748190

WLAN schützen: So sichern Sie Ihr Funknetz ab

03.06.2020 | 13:09 Uhr |

Jedes Funknetz lässt sich angreifen – und das probieren Hacker auch permanent, wie Sie zahlreichen Schlagzeilen der letzten Zeit entnehmen können. Die gute Nachricht: Mit nur wenigen Handgriffen kann man Hackern das Leben deutlich schwerer machen.

Die Null macht unsicher. Vor einigen Wochen sorgte die neue WLAN-Sicherheitslücke Kr00k für Aufregung. Laut Experten von Eset betrifft sie bis zu einer Milliarde Geräte, darunter iPhones, Galaxy-Modelle von Samsung sowie Echo-Lautsprecher von Amazon. Die dort eingebauten WLAN-Chips sichern unter bestimmten Bedingungen die Datenübertragung nur schwach, eben mit einem Schlüssel aus lauter Nullen.

Wie bei vielen WLAN-Attacken ist die Gefahr von Kr00k theoretisch hoch. Praktisch müssen sich Angreifer aber für eine gewisse Zeit in unmittelbarer Nähe Ihres Funknetzes befinden. Außerdem haben die meisten betroffenen Hersteller schon mit Updates reagiert. Trotzdem zeigt auch Kr00k wieder: Mit genug Zeit und Ressourcen lässt sich jeder WLAN-Schutz aushebeln. Deshalb sollten Sie dafür sorgen, dass Sie Hackern die Angriffe erschweren.

Die passenden Maßnahmen dafür stellen wir hier vor: Vom besten Verschlüsselungsverfahren fürs Funknetz über Sicherheitseinstellungen für den Router bis hin zu Tools, mit denen Sie die WLAN-Sicherheit prüfen können.

Der wichtigste Schutz: Erstellen Sie ein starkes Passwort 

Ein starkes WLAN-Passwort ist die Grundlage für den Schutz Ihres Funknetzes. Bekommt ein Angreifer das Passwort in die Hände, kann er sich im WLAN anmelden, den Datenverkehr belauschen und auf Netzwerkgeräte zugreifen.

Je länger und komplizierter ein Passwort ist, desto schwieriger ist es zu knacken. In den meisten Routern dürfen Sie einen Netzwerkschlüssel eintragen, der zwischen 8 und 63 Zeichen lang ist. Empfehlenswert ist eine Länge von mindestens 20 Zeichen. Wie bei jedem robusten Passwort sollten Sie auch beim WLAN-Schlüssel keine echten Wörter benutzen und keine Buchstaben- Zahlen-Kombinationen, die sich leicht erraten lassen – zum Beispiel Ihren Namen plus das Geburtsdatum. Wechseln Sie beim Passwort zwischen Groß- und Kleinschreibung, Buchstaben, Ziffern und Sonderzeichen. Bei Letzteren müssen Sie darauf achten, welche der Router annimmt: Häufig sind Zeichen, die nur in einer bestimmten Sprache vorkommen, nicht zulässig – etwa Umlaute, ß oder Akzente.

Wenn Sie ein sicheres Passwort verwenden, müssen Sie es nicht regelmäßig ändern. Ausnahme: Kommt Ihr Router ab Werk mit einem voreingestellten WLAN-Schlüssel, sollten Sie diesen unbedingt tauschen. Denn er ist meist auf dem Gehäuse oder im Handbuch abgedruckt. Auch wenn Sie Ihr WLAN-Passwort weitergegeben haben, zum Beispiel, weil sich ein Besucher mal schnell im Funknetz anmelden wollte, ist ein nachträgliches Ändern empfehlenswert. Auch wenn Sie jemanden nur kurz ins WLAN lassen wollen, sollten Sie dafür besser einen Gast-Zugriff im Router einrichten.

Ihren Router können Sie auch per WLAN einrichten, wenn sein Funknetz ab Werk mit einem Passwort geschützt ist. Hat er keines, sollte die grundlegende Konfiguration aus Sicherheitsgründen am besten per LAN-Kabel von PC oder Notebook aus erfolgen.

