- Der wichtigste Schutz: Erstellen Sie ein starkes Passwort
- WPA, WPA2, WPA3: So wählen Sie die richtige Verschlüsselung
- Routerzugang sichern: Wählen Sie ein individuelles Passwort
- Weitere Schutzmaßnahmen: Wenig Sicherheitsgewinn, viel Aufwand
- Routermenü und Netzwerktools: WLAN-Angriffe sofort entdecken
Jedes Funknetz lässt sich angreifen – und das probieren Hacker auch permanent, wie Sie zahlreichen Schlagzeilen der letzten Zeit entnehmen können. Die gute Nachricht: Mit nur wenigen Handgriffen kann man Hackern das Leben deutlich schwerer machen.
Ist Ihr Netzwerk wirklich sicher?
Die Null macht unsicher. Vor einigen Wochen sorgte die neue WLAN-Sicherheitslücke Kr00k für Aufregung. Laut Experten von Eset betrifft sie bis zu einer Milliarde Geräte, darunter iPhones, Galaxy-Modelle von Samsung sowie Echo-Lautsprecher von Amazon. Die dort eingebauten WLAN-Chips sichern unter bestimmten Bedingungen die Datenübertragung nur schwach, eben mit einem Schlüssel aus lauter Nullen.
Wie bei vielen WLAN-Attacken ist die Gefahr von Kr00k theoretisch hoch. Praktisch müssen sich Angreifer aber für eine gewisse Zeit in unmittelbarer Nähe Ihres Funknetzes befinden. Außerdem haben die meisten betroffenen Hersteller schon mit Updates reagiert. Trotzdem zeigt auch Kr00k wieder: Mit genug Zeit und Ressourcen lässt sich jeder WLAN-Schutz aushebeln. Deshalb sollten Sie dafür sorgen, dass Sie Hackern die Angriffe erschweren.
Die passenden Maßnahmen dafür stellen wir hier vor: Vom besten Verschlüsselungsverfahren fürs Funknetz über Sicherheitseinstellungen für den Router bis hin zu Tools, mit denen Sie die WLAN-Sicherheit prüfen können.
Das taugen die NEUEN Aldi-GAMING-PCs (oder auch nicht)
Der wichtigste Schutz: Erstellen Sie ein starkes Passwort
Ein starkes WLAN-Passwort ist die Grundlage für den Schutz Ihres Funknetzes. Bekommt ein Angreifer das Passwort in die Hände, kann er sich im WLAN anmelden, den Datenverkehr belauschen und auf Netzwerkgeräte zugreifen.
Je länger und komplizierter ein Passwort ist, desto schwieriger ist es zu knacken. In den meisten Routern dürfen Sie einen Netzwerkschlüssel eintragen, der zwischen 8 und 63 Zeichen lang ist. Empfehlenswert ist eine Länge von mindestens 20 Zeichen. Wie bei jedem robusten Passwort sollten Sie auch beim WLAN-Schlüssel keine echten Wörter benutzen und keine Buchstaben- Zahlen-Kombinationen, die sich leicht erraten lassen – zum Beispiel Ihren Namen plus das Geburtsdatum. Wechseln Sie beim Passwort zwischen Groß- und Kleinschreibung, Buchstaben, Ziffern und Sonderzeichen. Bei Letzteren müssen Sie darauf achten, welche der Router annimmt: Häufig sind Zeichen, die nur in einer bestimmten Sprache vorkommen, nicht zulässig – etwa Umlaute, ß oder Akzente.
Wenn Sie ein sicheres Passwort verwenden, müssen Sie es nicht regelmäßig ändern. Ausnahme: Kommt Ihr Router ab Werk mit einem voreingestellten WLAN-Schlüssel, sollten Sie diesen unbedingt tauschen. Denn er ist meist auf dem Gehäuse oder im Handbuch abgedruckt. Auch wenn Sie Ihr WLAN-Passwort weitergegeben haben, zum Beispiel, weil sich ein Besucher mal schnell im Funknetz anmelden wollte, ist ein nachträgliches Ändern empfehlenswert. Auch wenn Sie jemanden nur kurz ins WLAN lassen wollen, sollten Sie dafür besser einen Gast-Zugriff im Router einrichten.
Ihren Router können Sie auch per WLAN einrichten, wenn sein Funknetz ab Werk mit einem Passwort geschützt ist. Hat er keines, sollte die grundlegende Konfiguration aus Sicherheitsgründen am besten per LAN-Kabel von PC oder Notebook aus erfolgen.
Tipp: Ist mein PC gehackt? So erkennen Sie Angriffe
WPA, WPA2, WPA3: So wählen Sie die richtige Verschlüsselung
Wenn Ihr Router bereits die WPA3-Verschlüsselung unterstützt, sollten Sie diese aktivieren. Doch für das Funknetz gilt auf jeden Fall: Das WLAN-Passwort sollte ausreichend sicher sein.
Ein WLAN-Passwort ist aber nur in Verbindung mit einem starken Verschlüsselungsverfahren sicher. Denn aus dem Schlüssel, den Sie im Router festlegen und für die Verbindung in den WLAN-Clients eingeben, berechnen die Geräte weitere Passwörter, die sie zur WLAN-Anmeldung und zum Verschlüsseln der übertragenen Daten einsetzen: Wie sie dabei vorgehen, legen Sie durch das eingestellte Verschlüsselungsverfahren fest.
Derzeit gilt das Verfahren WPA2 als hinreichend sicher – deshalb sollten Sie es im Router unbedingt auswählen. Bei einigen Modellen müssen Sie dafür die Option „WPA2-Personal“ oder „WPA2-PSK“ wählen. Manchmal finden Sie im Routermenü stattdessen oder zusätzlich die Abkürzung CCMP, die für Counter Mode with Cipher Block Chaining Message Authentication Code Protocol steht. Dieses Protokoll nutzt WPA2 zusammen mit dem Verschlüsselungsverfahren AES.
Sie sollten auf jeden Fall im Router nur WPA2 aktivieren. Einige Geräte bieten zwar die Option „WPA/WPA2“ an, damit ältere Geräte, die nur den Vorgängerstandard WPA unterstützen, sich ebenfalls mit dem WLAN verbinden können. Doch statt diese Einstellung zu wählen, verzichten Sie lieber auf die älteren Geräte: Neben ihrer geringen WLAN-Sicherheit stellen sie auch deshalb eine Gefahr fürs Heimnetz dar, weil sie häufig vom Hersteller nicht mehr mit Firmware-Updates versorgt werden und so durch ungeschlossene Sicherheitslücken Angreifern eine Chance geben, in Ihr Heimnetz zu gelangen.
Die Sicherheitsfunktion PMF ist Teil der neuen WPA3-Verschlüsselung. Sie können sie aber auch zusätzlich zu WPA2 aktivieren, sofern Ihr Router bereits eine entsprechende Einstellung vorsieht.
Die höchste WLAN-Sicherheit bietet das neue Verschlüsselungsverfahren WPA3. Zwar unterstützen es schon die beliebten Fritzbox-Modelle 7490 und 7590, aber bisher nur wenige WLAN-Clients. Die Sicherheit von WPA2 können Sie erhöhen, wenn sich bei Ihrem Router PMF (Protected Management Frames) aktivieren lassen. Dann schützen Sie ihn vor einer Deauthentication-Attacke.
Über einen Befehl für die Kommandozeile finden Sie heraus, welche Sicherheitsfunktionen die WLAN-Hardware Ihres Windows-Rechners unterstützt – wie hier zum Beispiel PMF.
