WLAN-Sicherheit

Nachdem sich der Bundesgerichtshof vor kurzem zur Frage der Haftung des WLAN Betreibers geäußert hat (siehe hier), kommen seitens der Mandanten immer wieder Fragen, wie man denn nun ein WLAN schützen soll. Aus diesem Grund ein paar praktische Tipps:

Der BGH vertritt die Auffassung, dass es ausreicht, den WLAN Router mit einem Sicherheitsstandard zu verschlüsseln, der bei Erwerb des Routers dem aktuellen Stand der Technik entsprach. Das macht Sinn, denn wer einen sehr alten Router sein Eigen nennt, wird schon aus technischen Gründen Schwierigkeiten haben, aktuelle Sicherheitsstandards einzustellen. Zum Erwerb eines neuen und sicheren Routers dürfte aber der Anschlussinhaber nicht verpflichtet sein.

Trotz allem dürfte es schon im Sinne eines jeden Nutzers sein, das eigene Netz möglichst sicher zu gestalten. Die für Verbraucher aktuelle Verschlüsselungsmethode sollte daher WPA2 sein. Es macht durchaus Sinn, zu prüfen, ob diese Verschlüsselung tatsächlich eingestellt ist.

Nutzer größerer Netzwerke sollten WPA2-Enterprise nutzen. Die höhere Sicherheit dient dann sicherlich nicht nur dem Schutz vor unerwünschten “Mitsurfern” sondern vor allem dem Schutz eigener Daten.

Schließlich sollte der Router immer so eingestellt sein, dass die SSID nicht von außen erkennbar ist. Wer so sein Netz versteckt, macht mögliche Mitsurfer oder Hacker gar nicht erst auf sich aufmerksam.

Den letzten Hinweis gibt der BGH in der oben erwähnten Entscheidung selbst: Das vom Hersteller voreingestellte, meist auf dem Gerät angegebene Passwort reicht nicht aus. Jeder sollte schnellstmöglich ein eigenes, möglichst langes, Passwort verwenden und dieses regelmäßig ändern.

Im Übrigen sei bezüglich der Verschlüsselung auf diesen recht interessanten Artikel bei heise-online hingewiesen.

7 thoughts on “WLAN-Sicherheit

  1. Christoph sagt:

    KKI: Aus *technischer* Sicht sind MAC-Filter, Ausschalten des DHCP-Servers und SSID-Hiding nahezu wertlos; bestenfalls dokumentieren sie, dass man die Mitbenutzung des Netzes nicht wünscht.
    WPA-TKIP wurde allerdings so entworfen, dass ein Upgrade von WEP (auf gleicher Hardware) leicht möglich ist; oft gibt es für die Endgeräte aktualisierte Firmware oder Treiber, die auch WPA unterstützt. Natürlich nicht immer, so dass das Problem sich dennoch stellt.

  2. RA Ratzka sagt:

    Diese Konstellation hatte der BGH nicht zu entscheiden. Es kann jedoch aus der grundsätzlich geäußerten Auffassung, dass der Nutzer nicht zur steten Erneuerung seiner Hardware verpflichtet sei, geschlossen werden, dass auch wenn Endgeräte die Schwachstelle sind, dies hinzunehmen ist.

  3. KKI sagt:

    Wie sieht es auch wenn der Router zwar den WPA2 Standard beherrscht, einige Endgeräte aber nur WEP? Diese stellen dann den limitierenden Faktor für die Sicherheit dar.
    Wenn ansonsten MAC-Filter, feste IP’s (keine DHCP), geänderstes Adminpasswort und SSID-Hiding eingestellt sind sollte das doch dennoch reichen oder?
    Besten Dank
    KKI

  4. Christoph sagt:

    Das Verstecken der SSID bringt zwar einen Komfortverlust, aber der Sicherheitsgewinn ist vernachlässigbar. Spätestens wenn Daten übertragen werden, findet man das Netz. Meines Erachtens rechtfertigt das nicht die Komforteinbuße. Wenn man WPA einsetzt, ist man derzeit auf der sicheren Seite; WPA2 ist natürlich vorzuziehen. MAC-Filter und SSID-Hiding machen dann keinen Unterschied mehr…

  5. RA Ratzka sagt:

    @Rasti
    Zu Ihrem letzten Absatz: Das voreingestellte Passwort ist besteht meist aus relativ sicheren Kombinationen von Groß- und Kleinschreibung, Buchstaben und Zahlen. Es ist daher sicherlich grundsätzlich als sicher zu bewerten.
    Allerdings ist es bei vielen Routern auf dem Gehäuse abgedruckt. Damit können sowohl bei der Fertigung wie auch bei der Montage Dritte Kenntnis vom Passwort (und meist der voreingestellten SSID) erlangen. Vermutlich hat dies den BGH zu dieser Entscheidung bewegt.

  6. Rasti sagt:

    “Trotz allem dürfte es schon im Sinne eines jeden Nutzers sein, das eigene Netz möglichst sicher zu gestalten. Die für Verbraucher aktuelle Verschlüsselungsmethode sollte daher WPA2 sein. Es macht durchaus Sinn, zu prüfen, ob diese Verschlüsselung tatsächlich eingestellt ist.”

    Dann muss man aber doch wieder einen neuen Router kaufen (und andere Infrastruktur, z. B. WLAN-Adapter), denn ältere Hardware (ich habe hier einen Router von 2006) kennt WPA2 noch nicht.

    Ist aber wahrscheinlich sowieso verlorene Liebesmüh. Denn je unwahrscheinlicher es erscheint, dass sich ein Fremder in das WLAN einhacken konnte, desto wahrscheinlicher ist es wiederum, dass es doch der Anschlussinhaber war. DIe (in dem oben erwähnten Verfahren durchaus naheliegende) Möglichkeit, dass bei der Ermittlung der IP-Adresse und des Anschlussinhabers einfach etwas schiefgelaufen ist, wird z. Z. von den Gerichten grundsätzlich nicht in Erwägung gezogen.

    Und übrigens, in einem anderen Blog war zu lesen, das” vom Hersteller voreingestellte” Passwort vom Hersteller für jedes Gerät zufällig generiert wurde. D.h. es ist Dritten nicht bekannt und sogar sehr sicher (da zufällige Zeichenfolge). Wenn das stimmt, basierte das ganze Urteil auf einem Missverständnis.

Comments are closed.