Zur Sicherung des Datenaustausches in WLAN-Netzen wird heute meist der momentan sicherste Standard Wi-Fi Protected Access 2 (WPA2) eingesetzt. Dieser basiert auf dem Advanced Encryption Standard (AES), einem Verschlüsselungsverfahren, welches ebenfalls nach wie vor ein sehr hohes Mass an Sicherheit bietet.

Beschränkter Gefahrenperimeter

Um ein Drahtlosnetzwerk angreifen zu können, muss sich ein möglicher Eindringling prinzipiell in Reichweite des Funksignals aufhalten. Der damit verbundene Aufwand sowie allfällige bauliche Hürden senken das Risiko für Gelegenheitsangriffe bereits massiv. An dieser Stelle muss allerdings auch erwähnt werden, dass die Reichweite des WLAN nicht wirklich kontrolliert werden kann.

Bekannte Sicherheitslücken

WPA2 hat bekannte Sicherheitslücken, wie zum Beispiel die Funktion Wi-Fi Protected Setup (WPS), mit der das Hinzufügen von Geräten in ein bestehendes Netzwerk vereinfacht werden sollte, oder die neuere Angriffsmethode Key Reinstallation Attack (KRACK).

Diese Lücken können grundsätzlich durch Deaktivieren von WPS, oder im Falle von KRACK durch Patches, beseitigt werden.

Einfallstor Handshake

Es gibt aber eine generelle Schwachstelle, welche im Visier von Angreifern ist: Der Verbindungsaufbau (Handshake) zwischen dem Client und dem Access-Point. Während diesem Handshake ist die Verbindung noch unverschlüsselt, da als Grundlage für die Verschlüsselung zuerst das korrekte Passwort übermittelt werden muss. Das geschieht selbstverständlich nicht in Klartextform, sondern abstrahiert als sogenannter Hash-Wert, einer Art Fingerabdruck.

Mit geeigneter Ausrüstung kann ein Angreifer den ganzen Verbindungsaufbau aufzeichnen, womit er auch Kenntnis über diesen «Fingerabdruck» des Passworts erlangt. Das eigentliche Passwort kann anschliessend entweder durch Abgleiche gegen die Hash-Werte aller möglicher Zeichenkombinationen (wenig effizient) oder gegen die Hash-Werte von im Internet verfügbaren Passwortlisten eruiert werden.

Starke Passwörter reduzieren das Risiko

Die Erfolgsaussichten sind dabei stark abhängig von der gewählten Länge und Komplexität des WLAN-Passworts. Zur Einordnung: Die Rechenleistung, welche für das Bitcoin-Netzwerk zur Verfügung steht, kann etwa 35’000’000’000’000’000’000 (fünfunddreissig Trillionen) Hashes pro Sekunde verarbeiten. Ein komplexes 16-stelliges Passwort könnte damit in weniger als 3 Tagen von Grund auf errechnet werden, also ganz ohne Passwortlisten.

Empfehlungen

Natürlich steht keinem Angreifer eine solch geballte Rechenleistung zur Verfügung bzw. die Kosten dafür wären gigantisch. Aber die verfügbaren Ressourcen steigen. Das führt also zu unseren folgenden Empfehlungen für sicheres WLAN:

1. Nutzen Sie ausschliesslich den WPA2-Standard
2. Vergeben Sie ein langes, komplexes WLAN-Passwort
3. Deaktivieren Sie die Funktion WPS
4. Installieren Sie konsequent die aktuellsten Updates und gefahrenspezifischen Patches

Das Risiko von Schäden durch Cyberangriffe kann mittels fachgerechter Konfiguration markant vermindert werden. Sie möchten optimal geschützt sein und die Einstellungen von einer Fachperson vornehmen oder überprüfen lassen? Dann freuen wir uns auf Ihre Kontaktaufnahme. Unsere Experten sind mit allen oben genannten Technologien per Du – und mit vielen anderen mehr.

Diese Woche wurde bekannt, dass ein katastrophaler «Bug» (Fehler) in Prozessoren Computersysteme angreifbar macht. Ein seit 20 Jahren gängiges Verfahren, das Computerchips schneller machen sollte, macht sie über die «Meltdown» und «Spectre» getauften Angriffsmuster auch anfällig für Datenklau. Bislang gibt es keine Hinweise darauf, dass die Schwachstellen von Kriminellen ausgenutzt wurden.

Wer ist betroffen?

Beinahe alle Smartphones, Computer und Server (einschliesslich Cloud-Server).

Was kann ich tun?

Updaten, updaten, updaten. Das gilt nicht nur für diesen Fall, sondern generell. Gehen Sie dazu wie folgt vor:

• Prüfen Sie, ob der Antivirushersteller ein Update veröffentlicht hat.
  Grund: Microsoft hat im Sicherheitsupdate vom 3.1.2018 Kompatibilitätsprobleme mit Antivirensoftware festgestellt und darum eine Restriktion eingebaut, dass das Update derzeit nur erscheint, wenn die eingesetzte Antivirensoftware kompatibel ist.
• Installieren Sie Betriebssystem-Updates (z.B. über Windows Update).
• Prüfen Sie, ob der Computerhersteller ein Update für das BIOS veröffentlicht hat.
• Prüfen Sie, ob der Computerhersteller sonstige Treiber- und Software-Updates zur Verringerung der Sicherheitslücken bereitgestellt hat.