Passwort und Verschlüsselungsverfahren für Ihr WLAN legen Sie im Router fest. Bei einer Fritzbox gehen Sie dazu ins Menü „WLAN –› Sicherheit“. Die Verschlüsselung legen Sie fest, indem Sie ganz oben die Option „WPA-Verschlüsselung“ aktivieren und darunter bei „WPA-Modus“ entweder „WPA2 (CCMP) oder „WPA2+WPA3“ auswählen. Eine Zeile darunter geben Sie Ihr WLAN-Passwort ein. Die Fritzbox zeigt beim Tippen an, wie sicher der gewählte Begriff ist. Das Passwort fragt die Fritzbox anschließend bei jedem Gerät ab, das mit ihr Verbindung aufnimmt. PMF aktivieren Sie dann unter „Weitere Sicherheitseinstellungen –› Unterstützung für geschützte Anmeldung von WLAN-Geräten (PMF) aktivieren“. Mit welchen WLAN-Schutzverfahren Ihre Windows-Rechner arbeiten können, prüfen Sie über einen Kommandozeilenbefehl. Tippen Sie dazu in die Eingabeaufforderung
Code
netsh wlan show driver
Der Befehl liefert als Antwort unter anderem eine Liste der von der WLAN-Hardware unterstützen Schutzverfahren – hier sollte unbedingt „WPA2-Personal CCMP“ stehen sowie für PMF „Ja“ in der Zeile „802.11w Management Frame Protection wird unterstützt“.
Ist WPS ein Sicherheitsrisiko?
Mit WPS (Wi-Fi Protected Setup) lassen sich neue Geräte sehr bequem sicher mit dem WLAN-Router verbinden. Gerade bei Smart-TVs, Internetradios oder IP-Kameras, auf denen sich ein WLAN-Passwort nur umständlich oder gar nicht eingeben lässt, ist es die bevorzugte Methode. Allerdings lässt sich WPS auf einem iPhone oder einem Smartphone mit Android 9 und 10 nicht mehr verwenden: Wegen Sicherheitsbedenken haben Apple und Google die Funktion aus den Betriebssystemen entfernt. In der Tat gibt es Sicherheitslücken beim PIN-Verfahren von WPS: Dabei erstellt der Router einen PIN-Code, den Sie auf dem WLAN-Client eingeben müssen. Diesen kann ein Angreifer leicht erraten.
Das WPS-PBC-Verfahren, das die meisten Router verwenden, ist dagegen sicher: Hier drücken Sie am Router-Gehäuse die entsprechende Taste und dann die WPS- (Software-)Taste am WLAN-Client. Das kann allerdings auch unbemerkt jemand mit Zugriff auf den Router tun: Um dies zu verhindern, können Sie WPS im Routermenü abstellen und nur aktivieren, wenn Sie ein Gerät neu mit dem WLAN verbinden wollen. In der Fritzbox-Oberfläche erledigen Sie das unter „WLAN –› Sicherheit > WPS-Schnellverbindung –› WPS aktiv“.
Routerzugang sichern: Wählen Sie ein individuelles Passwort
WLAN und Heimnetz lassen sich auch über das Internet angreifen – wenn ein Hacker Zugriff auf den Router bekommt. Diese Angriffe etwa per Cross-Site Request Forgery (siehe Kasten) können nur gelingen, weil viele Anwender den Benutzernamen und das Passwort für das Einstellungsmenü des Routers auf den Standardwerten belassen. Und die stehen meist in den Handbüchern, die online verfügbar sind, oder lassen sich sehr leicht erraten, weil sie etwa „Admin“ und „password“ lauten.
Daher müssen Sie unbedingt das Passwort für den Routerzugang ändern – am besten nach denselben Sicherheitsvorgaben, die Sie auch für das WLAN-Passwort verwenden. Das gilt auch dann, wenn der Hersteller auf dem Router ab Werk einen individuellen Zugang eingerichtet hat, denn der steht oft auf dem Gehäuse und ist daher für einen Angreifer vor Ort zugänglich.
Bei einer Fritzbox ändern Sie das Kennwort unter „System –› FRITZ!Box-Benutzer –› Anmeldung im Heimnetz“. Greifen Sie nur lokal auf das Routermenü zu, genügt zu dessen Schutz ein sicheres Passwort. Sie können stattdessen auch die Option „Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort“ aktivieren: Das ist aber eher als Schutz gegen experimentierfreudige Familienmitglieder empfehlenswert, die sich Zugang zum Menü verschaffen wollen. Für den Internetzugang zur Fritzbox müssen Sie ohnehin ein zusätzliches Benutzerkonto mit Passwort einrichten.
Den Zugang zum Router können Sie per 2-Faktor-Authentfizierung zusätzlich schützen: Mit dem Passwort geben Sie dann einen Code am Fritzfon ein oder bekommen ihn per Handy-App.
In diesem Menü lässt sich außerdem die 2-Faktor-Authentififzierung (2FA) aktivieren, die die Fritzbox seit Fritz-OS 6.80 bietet: Wenn Sie 2FA nutzen, müssen Sie über ein angeschlossenes Telefon oder eine Taste am Router bestätigen, dass Sie eine Einstellung ändern wollen. Ab Fritz-OS 7 klappt das außerdem mit der Google Authenticator App auf einem Smartphone – damit können Sie auch per Fernzugriff Änderungen sicher durchführen.
Schließlich sollten Sie nicht länger im Routermenü angemeldet bleiben als unbedingt nötig und sich immer korrekt abmelden – bei der Fritzbox zum Beispiel über die drei Punkte oben rechts. Die meisten Router sperren das Menü nach einer bestimmten Zeit, wenn keine Eingaben erfolgen – bei der Fritzbox passiert das nach 20 Minuten.
Firmware aktualisieren: Neue Sicherheitslücken schließen
Mit dieser Einstellung lädt die Fritzbox automatisch neue Updates für Fritz-OS herunter. Das erfolgt in der Regel nachts, sodass die Unterbrechung der WLAN-Verbindung kaum stört.
WLAN-Router sind nichts anderes als Mini-Computer mit einem Betriebssystem. Entsprechend kann diese Software Sicherheitslücken enthalten, die sich von Angreifern ausnutzen lassen. Ebenso wie bei Windows müssen Sie daher die Firmware Ihres Routers regelmäßig aktualisieren. Das funktioniert am einfachsten, wenn das Geräte ein automatisches Update ermöglicht: Bei einer Fritzbox aktivieren Sie diese Funktion im Menü unter „System –› Update –› Auto-Update“ und markieren „Stufe III“. Bei Speedport-Routern der Telekom sollte „Easy Support“ aktiviert sein.
Smart-Home-Geräte werden beim Sicherheits-Check im Heimnetz oft vergessen. Aber Sie müssen zum Beispiel auch bei einer IP-Kamera unbedingt regelmäßig prüfen, ob Firmware-Updates vorliegen.
Ein waches Auge auf Firmware-Updates sollten Sie auch bei anderen Geräten im Heimnetz haben – zum Beispiel bei NAS-Systemen und Sicherheitskameras, aber auch Smartphones und Tablets: Denn auch durch Lücken auf diesen Geräten gelangen Angreifer ins WLAN und Heimnetz. Empfehlenswert sind daher Produkte von Herstellern, die sich durch häufige Updates auszeichnen und auch ältere Geräte mit Aktualisierungen versorgen – auch wenn sie teurer sind als vergleichbare Modelle. Bei aktuellen Angriffen auf Produkte einer bestimmten Firma lohnt aber auf jeden Fall ein Besuch der Support-Webseite: Denn oft stellt in diesem Fall der Anbieter für Geräte ein Update bereit, für die er den Support eigentlich schon eingestellt hatte.
Weitere Schutzmaßnahmen: Wenig Sicherheitsgewinn, viel Aufwand
Ein WLAN, das nicht aktiv ist, kann auch nicht angegriffen werden: Über eine Zeiteinstellung im Router lässt sich das Funknetz für einen bestimmten Zeitraum ausschalten, zum Beispiel nachts.
