zeit, diese Löcher rasch zu stopfen. Selbst bei den bereits ab Werk mit einem Verschlüsselungspasswort ausgerüsteten WLAN-Routern wie denen des Berliner Kommunikationsspezialisten AVM ist es ratsam, die noch unverschlossenen Sicherheitseinrichtungen genauer anzusehen. Denn insgesamt sind es gerade einmal ein paar Schritte, um das eigene Heimnetz mit einer festen Schutzmauer zu versehen.

SO FINDET MAN DIE EINSTELLUNGEN

Die Basisstation für ein Funknetz – technisch wird von einem Wireless-LAN-Router gesprochen – ist im Prinzip ein kleiner Computer, der zumeist mit einer abgespeckten Version des Betriebssystemes Linux läuft. Um die Einstellungen des Routers zu ändern, wird auf dem per Netzwerkkabel oder Wireless-Lan verbundenen Computer der Internet-Browser geöffnet. Anstelle der gewohnten Adresse wie zum Beispiel www.tagesspiegel.de wird nun die Adresse des Routers eingegeben. Bei einem Gerät von AVM wird dazu beispielsweise fritz.box eingetippt, bei einem Netgear-Router muss zumeist 192.168.0.1 eingegeben werden. Nun öffnet sich das Bedienungsmenü des Geräts mit den verschiedenen Einstellungsoptionen, wobei in diesem Fall die WLAN-Optionen im Zentrum stehen.

DEN NAMEN DES NETZES ÄNDERN

Jeder WLAN-Router verfügt über einen Namen, der in der Fachsprache SSID (Service Set Identifier) heißt. Alle per Funk angeschlossenen Geräte müssen an diesem Namen angemeldet sein. Ab Werk steht dort zumeist die Gerätebezeichnung. Für einen gewieften Hacker ist das ein nettes Begrüßungsgeschenk, denn damit weiß er nun genau, welche der bekannten Schwachstellen er am besten nutzen kann, um sich Zugang zu diesem Netz zu verschaffen. Als erstes wird die Netzwerkidentifikation darum in einen unverfänglichen Namen geändert, wobei man allerdings tunlichst auf Straßennamen, Hausnummern oder den Familiennamen verzichtet.

DIE VERSCHLÜSSELUNG AKTIVIEREN

Den zentralen Schutz des eigenen Funknetzes stellt die Verschlüsselung dar. Der Schutz gilt zum einen juristisch. Ein offenes, unverschlüsseltes Netz ist auch rechtlich ungeschützt. Da keine Barrieren überwunden werden müssen, kann es auch keinen Einbruch geben. Wird das Netz hingegen geschützt, und sei es nur mit dem in wenigen Sekunden knackbaren Uralt-Standard WEP, genießt es den Schutz des Gesetzes und ein Einbruch kann belangt werden. Dennoch ist es freilich wenig sinnvoll, seine Daten und Kennwörter einem alten Verschlüsselungsverfahren anzuvertrauen. Um sich vor Einbrechern und Sniffern zu schützen, sollten die Datenpakete zumindest mit dem neueren Verfahren WPA kodiert werden. Noch besser ist allerdings WPA2. Wie jedes Verschlüsselungsverfaren entscheidet darüber hinaus die Länge und Art des Passwortes darüber, wie lange es dauert, bis ein Angriff erfolgreich ist. Wichtig ist: Jedes neue Passwort muss notiert werden, denn nach der Aktivierung wird die Verbindung zum Computer unterbrochen und kann nur durch Eingabe des Passworts wieder hergestellt werden.

NEUE NETZWERKGERÄTE ABWEISEN

Ab Werk ist der Wireless-LAN-Router offen für jeden neuen Computer. Sonst wäre es gar nicht möglich, eine Verbindung mit der Basisstation aufzunehmen. Sind jedoch erst einmal alle Geräte des Heimnetzes wie der Schreibtischcomputer oder das Notebook angeschlossen, ist es ratsam, die so genannte Zugriffskontrollliste zu schließen. In dieser Liste werden die Computer über die individuellen Adressen der Netzwerkkarten (Mac-Adressen) aufgelistet. Ist die Option „Keine neuen WLAN-Netzwerkgeräte zulassen“ aktiviert, muss erneut mehr Aufwand getrieben werden, um den Schutzwall zu überwinden.

BEKANNTE FEHLERQUELLEN SCHLIESSEN

Einige Gefahren für die Sicherheit des Funknetzes werden zusammen mit dem Gerät ausgeliefert, weil sich zum Beispiel Programmierungsfehler eingeschlichen haben. Zumeist dauert es nicht lange, bis diese Fehler offensichtlich werden und die Gerätehersteller mit Fehlerbehebungsdateien, den so genannten Patches und Updates, darauf reagieren. In den Monaten nach der Installation des Routers sollte darum auf der Homepage des Herstellers nach solchen Updates Ausschau gehalten werden. Mitunter enthalten die Geräte sogar in ihrem Bedienungsmenü eine eigene Option für die Suche nach Updates.

DAS GERÄT PER PASSWORT SICHERN

Das Heimnetz ist nun sicher und kann von außen nicht mehr oder nur mit unverhältnismäßig hohem Aufwand angegriffen werden. Theoretisch könnten die Einstellungen allerdings noch von innen, von einem im Netz angemeldeten Computer verändert werden. Um auch dieses Risiko auszuschließen, kann man abschließend noch das Gerät selbst mit einem Passwort versehen, so dass die Oberfläche mit den Einstellungsoptionen nur noch nach Eingabe des Passwortes zu erreichen ist. Kurt Sagatz

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar