WLAN-Sicherheit: Nicht nur Hotspots sind gefährlich

Verschlüsselung ist nicht alles. WLAN-Sicherheit heißt auch, unerlaubte Hotspots zu identifizieren, sich unterwegs abzusichern und Mitarbeiter zu schulen. Denn selbst wer kein WLAN in der Firma hat, kann ein WLAN-Sicherheitsleck haben.

In den wenigsten Hotels gibt es jemanden, der sich mit WLAN-Sicherheit auskennt. Nach einer Umfrage von Portel.de verlassen sich die meisten Anbieter von öffentlichen Hotspots einfach auf die beschwichtigenden Aussagen ihrer Provider. Unternehmen müssen hier genauer hinschauen und sehen sich gleich mehreren Szenarien voller Tücken gegenüber.

Die Vorteile liegen auf der Hand: WLAN in der Firma führt dazu, dass Mitarbeiter in Konferenzräumen online sind oder die Arbeitsplätze problemlos wechseln können, es kann die Lagerhaltung erleichtern oder das lästige Strippenziehen in neuen Gebäuden ersetzen.

Aber das BSI warnt: Bei drahtlosen Verbindungen, die mit elektromagnetischen Wellen wie Funk oder Infrarotlicht arbeiten, "fehlt der physikalische Schutz des Mediums, den eine Leitung, sei es Kabel, Draht oder Lichtwellenleiter, bietet". Neben Interferenzen und schwankenden Kanalbedingungen ist vor allem das Mithören eine große Gefahr. Die schutzlos durch die Luft versendeten Daten können im Prinzip beliebig von Dritten empfangen, aufgezeichnet, ausgewertet und manipuliert werden. Mit Richtantennen oder empfindlichen Empfängern kann auch jemand, der weit außerhalb der Firma sein Auto geparkt hat, die Kommunikation abfangen.

» Zwei Drittel der Unternehmen schützen ihren Funkdatenverkehr gar nicht oder völlig unzureichend. «

MICHAEL MÜLLER, INTEGRALIS

Da WLAN-Daten also der Schutz des Kupferkabels fehlt, brauchen sie einen virtuellen Mantel. Anbieter von Karten und Hotspots haben sich von Anfang an auf Verschlüsselungsstandards geeinigt: WEP, WAP und WAP2 heißen die Techniken. Die Evolution des WLAN-Standards 802.11 ist eine lange, chaotische Geschichte, die derzeit mit dem aktuellen 802.11b und -g ein vorläufiges Ende gefunden hat. Die Sicherheitsmechanismen wurden dabei zwar ständig weiterentwickelt, sind aber seit WEP mit wenig Aufwand und mäßigem Know-how zu knacken.Nicht alle sind sich dieser Gefahr bewusst: "Es belegen die Ergebnisse der regelmäßig durchgeführten internationalen Wardriving-Days, an denen WLAN-Enthusiasten die Sicherheit der Funknetzwerke von Firmen beurteilen, dass circa zwei Drittel der Unternehmen ihren Funkdatenverkehr gar nicht oder völlig unzureichend schützen", erklärt WLAN-Experte Michael Müller vom IT-Dienstleister Integralis.

Wer sich schützen will, kann neben den im Standard eingebauten Mechanismen auf eine bunte Palette von Spezialanbietern zurückgreifen. Die Firma Bluesocket bietet beispielsweise Intrusion Prevention Systeme und Verschlüsselungs-Gateways speziell für drahtlose Netzwerke an.

Stefan Strobel, Geschäftsführer des Sicherheitsspezialisten Cirosec, sieht jedoch noch einen anderen Trend im Markt: "Die Firmen nutzen das meistens ohnehin vorhandene VPN", also beispielsweise Installationen von Netscreen/Juniper, Cisco, Checkpoint, die bereits den Festnetzverkehr absichern.

Allerdings sieht Strobel noch ein viel gravierenderes Problem als nur die Verschlüsselung: "Die meisten Leute haben ein WLAN-Problem, ohne dass sie ein WLAN haben."

» Die meisten Leute haben ein WLAN-Problem, ohne dass sie ein WLAN haben. «

STEFAN STROBEL, CIROSEC

Das kommt so: Wenn WLAN wegen Sicherheitsbedenken in der Firma nicht genutzt wird, gibt es keine Hotspots und damit auch keine besonderen Sicherheitsvorkehrungen. Nun haben aber die meisten modernen Laptops eine WLAN-Karte standardmäßig installiert. Wenn sich nun der Manager auf seiner Reise in der Lufthansa-Lounge einloggt, um seine Daten abzufragen, entstehen zwei Probleme. Erstens sind keine Sicherungsmechanismen installiert, um die Daten zu schützen. Zweitens vergessen die Nutzer häufig, ihre WLAN-Karten wieder abzuschalten. Wenn sie dann mit einer nachlässig konfigurierten Karte im Büro wieder das Ethernetkabel ans Firmennetz anschließen, wird der Laptop selbst zu einem ungesicherten Zugang. Sobald jemand mit einem Access-Point in die Nähe des Notbooks kommt, loggt sich das Gerät, das intern, also ohne Firewall direkt am Firmennetz hängt, dort ein und wird zu einem offenen Tor ins LAN des Unternehmens.

"Man muß verhindern, dass das WLAN aktiv ist", sagt Strobel, aber das ist gar nicht so einfach. Oder man muss die fremden Access Points finden.Sobald ein WLAN im Unternehmen aktiv ist, sind so genannte "Schurken-Zugänge" (Rogue-Access-Points) ein weiteres Problem, denn sie sind leicht zu installieren und bieten vollen Netzzugang. Man muss nur aussehen wie ein Handwerker und an einer versteckten Stelle einen WLAN-Router ins Firmen-Ethernet einstöpseln, um dann bequem vom Parkplatz aus im Netzwerk zu surfen. In den meisten Firmen mit Publikumsverkehr ist das kein Problem, schon ein Konferenzraum hat meistens mehrere freiliegende Ethernet-Schnittstellen.