Mit den bereits vorgestellten Maßnahmen haben Sie Ihr WLAN schon umfassend geschützt. Es gibt zahlreiche zusätzliche Sicherheitseinstellungen. Sie erhöhen den Schutz allerdings meist nur minimal und verkomplizieren die Verwaltung des Netzwerks. Deshalb sollten Sie sich vorab überlegen, ob Sie damit für Ihr Netzwerk einen echten Zuwachs an Sicherheit erzielen.
WLAN abschalten:
Ist das Funknetz abgeschaltet, kann sich kein Angreifer in der Nähe einschleichen. Wenn Sie das WLAN nicht benötigen, zum Beispiel nachts, können Sie es bei den meisten Routern über eine Taste am Gehäuse aus- und wieder anschalten, bei einer Fritzbox auch über ein angeschlossenes Fritzfon. Bequemer ist eine zeitgesteuerte Aktivierung: Bei der Fritzbox finden Sie diese Funktion unter „WLAN –› Zeitschaltung“.
Feste IP-Adressen vergeben:
Mit einer festen IP-Adresse für jedes Gerät im Heimnetz machen Sie es einem Angreifer schwerer, an eine gültige Adresse im Netzwerk zu gelangen. Denn normalerweise weist der Router als DHCP-Server jedem neuen Gerät automatisch eine passende IP-Adresse zu. Allerdings dürfen Sie keine IP-Adresse mehrfach vergeben, und in einem größeren Netzwerk geht schnell die Übersicht verloren, welche Adressen noch frei sind. Wollen Sie mit dieser Maßnahme verhindern, dass Gäste ihre möglicherweise ungesicherten Geräte mit Ihrem Netzwerk verbinden, sollten Sie dafür besser ein Gäste-WLAN einrichten.
MAC-Adressen-Filter einsetzen:
Auch diese Maßnahme verhindert den unkontrollierten Zugang zum Netzwerk. Für fähige Angreifer ist ein MAC-Adressen-Filter keine große Hürde, aber den Nachbarn, der ungebeten die Sicherheit Ihres WLANs testet, können Sie damit eventuell aussperren. In der Filterliste tragen Sie die eindeutigen MAC-Adressen der zugelassenen Geräte ein, die Anmeldung anderer lehnt der Router ab. Bei einer Fritzbox finden Sie die Funktion unter „WLAN –› Sicherheit“. Markieren Sie unten auf der Seite die Option „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken.“
SSID abschalten:
Wenn Sie unterbinden, dass Ihr Router die Kennung Ihres WLANs aussendet, verhindern Sie vor allem unabsichtliche und zufällige Verbindungen: Zum Beispiel, wenn Sie die Standard-SSID des Routers unverändert gelassen haben und ein Nachbar das gleiche Modell mit derselben WLAN-Kennung nutzt. Einem Angreifer, der gezielt nach Funknetzen sucht, bleibt Ihr WLAN dadurch aber nicht verborgen. Um die SSID-Kennung in einer Fritzbox abzuschalten, entfernen Sie den Haken bei „Name des WLAN-Funknetzes sichtbar“ im Menü „WLAN –› Funknetz“.
So greifen Hacker Ihr WLAN an
Ein WLAN-Router bietet eine große Angriffsfläche: Er sendet Funkwellen aus, bei denen Sie nicht kontrollieren können, wen Sie erreichen. Außerdem ist er mit dem Internet verbunden und kann auch aus dieser Richtung attackiert werden. Um mögliche Schwächen im Router oder im WLAN auszunutzen, nutzen Hacker folgende Strategien:
Cross-Site Request Forgery / Cross Site Scripting:
Indem ein Angreifer einen Benutzer, der am Routermenü angemeldet ist, auf eine manipulierte Webseite lockt oder ihm eine manipulierte E-Mail zusendet, kann er die Kontrolle über den Router übernehmen. Dann lassen sich Einstellungen im Routermenü ändern, zum Beispiel ein weiteres Benutzerkonto mit Adminrechten hinzufügen, das WLAN-Passwort tauschen oder veränderte DNS-Einstellungen hinterlegen. Diesen Angriff erschweren Sie, wenn Sie ein sicheres Passwort für den Routerzugriff nutzen und sich nach dem Zugriff auf das Menü sicher abmelden.