Tipp: Ist mein PC gehackt? So erkennen Sie Angriffe

WPA, WPA2, WPA3: So wählen Sie die richtige Verschlüsselung

Wenn Ihr Router bereits die WPA3-Verschlüsselung unterstützt, sollten Sie diese aktivieren. Doch für das Funknetz gilt auf jeden Fall: Das WLAN-Passwort sollte ausreichend sicher sein.
Vergrößern Wenn Ihr Router bereits die WPA3-Verschlüsselung unterstützt, sollten Sie diese aktivieren. Doch für das Funknetz gilt auf jeden Fall: Das WLAN-Passwort sollte ausreichend sicher sein.

Ein WLAN-Passwort ist aber nur in Verbindung mit einem starken Verschlüsselungsverfahren sicher. Denn aus dem Schlüssel, den Sie im Router festlegen und für die Verbindung in den WLAN-Clients eingeben, berechnen die Geräte weitere Passwörter, die sie zur WLAN-Anmeldung und zum Verschlüsseln der übertragenen Daten einsetzen: Wie sie dabei vorgehen, legen Sie durch das eingestellte Verschlüsselungsverfahren fest.

Derzeit gilt das Verfahren WPA2 als hinreichend sicher – deshalb sollten Sie es im Router unbedingt auswählen. Bei einigen Modellen müssen Sie dafür die Option „WPA2-Personal“ oder „WPA2-PSK“ wählen. Manchmal finden Sie im Routermenü stattdessen oder zusätzlich die Abkürzung CCMP, die für Counter Mode with Cipher Block Chaining Message Authentication Code Protocol steht. Dieses Protokoll nutzt WPA2 zusammen mit dem Verschlüsselungsverfahren AES.

Sie sollten auf jeden Fall im Router nur WPA2 aktivieren. Einige Geräte bieten zwar die Option „WPA/WPA2“ an, damit ältere Geräte, die nur den Vorgängerstandard WPA unterstützen, sich ebenfalls mit dem WLAN verbinden können. Doch statt diese Einstellung zu wählen, verzichten Sie lieber auf die älteren Geräte: Neben ihrer geringen WLAN-Sicherheit stellen sie auch deshalb eine Gefahr fürs Heimnetz dar, weil sie häufig vom Hersteller nicht mehr mit Firmware-Updates versorgt werden und so durch ungeschlossene Sicherheitslücken Angreifern eine Chance geben, in Ihr Heimnetz zu gelangen.

Die Sicherheitsfunktion PMF ist Teil der neuen WPA3-Verschlüsselung. Sie können sie aber auch zusätzlich zu WPA2 aktivieren, sofern Ihr Router bereits eine entsprechende Einstellung vorsieht.
Vergrößern Die Sicherheitsfunktion PMF ist Teil der neuen WPA3-Verschlüsselung. Sie können sie aber auch zusätzlich zu WPA2 aktivieren, sofern Ihr Router bereits eine entsprechende Einstellung vorsieht.

Die höchste WLAN-Sicherheit bietet das neue Verschlüsselungsverfahren WPA3. Zwar unterstützen es schon die beliebten Fritzbox-Modelle 7490 und 7590, aber bisher nur wenige WLAN-Clients. Die Sicherheit von WPA2 können Sie erhöhen, wenn sich bei Ihrem Router PMF (Protected Management Frames) aktivieren lassen. Dann schützen Sie ihn vor einer Deauthentication-Attacke.

Über einen Befehl für die Kommandozeile finden Sie heraus, welche Sicherheitsfunktionen die WLAN-Hardware Ihres Windows-Rechners unterstützt – wie hier zum Beispiel PMF.
Vergrößern Über einen Befehl für die Kommandozeile finden Sie heraus, welche Sicherheitsfunktionen die WLAN-Hardware Ihres Windows-Rechners unterstützt – wie hier zum Beispiel PMF.

