Verschlüsselte Datenübertragung: Sicherheitsprotokolle für das WLAN
Drahtlose Netzwerke sollten die Verschlüsselungsmethoden WPA2 oder WPA3 verwenden. Warum diese Sicherheitsprotokolle für den Schutz Ihres WLANs unverzichtbar sind, lesen Sie in diesem Beitrag.
Jede Datenübertragung in öffentlichen und privaten WLAN-Netzwerken erfolgt in der Regel über einen der folgenden Verschlüsselungsstandards (auch: Sicherheitsprotokoll, Verschlüsselungsprotokoll): WEP, WPA, WPA2 oder WPA3. Die Sicherheitsprotokolle legen fest, auf welche Weise die Kommunikation im Netzwerk verschlüsselt wird. Dadurch werden Daten, die in einem WLAN über Funksignale übertragen werden, vor unbefugten Zugriffen geschützt. Denn häufig lassen sich WLAN-Signale auch außerhalb des Gebäudes, in dem sich ein WLAN-Access-Point befindet, empfangen. Dadurch können sich Hackerinnen und Hacker unbemerkt aus der Distanz Zugang zum Netzwerk verschaffen und den Datenverkehr ausspionieren. Um Angriffe auf funkbasierte Netzwerke zu verhindern, werden lesbare Daten während der Übertragung in ein verschlüsseltes Format konvertiert. Selbst wenn die Daten abgefangen werden, haben Hackerinnen und Hacker also nur eine unleserliche Zeichenfolge vor sich.
Sicherheitsprotokolle für den WLAN-Datenverkehr
Zur Absicherung von Drahtlosnetzwerken unterstützen WLAN-Router die Sicherheitsprotokolle WEP, WPA, WPA2 und WPA3. Dabei kommen für die Authentifizierung der teilnehmenden Geräte beziehungsweise Clients sowie für die Verschlüsselung des Datenverkehrs unterschiedliche kryptografische Verfahren zum Einsatz. Der empfohlene Mindeststandard für Funknetzwerke ist WPA2. Unterstützt der Router WPA3, so können auch WPA2 und WPA3 in Kombination aktiviert werden. Beachten Sie jedoch, dass die mit dem Netzwerk verbundenen Geräte ebenso WPA3 unterstützen müssen.
WEP (Wired Equivalent Privacy)
WEP ist das älteste Sicherheitsprotokoll für drahtlose Netzwerke. Da sich der verwendete Verschlüsselungsalgorithmus RC4 ohne großen Aufwand hacken lässt, gilt WEP als äußerst unsicher. Moderne Router bieten daher keine WEP-Verschlüsselung mehr an. Das Sicherheitsprotokoll verfügt über statische Sicherheitsschlüssel mit einer Länge von bis zu 256 Bit. 2004 wurde WEP als Sicherheitsstandard offiziell durch WPA abgelöst.
WPA (Wi-Fi Protected Access)
Der Verschlüsselungsstandard WPA kann durch ein Software-Update auf WEP-fähigen Geräten aktiviert werden. Für die Verschlüsselung wird das Sicherheitsprotokoll TKIP (Temporal Key Integrity Protocol) verwendet, welches auch auf dem RC4-Algorithmus basiert, jedoch diesen um dynamische Schlüssel und zusätzliche Integritätschecks erweitert. In größeren WLAN-Installationen wird das Extensible Authentication Protocol (EAP) eingesetzt, bei denen ein Server für die teilnehmenden Clients digitale Schlüssel und Zertifikate zur Authentifizierung erstellt. Bei kleinen Installationen und im privaten Bereich kommen meist Pre-Shared Keys (PSK) zur Authentifizierung zum Einsatz. Bei der Anwendung von Pre-Shared-Keys muss auf die Qualität des verwendeten Passworts geachtet werden, um ein Erraten des Passworts durch Ausprobieren („Brute-Force-Methode“) zu verhindern. Aufgrund seiner Anfälligkeiten für verschiedene Angriffsvektoren gilt TKIP beziehungsweise WPA heute als unsicher.
WPA2 (Wi-Fi Protected Access 2)
Die zweite Generation von WPA hat bekannte Sicherheitslücken geschlossen und die leistungsstarke Verschlüsselungsmethode AES (Advanced Encryption Standard) eingeführt. Bei AES handelt es sich um ein symmetrisches Verschlüsselungsverfahren – dabei kommen für Codierung und Decodierung dieselben algebraischen Formeln zur Anwendung. Die AES-Verschlüsselung gilt als der kryptografische State of the Art für verschlüsselte Kommunikation und wird auch bei Messenger-Diensten wie WhatsApp oder Signal verwendet (Ende-zu-Ende-Verschlüsselung). Der Einsatz von dynamischen Keys, die regelmäßig geändert werden, sichert das WLAN zusätzlich gegen Cyberattacken ab.