De-Authentication:
Der Angreifer schickt dem Router ein gefälschtes Datenpaket, das scheinbar von einem WLAN-Client stammt. Dadurch meldet der Router den Client aus dem WLAN ab. Der Client versucht, sich in einem WLAN mit stabiler Verbindung anzumelden – dafür kann dann der Hacker einen von ihm manipulierten Router als Ziel anbieten, um Zugriff auf den Client zu bekommen. Diesen Angriff soll zum Beispiel PMF verhindern.
Drive-by-Attack: Vor allem in den Anfangszeiten von WLAN suchten Angreifer mit leistungsstarker WLAN-Hardware nach ungesicherten Funknetzen. So konnten sie einfach im Vorbeifahren in diese eindringen. Ein sicheres WLAN-Passwort macht einen erfolgreichen Angriff in kurzer Zeit aber sehr unwahrscheinlich.
Man in the Middle:
Bei dieser Attacke klinkt sich ein Angreifer in die Verbindung zwischen Router und WLAN-Client ein. Anschließend läuft der Datentransfer zwischen beiden über die Hardware des Angreifers, ohne dass die beteiligten Geräte dies mitbekommen. Besonders groß ist das Risiko für diesen Angriff in einem öffentlichen WLAN.
Sniffing:
Mit speziellen Tools lassen sich Datenpakete im Netzwerk abfangen und mitschneiden. Ist der WLAN-Datentransfer mit einem sicheren Passwort verschlüsselt, kann ein Angreifer damit nichts anfangen. Aus unverschlüsselten oder schwach verschlüsselten Datenpaketen kann er aber auf Passwörter oder andere wichtige Informationen schließen.
Routermenü und Netzwerktools: WLAN-Angriffe sofort entdecken
Der Router hält in seinem Protokoll jedes Geschehen im Heimnetz fest. Überprüfen Sie deshalb zunächst dort, ob Einträge auf ungewöhnliche Vorkommnisse hinweisen. Ein Beispiel können Anmeldungsversuche im WLAN oder am Routermenü sein sowie Hinweise auf geänderte Einstellungen, die Sie nicht vorgenommen haben. Zum Routerprotokoll kommen Sie in der Fritzbox über „System –› Ereignis“.
Sehen Sie außerdem im Routermenü oder per Netzwerktool nach, welche Geräte sich im Heimnetz befinden – und ob sich darunter eventuell ein bisher unbekanntes verbirgt. Einen umfassenden Überblick bietet zum Beispiel die Fritzbox unter „Heimnetz –› Mesh“. Hier sind alle Geräte aufgeführt, die aktuell mit Router und Repeater verbunden sind. Ausführlicher ist die Darstellung unter „Heimnetz –› Netzwerk –› Netzwerkverbindungen“. Dort sehen Sie unter „Ungenutzte Verbindungen“ auch alle Geräte, die irgendwann einmal mit der Fritzbox verbunden waren. Hilfreicher wird diese Übersicht, wenn Sie Ihren Heimnetzgeräten zuvor aussagekräftige Namen gegeben haben, an denen Sie sofort erkennen, um welche Hardware es sich handelt. Bei der Fritzbox erledigen Sie das in der Detail-Ansicht des jeweiligen Gerätes.
Die gleiche Aufgabe erfüllt auch ein Netzwerktool wie Wireless Network Watcher von Nirsoft: Es zeigt in einer Liste nicht nur IP- und MAC-Adresse, sondern auch den Hersteller der Netzwerkhardware im Gerät an. Mit dieser Info finden Sie leichter heraus, um welches Gerät im Heimnetz es sich handelt.