Passwort und Verschlüsselungsverfahren für Ihr WLAN legen Sie im Router fest. Bei einer Fritzbox gehen Sie dazu ins Menü „WLAN –› Sicherheit“. Die Verschlüsselung legen Sie fest, indem Sie ganz oben die Option „WPA-Verschlüsselung“ aktivieren und darunter bei „WPA-Modus“ entweder „WPA2 (CCMP) oder „WPA2+WPA3“ auswählen. Eine Zeile darunter geben Sie Ihr WLAN-Passwort ein. Die Fritzbox zeigt beim Tippen an, wie sicher der gewählte Begriff ist. Das Passwort fragt die Fritzbox anschließend bei jedem Gerät ab, das mit ihr Verbindung aufnimmt. PMF aktivieren Sie dann unter „Weitere Sicherheitseinstellungen –› Unterstützung für geschützte Anmeldung von WLAN-Geräten (PMF) aktivieren“. Mit welchen WLAN-Schutzverfahren Ihre Windows-Rechner arbeiten können, prüfen Sie über einen Kommandozeilenbefehl. Tippen Sie dazu in die Eingabeaufforderung 

netsh wlan show driver

Der Befehl liefert als Antwort unter anderem eine Liste der von der WLAN-Hardware unterstützen Schutzverfahren – hier sollte unbedingt „WPA2-Personal CCMP“ stehen sowie für PMF „Ja“ in der Zeile „802.11w Management Frame Protection wird unterstützt“.

Routerzugang sichern: Wählen Sie ein individuelles Passwort 

WLAN und Heimnetz lassen sich auch über das Internet angreifen – wenn ein Hacker Zugriff auf den Router bekommt. Diese Angriffe etwa per Cross-Site Request Forgery (siehe Kasten) können nur gelingen, weil viele Anwender den Benutzernamen und das Passwort für das Einstellungsmenü des Routers auf den Standardwerten belassen. Und die stehen meist in den Handbüchern, die online verfügbar sind, oder lassen sich sehr leicht erraten, weil sie etwa „Admin“ und „password“ lauten.

Daher müssen Sie unbedingt das Passwort für den Routerzugang ändern – am besten nach denselben Sicherheitsvorgaben, die Sie auch für das WLAN-Passwort verwenden. Das gilt auch dann, wenn der Hersteller auf dem Router ab Werk einen individuellen Zugang eingerichtet hat, denn der steht oft auf dem Gehäuse und ist daher für einen Angreifer vor Ort zugänglich.

Bei einer Fritzbox ändern Sie das Kennwort unter „System –› FRITZ!Box-Benutzer –› Anmeldung im Heimnetz“. Greifen Sie nur lokal auf das Routermenü zu, genügt zu dessen Schutz ein sicheres Passwort. Sie können stattdessen auch die Option „Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort“ aktivieren: Das ist aber eher als Schutz gegen experimentierfreudige Familienmitglieder empfehlenswert, die sich Zugang zum Menü verschaffen wollen. Für den Internetzugang zur Fritzbox müssen Sie ohnehin ein zusätzliches Benutzerkonto mit Passwort einrichten.

Den Zugang zum Router können Sie per 2-Faktor-Authentfizierung zusätzlich schützen: Mit dem Passwort geben Sie dann einen Code am Fritzfon ein oder bekommen ihn per Handy-App.
Vergrößern Den Zugang zum Router können Sie per 2-Faktor-Authentfizierung zusätzlich schützen: Mit dem Passwort geben Sie dann einen Code am Fritzfon ein oder bekommen ihn per Handy-App.

In diesem Menü lässt sich außerdem die 2-Faktor-Authentififzierung (2FA) aktivieren, die die Fritzbox seit Fritz-OS 6.80 bietet: Wenn Sie 2FA nutzen, müssen Sie über ein angeschlossenes Telefon oder eine Taste am Router bestätigen, dass Sie eine Einstellung ändern wollen. Ab Fritz-OS 7 klappt das außerdem mit der Google Authenticator App auf einem Smartphone – damit können Sie auch per Fernzugriff Änderungen sicher durchführen.