Wer glaubt, sich hier mit einem normalen Netzwerkscan schützen zu können, irrt: "Sie brauchen nur eine Firewall vor ihren Rogue-Access-Point zu schalten, dann ist seine IP nicht mehr zu erreichen", warnt Armin Stephan, Consulting Manager Security Management bei Computer Associates (CA).

Der Software-Hersteller hat im Mai 2004 in Las Vegas (USA) auf seiner Hausmesse CA World eine ähnliche Lösung vorgestellt und bietet gleich eine Integrationsmöglichkeit in seine IT-Management-Lösung Unicenter an. Durch die Software kann der Nutzer sein WLAN verwalten und gleichzeitig absichern. Es ist eine Kooperationslösung: Mit Hilfe der erlaubten, aktiven Access Points und Laptops peilt das "Wireless Site Management" den Ort des Eindringlings. Je mehr Geräte gerade aktiv und unterwegs sind, desto genauer die Peilung - auf diese Weise weiß der Administrator gleich, wo er suchen muss. "Die meisten Kunden sind sich zwar des Problems bewusst, aber nur wenige wissen, dass es bereits Lösungen gibt", erzählt Stephan aus seiner Erfahrung. CA arbeitet hierbei unter anderem mit dem Anbieter Highwall Technologies zusammen. Deren Scanner "Highwall Sentinel" ist mit der Software kompatibel und überwacht das Netz. Das wäre auch die Lösung für Firmen, die kein WLAN haben, sich aber vor fremden Access-Points schützen wollen.

» Mitarbeiter, die unterwegs auf Hotspots zugreifen, sind für Administratoren ein Alptraum. «

Wer kein Verwaltungstool braucht, greift auf "Air Defense Mobile" zurück. Die Firma Air Defense bietet Sensoren an, die den Luftraum der Firma überwachen und fremde Sender findet, stört und Alarm schlägt.Mitarbeiter, die unterwegs auf Hotspots zugreifen, sind für viele Administratoren ein Alptraum. Selbst wenn der Laptop eine VPN-Anwendung hat, die der Hotspot unterstützt - während der Anmeldung hängt das Gerät ungeschützt im virtuellen Netz.

Um diese Sicherheitslücke zu überbrücken, bietet der Provider Ipass weltweit Hotspots mit einer speziellen Sicherheitssoftware an. Ein Client auf dem Rechner erkennt von alleine den nächstliegenden Ipass-Zugang und baut eine von Anfang an sichere Verbindung auf. Die Software muss auf allen Client-Rechnern einmal installiert werden. Dann kann sie schon bei der Suche nach dem Hotspot dafür sorgen, dass kein Fremder auf den Laptop zugreifen kann. Auch die Anmeldedaten werden verschlüsselt übertragen. "Das Interesse an solchen Lösungen nimmt merklich zu", sagt Florian Schiebl, Geschäftsführer Deutschland bei Ipass.

Da Ipass selbst keine Standorte betreibt, hat die Firma Verträge mit Providern in der ganzen Welt. In Deutschland gibt es fast 700 Ipass-Hotspots in Flughäfen und Hotels. Aber auch Schiebl weiß, dass im Markt noch viel zu tun ist: "Solange es kein breites Roaming gibt wie beim Handy, wird der Markt für viele User nicht attraktiv sein." Doch er sieht auch Bewegung im Markt, denn die Kunden wissen mittlerweile, welche Lösungen es für die Sicherheitsprobleme gibt und selbst T-Mobile öffnet sich langsam Roaming-Partnern. Allerdings ist Schiebls Aufgabe ein reiner Verdrängungswettbewerb: Er verdrängt mit dem sicheren Zugang die angestammten Provider.Neben Verschlüsselung und Absicherung des Netzes muss ein WLAN genau wie ein fest verkabeltes LAN mit Firewall, Intrusion Detection und Antivirenschutz abgesichert werden. Besonders die Anmeldung an Netz und VPN muss der Unternehmenspolicy entsprechen - hier ist eine sichere, unter Umständen zweistufige Authentisierung gefragt.

Wer sich mit MAC-Layer-Adressen und ESSIDs auskennt ist zudem klar im Vorteil. MAC-Layer-Adressen sind für kleine Netze sinnvoll. Der Administrator kann mit ihrer Hilfe nur Clients ins Netz lassen, deren einmalige Geräte-Identifikations-Nummer (MAC-Adresse) der Access-Point kennt. Fremde kommen so nicht ins Netz. Dafür muss vorher allerdings jeder Client am Access-Point angemeldet werden und daher ist das Handling bei ein paar hundert oder gar tausend Clients nicht mehr komfortabel.

ESSIDs steht für "Netzwerkname" und ist ein weiterer Knackpunkt. Manche Firmen lassen einfach den voreingestellten Namen, den die Access-Points bereits mitbringen. In jedem Fall sollte dieser voreingestellte Name geändert werden. Der neue Name sollte keine Rückschlüsse auf die Firma oder das Netzwerk zulassen, also nicht "Firma_Abteilung". Zudem posaunen die öffentlichen Hotspots ihre ESSIDs zwar fröhlich hinaus, damit jeder weiß, dass hier der "Lounge-Hotspot" ist, aber im Firmennetzwerk macht es Sinn, dieses "Broadcasting" auszuschalten. Dann finden fremde WLAN-Karten das Netz erst gar nicht und nur wer die ESSID kennt, kann sich einloggen.