Wie sichere ich mein eigenes WLAN?
Der Bundesgerichtshof (BGH) hat entschieden: Wer sein WLAN nicht schützt, kann für illegale Downloads anderer Nutzer über das eigene WLAN-Netz haftbar gemacht werden! Aber auch die eigenen Daten sind von Diebstahl bedroht! Ganz schnell ist es passiert: Sie schützen Ihr eigenes WLAN nicht ausreichend und am nächsten Tag flattert ein Mahnbescheid wegen des illegalen Downloads von Musikstücken, Videos oder Computerspielen ins Haus. Dann beginnt der Ärger und wenn Ihr WLAN nicht ausreichend gesichert war, müssen Sie in der Regel zahlen - den Ärger haben Sie auf jeden Fall! Noch schlimmer wenn die Kriminalpolizei wegen Kinder-Pornographie oder anderen hässlichen Dingen bei Ihr vor der Haustür steht, weil jemand über Ihr WLAN seine perversen Neigungen ausgelebt hat. Sichern Sie sich lieber dagegen ab!
Firmen droht der Einbruch und der Verlust von sensiblen Daten über offene WLANs. Und auch Computerviren und Trojaner können über schlecht oder nicht gesicherte WLANs mutwillig in ein System eingespeist werden. Handeln Sie lieber gleich!
Die Technik
Ein WLAN besteht in der Regel grob gesagt immer aus 2 Teilen: dem WLAN-Sender (dem Router) und den WLAN-Nutzern (den Clients). Der Client, z.B. ein Notebook oder ein Tablet-PC, verbindet sich zum Router und dieser stellt dem Client die Internetverbindung zur Verfügung. Oder 2 Clients verbinden sich zum Router und tauschen untereinander Daten aus (z.B. ein Notebook, von dem man über WLAN eine Datei auf den heimischen PC kopiert).
Auf beiden Seiten muss man Absicherungen vornehmen. Die meisten Punkte betreffen in der Regel den Router, aber auch auf jedem Computer, der sich ins WLAN verbindet, kann man Vorsichtsmaßnahmen treffen.
Sicherheitsmaßnahmen am Router
Was nun kommt ist leider etwas Theorie, auch wenn wir versucht haben, es so einfach wie möglich zu beschreiben. Das Problem: an jedem Router sieht es etwas anders aus und funktioniert die Einstellung auch etwas anders. Daher können wir leider keine Schritt für Schritt Anleitung geben, wie Sie vorgehen müssen, sondern nur allgemein sagen, auf was Sie achten müssen. Vieles mag auf den ersten Blick wie Fachchinesisch klingen, aber in der Regel finden Sie die unten aufgeführten Einstellungen auch alle in der einen oder anderen Form in der Verwaltung Ihres Routers. Wir hoffen, dies hilft weiter!
Was Sie auf jeden Fall als erstes machen müssen: Loggen Sie sich in die Konfiguration Ihres Routers ein. In der Regel macht man dies von einem PC aus, der möglichst per Netzwerkkabel an den Router angeschlossen ist. Meistens muss man ein normales Internetprogramm verwenden und dort eine spezielle Internetadresse (z.B. http://speedport.ip/ oder http://192.168.0.1/) eingeben, um die Konfiguration des Routers zu starten. Oftmals verrät ein Aufkleber auf dem Router die genaue Adresse. Auf jeden Fall findet sie sich im beigelegten Handbuch. Manchmal ist auch eine CD mit einer Software dem Router beigelegt, mit der man die Einstellungen ändern kann.
Sobald Sie den Zugang zu den Einstellungen Ihres Routers gefunden haben, heißt es suchen. Im folgenden finden Sie die Punkte, die Sie allesamt genauer unter die Lupe nehmen sollten:
Was Sie auf jeden Fall machen sollten!
Aktivieren Sie in Ihrem Router unbedingt die Verschlüsselung für Ihr WLAN - ohne Verschlüsselung kann jeder (!) Ihr WLAN nutzen und mit Ihrem Internetzugang surfen. Außerdem ist so von Außen der Zugriff auf Ihre Daten unter Umständen sehr einfach. Ein WLAN ohne aktivierte Verschlüsselung zu betreiben, ist grob fahrlässig!
Die älteren WEP und WAP-Verschlüsselungen sind leider sehr leicht zu knacken. Verwenden Sie immer die aktuelle WPA2-Verschlüsselung, manchmal auch WPA2-AES genannt. Wenn Ihr Router nur die alten Verschlüsselungen unterstützt, sollten Sie ernsthaft überlegen, in ein neues Gerät zu investieren.
In der Regel können Sie bis zu 64 Buchstaben als Kennwort für die Verschlüsselung verwenden: tun Sie es auch! Und wählen Sie ein völliges Zufallspasswort, z.B. Adsf+vb657fvhCDe&-dsfg.gu&vcv....., das auch Sonderzeichen und Zahlen enthält. Nur ein solches Zufallspasswort bietet größtmöglichen Schutz.
WPS ist ein vereinfachtes Verfahren, mit dem sich ein neues Gerät im WLAN anmelden kann. Manchmal reicht es an Router und Gerät einen speziellen Knopf zu drücken, manchmal muss man statt dem echten Passwort nur noch eine PIN eingeben. Klingt einfach, ist es in der Regel auch. Leider weisst dieses Verfahren einige grundlegende Schwachstellen auf, so dass Experten schon lange empfehlen, dieses Anmeldeverfahren im Router grundsätzlich abzuschalten und stattdessen neue Geräte \"konventionell\" im WLAN zu registrieren.
Jetzt wird es wieder deutlich einfacher: In manchen Routern lässt sich einstellen, ob man die Konfiguration nur über Kabel oder auch über WLAN durchführen kann. Wenn es diese Option gibt, deaktivieren Sie dass die Konfiguration über WLAN bearbeitet werden kann. Dies stellt sicher, dass überhaupt nur Rechner, die mit einem Kabel zum Router verbunden sind, die Einstellungen ändern können.
Manche Router erlauben es auch von extern, also aus dem Internet auf die Konfiguration zuzugreifen und diese zu ändern. Deaktivieren Sie diese Möglichkeit, da sie ein potentielles Sicherheitsrisiko bedeutet und Ihnen in der Regel auch keine Vorteile bringt.
Auch um auf die Konfiguration des Routers selbst zuzugreifen, wird ein Passwort benötigt. Im Lieferzustand erhalten Sie hier in der Regel ein Standard-Passwort. Loggen Sie sich umgehend in die Konfiguration des Routers ein und ändern Sie dort dieses Passwort. Achtung! Dies ist nicht das Passwort für die Verschlüsselung sondern das Passwort für den Zugriff auf den Router selbst.
Was außerdem auf jeden Fall empfehlenswert ist!
Oftmals senden WLAN-Netze standardmässig als eigene Kennung einen Namen - die sogenannte SSID, über den Typ/Hersteller des WLAN-Routers erkennbar ist. Das ist insofern schlecht, dass hierdurch für einen Hacker schon erkennbar ist, welche Hardware und Software Ihr Router verwendet. Dadurch kann er gezielt(er) versuchen, bekannte Sicherheitslücken auszunutzen, und so Ihr WLAN-Netz unter Umständen einfacher knacken. Verwenden Sie als Name Ihres Funknetzwerkes lieber eine völlig nichts sagende Bezeichnung wie \"Mein WLAN\".
Das Verstecken des Namens eines WLAN-Netzes (das ist die sogenannte SSID) verhindert, dass der Name eines WLAN bei einem Rechner, der nach WLANs sucht, überhaupt zum Verbinden angezeigt wird. Dies hilft leider nur gegen Amateur-Hacker und ist überhaupt kein verlässlicher Schutz. Das WLAN kann trotzdem mit wenigen Hilfsmitteln gefunden werden. Aber gegen freche Jungs in der Nachbarschaft hilft es allemal und sollte daher trotzdem durchgeführt werden.
Jetzt wird es schwieriger: jedes Gerät weltweit, das sich in ein Netzwerk oder WLAN verbinden kann, besitzt eine weltweit eindeutige Kennung, die sogenannte MAC-Adresse (und nein, eine MAC-Adresse hat nichts mit Mac-Computern zu tun, also mit Apple-Produkten, sondern ist die Abkürzung für Media-Access-Control-Adresse).
In vielen Routern können Sie die sogenannte MAC-Filterung aktivieren, d.h. Sie können genau bestimmen, welches Gerät sich überhaupt mit Ihrem Router verbinden darf. Dafür müssen Sie aber erst einmal die MAC-Adresse derjenigen Geräte kennen, denen Sie Zugriff zum WLAN erlauben möchten. Die MAC-Adresse hat folgende Form: z.B. 00-80-41-ae-fd-7e - also 6mal 2 Zahlen bzw. die Buchstabden a-f können ebenfalls erscheinen. Auf Tablets, Notebooks etc. findet sich die MAC-Adresse oft im Handbuch oder auf einem Aufkleber auf dem Gerät. Manchmal wird statt dem Begriff MAC-Adresse auch der Begriff \"Physikalische Adresse\" verwendet. Unter Windows finden sie die MAC-Adresse, wenn Sie auf der Kommandozeile den Befehl \"ipconfig /all\" eingeben. Einmal die MAC-Filterung aktiviert und schon können nur noch ausgesuchte Geräte in Ihr WLAN. Auch das ist leider kein hundertprozentiger Schutz: MAC-Adressen lassen sich prinzipiell auch fälschen - aber eine aktivierte MAC-Filterung macht es noch einmal sehr viel schwieriger, Ihr WLAN zu mißbrauchen.
Jetzt wird es heikel. Wenn Sie noch nie von IP-Adressen gehört haben oder eine Grundahnung haben, lassen Sie diesen Schritt aus. Er ist zwar auch empfehlenswert aber nicht grundlegend \"lebenswichtig\" für ein sicheres WLAN und mit falschen Einstellungen kann man hier leider sehr viel kaputt machen. Für alle anderen Experten hier in Kürze der Tipp: in der Regel haben Router voreingestellt eine Standard-IP-Adresse, oftmals 192.168.0.1 - dadurch, dass meistens immer diese Adresse verwendet wird, hat jeder potentielle Eindringlich schon einmal einen Anhaltspunkt, wo er mit seinen Angriffsversuchen beginnen muss. In vielen Routern lässt sich diese Adresse ändern. Ändern Sie hierfür die beiden letzten Stellen der IP-Adressen (auf keinen Fall die beiden ersten, sonst haben Sie keinen Zugriff in Ihr WLAN mehr!) in eine beliebige Zahl zwischen 0 und 255. Aber Achtung - auch an allen Geräten, die das WLAN verwenden muss eine passende Anpassung vorgenommen werden. Nehmen Sie diese Maßnahme also wirklich nur vor, wenn Sie wissen, was Sie tun! Ansonsten kommen Sie unter Umständen nicht einmal mehr in die Konfiguration Ihres Routers! Auch dies ist eine Maßnahme, die nicht wirklich direkt Sicherheit schafft, aber einen Einbruchsversuch in Ihr WLAN erschwert.
Auch ein Tipp eher für Profis, daher nur in aller Kürze: deaktivieren Sie den DHCP Server im WLAN-Router und verwenden Sie stattdessen statische IP-Adressen auf allen angeschlossenen Geräten. Das ist nicht nur schneller sondern auch sicherer. Allen Geräten, die das WLAN verwenden, muss dann von Hand eine IP-Adresse, Subnetz und Gateway zugewiesen werden. Eine einfache, schnelle Anleitung gibt es hier leider definitiv nicht.
In jedem Router ist auch Software gespeichert, die sogenannte Firmware. Und diese kann wie jede Computer-Software Fehler enthalten oder nicht mehr aktuell sein. Auch für diese fest gespeicherte Software, die sogenannte Firmware, kann es Updates und Aktualisierungen geben. Oftmals findet sich im Router die Möglichkeit zu überprüfen, ob es eine neue Firmware-Version gibt und diese dann auch zu installieren. Achtung! Nach einem Firmware-Update werden oftmals alle zuvor getroffenen Einstellungen zurückgesetzt und müssen danach wieder von Hand eingerichtet werden. Seien Sie also auch hier eher vorsichtig und notieren Sie sich von einem Update alle Einstellungen, wie sie im Router bisher vorhanden sind.
Sicherheitsmaßnahmen am Client
Ja, das ist ernst gemeint. Wenn Sie das WLAN nicht zwingend brauchen und auch eine Kabelverbindung ausreicht, deaktivieren Sie das WLAN und verwenden Sie stattdessen ein Netzwerkkabel, um sich zu Ihrem Router zu verbinden. Das ist allemal die sicherere Lösung!
Deaktivieren Sie auf Ihrem Windows Rechner die Datei- und Drucker-Freigabe oder schützen Sie die Freigaben mit komplizierten Passwörtern. Dies verhindert, dass andere Rechner im WLAN Zugriff auf Ihre Dateien erhalten.
Schalten Sie das WLAN wann immer möglich aus
Dieser Tipp ist durchaus ernst gemeint. Sie können Ihr WLAN nach allen aktuellen Möglichkeiten absichern, leider bleibt es angreifbar. Der sicherste Schutz ist und bleibt, statt WLAN eine Kabel-Verbindung zu verwenden oder das WLAN zumindest, wenn es nicht benötigt wird (z.B. während eines Urlaubs) komplett abzuschalten.
Aktivieren Sie die Verschlüsselung