Mittlerweile nutzt jeder dritte ein kabelloses Netzwerk um sich mit dem Internet zu verbinden. Vielfach wird sich dabei keine Gedanken um die Sicherheit gemacht und die Einstellungen des Routers werden so belassen. Warum auch nicht, es funktioniert ja alles.

Im Auslieferungszustand sind die wenigsten kabellosen Netzwerke genügend abgesichert. Die Hersteller setzen auf Bedienungsfreundlichkeit statt Sicherheit, wodurch das Aufsetzen vernünftiger Sicherheitsvorkehrungen am Endverbraucher hängenbleibt. Im Grunde genommen ist es relativ einfach einen Router “dicht” zu machen. Die Voraussetzungen dafür bringt jedes Gerät mit.

100%ige Sicherheit gibt es natürlich nie, aber mit ein paar Vorkehrungen ist das Netz wenigstens so sicher, daß zumindest der lustige Nachbar das Interesse verliert auf fremde Kosten durchs Netz zu surfen.

MAC-Adressen

Eine wichtige Funktion ist die Filterung der MAC-Adressen. Jedes Netzwerkgerät (sei es eine Netzwerkkarte oder ein WLAN-Stick…) hat eine eindeutige fixe Nummer. Diese zwölfstellige hexadezimale Zahl wird MAC-Adresse genannt. und ist normalerweise auf dem Gerät zu lesen. Man kann diese Adresse aber auch leicht herausbekommen. Unter windows mit dem Befehl “ipconfig -all”. Dort werden dann die Netzwerkgeräte aufgezählt. Die physikalischen Adressen dieser Geräte entsprechen den MAC-Adressen.

Jeder Router ist in der Lage anhand einer Liste MAC-Adressen zu speichern. Und nur diesen MAC-Adressen wird dann per Einstellung der Zugang zum Netz gewährt. Somit ist schonmal gesichert, daß nur die Rechner ins Netz kommen, die freigegeben wurden.

Es gibt natürlich Möglichkeiten eine MAC-Adresse eines Netzwerkgerätes zu ändern, z.B. mit dem LInux-Befehl “ifconfig”, aber der Angreifer müsste schon wissen, welche Adressen freigegeben wurden, damit er seinen Rechner ins Netz bekommt.

WEP

Der nächste Schritt ist die Absicherung des Netzes. Die unsichere Methode ist die WEP-Verschlüsselung (vielfach die Standard-Einstellung bei fabrikneuen Routern). WEP unterstützt 2 Schlüssellängen, in der Regle 64 Bit und 128 Bit. Um WEP verwenden zu können, muß ein Passwort angegeben werden, das ist dann der WEP-SChlüssel.

Dieses hat bei WEP 64 Bit eine Länge von mindestens sieben Ascii-Zeichen oder hexadezimalen Zahlenpaaren, bei WEP 128 Bit müssen mindestens 13 Ascii-Zeichen oder hexadezimale Zahlenpaare angegeben werden. Dabei ist der Ascii-Wert nichts weiter als das Passwort im Klartext und der Hexadezimalcode seine Übertragung in ein maschinenlesbares Format.

Das WEP-Protokoll gilt aufgrund seines Alter als nicht besonders sicher. Moderne Wardriving-Tools sind in der Lage, den Traffic zwischen Accesspoint und Rechner abzuhören und darüber Rückschlüsse auf den Schlüssel zu ziehen. Je mehr Datenverkehr über den Accesspoint geht, desto schneller ist der Schlüssel geknackt. Um eine WEP-Verbindung zu sichern, sollte das Passwort, also der Schlüssel regelmässig geändert werden. Unter diesen Umständen ist selbst eine altmodische 64Bit-WEP-Verschlüsselung verhältnismäßig sicher, denn kein Wardriver dürfte den Elan haben, alle paar Tage mehrere Stunden damit zu verbringen, den neuen Schlüssel zu erspähen.