Schließlich sollten Sie nicht länger im Routermenü angemeldet bleiben als unbedingt nötig und sich immer korrekt abmelden – bei der Fritzbox zum Beispiel über die drei Punkte oben rechts. Die meisten Router sperren das Menü nach einer bestimmten Zeit, wenn keine Eingaben erfolgen – bei der Fritzbox passiert das nach 20 Minuten.

Lesetipp: Rätselhafte WLAN-Probleme- und Abbrüche lösen

Firmware aktualisieren: Neue Sicherheitslücken schließen

Mit dieser Einstellung lädt die Fritzbox automatisch neue Updates für Fritz-OS herunter. Das erfolgt in der Regel nachts, sodass die Unterbrechung der WLAN-Verbindung kaum stört.
Vergrößern Mit dieser Einstellung lädt die Fritzbox automatisch neue Updates für Fritz-OS herunter. Das erfolgt in der Regel nachts, sodass die Unterbrechung der WLAN-Verbindung kaum stört.

WLAN-Router sind nichts anderes als Mini-Computer mit einem Betriebssystem. Entsprechend kann diese Software Sicherheitslücken enthalten, die sich von Angreifern ausnutzen lassen. Ebenso wie bei Windows müssen Sie daher die Firmware Ihres Routers regelmäßig aktualisieren. Das funktioniert am einfachsten, wenn das Geräte ein automatisches Update ermöglicht: Bei einer Fritzbox aktivieren Sie diese Funktion im Menü unter „System –› Update –› Auto-Update“ und markieren „Stufe III“. Bei Speedport-Routern der Telekom sollte „Easy Support“ aktiviert sein.

Smart-Home-Geräte werden beim Sicherheits-Check im Heimnetz oft vergessen. Aber Sie müssen zum Beispiel auch bei einer IP-Kamera unbedingt regelmäßig prüfen, ob Firmware-Updates vorliegen.
Vergrößern Smart-Home-Geräte werden beim Sicherheits-Check im Heimnetz oft vergessen. Aber Sie müssen zum Beispiel auch bei einer IP-Kamera unbedingt regelmäßig prüfen, ob Firmware-Updates vorliegen.

Ein waches Auge auf Firmware-Updates sollten Sie auch bei anderen Geräten im Heimnetz haben – zum Beispiel bei NAS-Systemen und Sicherheitskameras, aber auch Smartphones und Tablets: Denn auch durch Lücken auf diesen Geräten gelangen Angreifer ins WLAN und Heimnetz. Empfehlenswert sind daher Produkte von Herstellern, die sich durch häufige Updates auszeichnen und auch ältere Geräte mit Aktualisierungen versorgen – auch wenn sie teurer sind als vergleichbare Modelle. Bei aktuellen Angriffen auf Produkte einer bestimmten Firma lohnt aber auf jeden Fall ein Besuch der Support-Webseite: Denn oft stellt in diesem Fall der Anbieter für Geräte ein Update bereit, für die er den Support eigentlich schon eingestellt hatte.

Weitere Schutzmaßnahmen: Wenig Sicherheitsgewinn, viel Aufwand 

Ein WLAN, das nicht aktiv ist, kann auch nicht angegriffen werden: Über eine Zeiteinstellung im Router lässt sich das Funknetz für einen bestimmten Zeitraum ausschalten, zum Beispiel nachts.
Vergrößern Ein WLAN, das nicht aktiv ist, kann auch nicht angegriffen werden: Über eine Zeiteinstellung im Router lässt sich das Funknetz für einen bestimmten Zeitraum ausschalten, zum Beispiel nachts.

Mit den bereits vorgestellten Maßnahmen haben Sie Ihr WLAN schon umfassend geschützt. Es gibt zahlreiche zusätzliche Sicherheitseinstellungen. Sie erhöhen den Schutz allerdings meist nur minimal und verkomplizieren die Verwaltung des Netzwerks. Deshalb sollten Sie sich vorab überlegen, ob Sie damit für Ihr Netzwerk einen echten Zuwachs an Sicherheit erzielen.

WLAN abschalten: Ist das Funknetz abgeschaltet, kann sich kein Angreifer in der Nähe einschleichen. Wenn Sie das WLAN nicht benötigen, zum Beispiel nachts, können Sie es bei den meisten Routern über eine Taste am Gehäuse aus- und wieder anschalten, bei einer Fritzbox auch über ein angeschlossenes Fritzfon. Bequemer ist eine zeitgesteuerte Aktivierung: Bei der Fritzbox finden Sie diese Funktion unter „WLAN –› Zeitschaltung“.

Feste IP-Adressen vergeben: Mit einer festen IP-Adresse für jedes Gerät im Heimnetz machen Sie es einem Angreifer schwerer, an eine gültige Adresse im Netzwerk zu gelangen. Denn normalerweise weist der Router als DHCP-Server jedem neuen Gerät automatisch eine passende IP-Adresse zu. Allerdings dürfen Sie keine IP-Adresse mehrfach vergeben, und in einem größeren Netzwerk geht schnell die Übersicht verloren, welche Adressen noch frei sind. Wollen Sie mit dieser Maßnahme verhindern, dass Gäste ihre möglicherweise ungesicherten Geräte mit Ihrem Netzwerk verbinden, sollten Sie dafür besser ein Gäste-WLAN einrichten.

MAC-Adressen-Filter einsetzen: Auch diese Maßnahme verhindert den unkontrollierten Zugang zum Netzwerk. Für fähige Angreifer ist ein MAC-Adressen-Filter keine große Hürde, aber den Nachbarn, der ungebeten die Sicherheit Ihres WLANs testet, können Sie damit eventuell aussperren. In der Filterliste tragen Sie die eindeutigen MAC-Adressen der zugelassenen Geräte ein, die Anmeldung anderer lehnt der Router ab. Bei einer Fritzbox finden Sie die Funktion unter „WLAN –› Sicherheit“. Markieren Sie unten auf der Seite die Option „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken.“ 

SSID abschalten: Wenn Sie unterbinden, dass Ihr Router die Kennung Ihres WLANs aussendet, verhindern Sie vor allem unabsichtliche und zufällige Verbindungen: Zum Beispiel, wenn Sie die Standard-SSID des Routers unverändert gelassen haben und ein Nachbar das gleiche Modell mit derselben WLAN-Kennung nutzt. Einem Angreifer, der gezielt nach Funknetzen sucht, bleibt Ihr WLAN dadurch aber nicht verborgen. Um die SSID-Kennung in einer Fritzbox abzuschalten, entfernen Sie den Haken bei „Name des WLAN-Funknetzes sichtbar“ im Menü „WLAN –› Funknetz“.

Routermenü und Netzwerktools: WLAN-Angriffe sofort entdecken 

Der Router hält in seinem Protokoll jedes Geschehen im Heimnetz fest. Überprüfen Sie deshalb zunächst dort, ob Einträge auf ungewöhnliche Vorkommnisse hinweisen. Ein Beispiel können Anmeldungsversuche im WLAN oder am Routermenü sein sowie Hinweise auf geänderte Einstellungen, die Sie nicht vorgenommen haben. Zum Routerprotokoll kommen Sie in der Fritzbox über „System –› Ereignis“.

Sehen Sie außerdem im Routermenü oder per Netzwerktool nach, welche Geräte sich im Heimnetz befinden – und ob sich darunter eventuell ein bisher unbekanntes verbirgt. Einen umfassenden Überblick bietet zum Beispiel die Fritzbox unter „Heimnetz –› Mesh“. Hier sind alle Geräte aufgeführt, die aktuell mit Router und Repeater verbunden sind. Ausführlicher ist die Darstellung unter „Heimnetz –› Netzwerk –› Netzwerkverbindungen“. Dort sehen Sie unter „Ungenutzte Verbindungen“ auch alle Geräte, die irgendwann einmal mit der Fritzbox verbunden waren. Hilfreicher wird diese Übersicht, wenn Sie Ihren Heimnetzgeräten zuvor aussagekräftige Namen gegeben haben, an denen Sie sofort erkennen, um welche Hardware es sich handelt. Bei der Fritzbox erledigen Sie das in der Detail-Ansicht des jeweiligen Gerätes.