WPA3 (Wi-Fi Protected Access 3)
Das 2018 entwickelte Sicherheitsprotokoll WPA3 zeichnet sich durch wesentliche Verbesserungen gegenüber seinem Vorgänger aus. Ein neues Schlüsselaustauschprotokoll bietet zusätzlichen Schutz gegen Brute-Force-Angriffe beziehungsweise Wörterbuchattacken. WPA3 basiert ebenfalls auf dem AES Verschlüsselungsalgorithmus und ersetzt das Pre-Shared Key (PSK) Verfahren mit der neuen Schlüsselaustauschmethode SAE (Simultaneous Authentication of Equals; kennwortbasierte Authentifizierungsmethode). Dabei handelt es sich um eine verbesserte Technik für den sicheren Schlüsselaustausch im Handshake-Verfahren, bei dem sich zwei teilnehmende Komponenten in einem Netzwerk gegenseitig bestätigen. Selbst bei schwachen Kennwörtern bleibt die Authentifizierung abgeschirmt, sodass SAE einen effektiven Schutz gegen Brute-Force-Attacken bietet. Wie bei WPA2 gibt es auch hier einen „Enterprise Mode“ für größere Netzwerke und einen „Personal Mode“ für die private WLAN-Nutzung.
Hinweis
Wer Smart-Home-Systeme verwendet oder viele IT-Geräte zu Hause betreibt, kann das Heimnetzwerk zusätzlich durch Netzwerksegmentierung absichern. Welche Möglichkeiten es hierfür gibt, erfahren Sie im Beitrag „Das Heimnetzwerk segmentieren: Wie Sie Ihr WLAN in Zonen einteilen“.
WLAN: Sicherheitslücken und Risikopotenziale
Wenn Sie Ihren Router ohne Sicherheitsmaßnahmen verwenden und das WLAN nicht absichern, bieten Sie unbefugten Dritten und Cyberkriminellen eine große Angriffsfläche: Missbräuchliche Nutzung Ihres Datenvolumens, illegale Internetaktivitäten in Ihrem Namen, Ausspionieren des persönlichen Datenverkehrs, Identitätsdiebstahl sowie die Installation von Schadprogrammen sind dabei möglich.
Die größte Schwachstelle bei WLAN-Netzwerken sind schwache Passwörter. Sind diese kurz und simpel, lassen sie sich mittels Brute-Force-Attacke (auch: Wörterbuchangriff) erraten. Bei einem solchen Angriff probiert eine Software alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen sowie ganze Passwortlisten durch. Je komplexer und länger das verwendete Passwort, desto eher bleiben Userinnen und User geschützt.
Tipp
Wie Sie sichere Passwörter erstellen und diese verwalten, erfahren Sie im Beitrag „Kennwortsicherheit: Der richtige Umgang mit Passwörtern“.
Besondere Vorsicht ist bei der Nutzung öffentlicher WLAN-Hotspots geboten: Ob das Wi-Fi in einer öffentlichen Einrichtung durch entsprechende Sicherheitsstandards geschützt ist, entzieht sich der Kontrolle der Userin oder des Users. Wer dennoch über ein öffentliches WLAN im Internet surfen möchte, sollte unbedingt eine VPN-Verbindung einrichten. Mögliche Sicherheitsrisiken in öffentlichen Netzwerken sind zum Beispiel Man-in-the-Middle-Attacken und Packet-Sniffing (Abfangen von Daten mittels spezialisierter Software oder Hardware). Ein Hacking-Angriff wird von den Userinnen und Usern in der Regel gar nicht bemerkt.
Im Heimnetzwerk können Sie eigenverantwortlich zum Schutz Ihrer Daten beitragen, indem Sie den Zugang zum Router und zum WLAN durch starke Passwörter absichern. Wie Sie Ihren Router konfigurieren, um das Netzwerk gegen unbefugte Zugriffe zu schützen, erfahren Sie im Beitrag „Den Router richtig einstellen: Tipps für ein sicheres Heim-WLAN“.
Hinweis
Weitere Informationen, wie Ihr WLAN zuverlässig abgesichert werden kann, finden Sie in den Beiträgen „Basisschutz für private WLAN-Netzwerke“ und „Erweiterter Schutz für private WLAN-Netzwerke“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria