Wireless LANs sicher betreiben

Sicherheitslücke WLAN: Risikofaktor trotz Verschlüsselung

Die größte Gefahr: WLAN verbieten

Der mangelnde Einsatz sicherer Verschlüsselungsverfahren und die daraus resultierenden Einbruchsmöglichkeiten sind laut Roger Hockaday, europäischer Marketing-Chef beim WLAN-Infrastrukturhersteller Aruba Networks, noch nicht einmal das größte Problem. Er hält Wörterbuchattacken auf WPA-gesicherte Netzwerke beispielsweise für eher vernachlässigbar, da der Aufwand für den Cracker vergleichsweise hoch ist. Kommt gar das auf dem bislang noch nicht geknackten AES-Algorithmus basierende WPA2 zum Einsatz, sehen Angreifer überhaupt kein Land mehr. Die Kodierung hält sämtlichen bekannten Attacken stand. Hockaday weiß aus langjähriger Praxiserfahrung zu berichten, dass viele Unternehmen durch einen ganz anderen Schritt die Sicherheit ihrer Netzwerke entscheidend gefährden: indem sie unter anderem aufgrund von Sicherheitsbedenken auf den Einsatz von drahtlosen Netzen verzichten.

Es mag paradox klingen: Wie kann eine IT-Komponente gefährlich sein, wenn man sie nicht betreibt? Roger Hockaday kann die Frage beantworten: „Die IT-Verantwortlichen einer großen europäischen Bank sagten uns Ende 2008, dass sie – allem Komfortgewinn zum Trotz – aus Sicherheitsgründen kein WLAN betreiben wollen. Als wir kurz darauf das Verwaltungsgebäude scannten, fanden wir zur Überraschung aller insgesamt 20 verschiedene Funknetze, zwei davon sogar im besonders gesicherten Rechenzentrum der Bank“, erzählt Hockaday.

Flauschige Falle: Selbst in Kinderspielzeug lässt sich ein funktionstüchtiger WLAN-Acces-Point verstecken, der dann zum Rogue-Access-Point wird. (Quelle: renderlab.net)
Flauschige Falle: Selbst in Kinderspielzeug lässt sich ein funktionstüchtiger WLAN-Acces-Point verstecken, der dann zum Rogue-Access-Point wird. (Quelle: renderlab.net)
Foto: Malte Jeschke

Was war geschehen? Die Mitarbeiter der Bank – normale Büroangestellte, aber auch IT-Fachleute – wollten im Büro nicht länger auf den von zu Hause gewohnten Komfort eines drahtlosen Netzwerkes verzichten. Also brachten sie eigene Access Points mit und schlossen sie an vorhandene Ethernet-Ports an – ein sogenannter Rogue-Access-Point ist geboren. Für einen IT-Sicherheitsverantwortlichen ist das ein GAU: Die durch zig verschiedene Wege und Mittel gesicherten Daten des Intranets werden durch einen höchstwahrscheinlich unsachgemäß konfigurierten und somit schlecht gesicherten WLAN-Access-Point aus dem Gebäude des Unternehmens hinausgeblasen. Jegliche Bemühungen, die Datensicherheit durch ausgefeilte Vorgaben zu erhöhen, werden im Handumdrehen ausgehebelt. Roger Hockaday sagt: „Die größte Gefahr für die IT-Sicherheit sind an sich wohlmeinende Mitarbeiter, die es aber leider nicht besser wissen.“