Die gleiche Aufgabe erfüllt auch ein Netzwerktool wie Wireless Network Watcher von Nirsoft: Es zeigt in einer Liste nicht nur IP- und MAC-Adresse, sondern auch den Hersteller der Netzwerkhardware im Gerät an. Mit dieser Info finden Sie leichter heraus, um welches Gerät im Heimnetz es sich handelt.

Die Themen in Tech-up Weekly #188:

► Comet Lake-S: Intel stellt "weltschnellste Gaming-CPU" vor: www.pcwelt.de/news/Comet-Lake-S-Intel-stellt-10.-Desktop-CPU-Serie-mit-bis-zu-10-Kernen-und-5-3-GHz-vor-10802216.html

► Nvidia will neue Grafikkarten-Generation Ampere im Mai enthüllen: www.pcwelt.de/news/Nvidia-will-neue-Grafikkarten-Generation-Ampere-im-Mai-enthuellen-10799991.html

► Rap-Konzert in Fortnite: Travis Scott schafft Videospiel-Magie: www.pcwelt.de/ratgeber/Rap-Konzert-in-Fortnite-Travis-Scott-schafft-Videospiel-Magie-10800436.html

► PUBG bald mit Bots auf PS4 und Xbox One: www.pcwelt.de/news/PUBG-bald-mit-Bots-auf-PS4-und-Xbox-One-10799958.html

► Assassin's Creed: Valhalla offiziell angekündigt: www.pcwelt.de/news/Assassin-s-Creed-Valhalla-offiziell-angekuendigt-10802222.html

Quick-News

► Corona-App kommt bald: Die Bundesregierung entscheidet sich um: www.pcwelt.de/news/Corona-App-kommt-bald-Die-Bundesregierung-entscheidet-sich-um-10799564.html

► Würdet Ihr die Corona-App installieren? Bitte macht bei unserer Umfrage mit: www.pcwelt.de/news/Umfrage-zur-Covid-19-Tracing-App-Nutzen-oder-nicht-10802593.html

► The Last of US II: Neuer Erscheinungstermin steht fest: www.pcwelt.de/news/The-Last-of-US-II-Neuer-Erscheinungstermin-steht-fest-10785850.html

► Enthüllung der ersten PS5-Spiele für Ende Mai geplant: www.pcwelt.de/news/Enthuellung-der-ersten-PS5-Spiele-fuer-Ende-Mai-geplant-10800911.html

► DHL-Pakete wieder günstiger: www.pcwelt.de/news/DHL-Pakete-werden-ab-morgen-guenstiger-10802304.html

► Facebook Messenger Rooms für bis zu 50 Teilnehmer: www.pcwelt.de/news/Facebook-Messenger-Rooms-fuer-bis-zu-50-Teilnehmer-10799655.html

► Google Meet: Bald gratis für alle: www.pcwelt.de/news/Google-Meet-Ab-Mai-2020-gratis-fuer-alle-10801947.html

► US-Navy veröffentlicht drei geheime UFO-Videos: www.pcwelt.de/news/US-Navy-veroeffentlicht-drei-geheime-UFO-Videos-10800430.html

Kommentar der Woche

www.youtube.com/watch?v=CB-ClkpT0KU&lc=UgwPuAq9YBdO75qog-94AaABAg

Fail der Woche

► Donald Trump: Web spottet über neueste Ausrutscher: www.pcwelt.de/news/Donald-Trump-Web-spottet-ueber-neueste-Ausrutscher-10799694.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

748190