Besser ist die WPA-Verschlüsselung

WPA ist gegenüber WEP die modernere Variante der Verschlüsselung, wird aber nur von modernen Accesspoints und WLAN-Karten unterstützt. Im Gegensatz zu WEP verfügt der Wi-Fi Protected Access über zwei Schlüssel, die dynamisch ausgetauscht werden. Dadurch wird der unbefugte Zugang wesentlich erschwert.

Sollte ein Wardriver oder Hacker sich daran machen, sich einen Zugang zu dem kabellosen und WPA-gesicherten Netzwerk zu verschaffen, wird er durch die dynamische Verschlüsselung mit seinen bei WEP perfekt funktionierendem Tool wohl Probleme bekommen. Durch variierende Schlüssel kann das Programm nicht mehr auf den Schlüssel schließen, sondern spuckt nur Datensalat aus.

Bessere Passwörter wählen !

Zusätzliche Sicherheit gibt die Vergabe komplexer Passwörter. Wenn die Passwörter leicht zu erraten sind, ist es selbst für Laien sowohl bei WEP als auch bei WPA kein Problem, sich Zutritt zu einem kabellosen Netzwerk zu verschaffen.

Das Netz verstecken

Diese Bezeichnung des WLAN-Netzes, der Name des Netzwerkes, wird als System Set Identifier bezeichnet, kurz SSID. Die SSID wird normalerweise übermittelt, doch erlauben die meisten Router, sie zu verstecken. Das Resultat: Der Nutzer muss die SSID samt Passwort angeben, um das Netz überhaupt zu sehen !

Bei dieser Methode wird die SSID einfach nicht vom Accesspoint übermittelt. Für jemanden, der die SSID nicht kennt, ist das Netz somit unsichtbar. Diese Sicherheitsmaßnahme birgt einen großen Vorteil, aber auch einige Gefahren. So sollte der Netzname genau wie das Passwort möglichst komplex und schwer zu erraten sein.

Der Nachteil einer komplexen Netzwerkkennung, gerade im privaten Bereich ist, dass möglicherweise die Kennung vergessen wird. Dann wird der Accesspoint nicht mehr gefunden und muss per Kabel angeschlossen und neu konfiguriert werden, je nach dem, wo er angebracht ist, eine durchaus aufwändige Arbeit. Deshalb sollte die SSID mit Bedacht gewählt werden, ebenso das Passwort.

Nur eine Kombination bedeutet maximale Sicherheit

Wenn alle drei Sicherheitsmaßnahmen, die Zugriffssperre über MAC-Adressen, die Verschlüsselung und die Tarnung via SSID ordnungsgemäß eingerichtet wurden, dürfte es den meisten Hackern sehr schwer fallen, sich einen Zugriff zum Netzwerk zu verschaffen. (Zumal bei privaten kleinen WLAN-Netzen oftmals garnicht das Interesse besteht einen Riesenaufwand zu betreiben.) Zusätzlich sollte noch die Logging-Funktion aktiviert werden. Dort können eventuelle Hacking-Versuche nachgelesen werden.

Die innere Sicherheit darf nicht vergessen werden

Normalerweise werden Router und Accesspoints ab Werk ohne Passwortschutz ausgeliefert und laufen auf einer sehr leicht zu erratenden IP-Adresse, nämlich 192.168.1.1. Der erste Schritt sollte deshalb sein, den Router auf eine andere Netzwerk-Adresse umzulegen, die weiter hinten im Adressraum liegt.

Der zweite Schritt sollte die Vergabe eines vernünftigen und schwer zu erratenden Passworts sein. Dann ist das WLAN ausreichend gegen den Zugriff Dritter abgesichert und dem kabellosen Surf-Spaß wie in der Werbewelt stehen keine Sicherheitsbedenken mehr im Wege.

Falls ihr zuhause über euren eigenen privaten Rechner mit dem Internet verbunden seid oder auch sonst keine Möglichkeit auslaßt eure Daten preiszugeben, dann lest euch den folgenden Beitrag (amerikanische Originalfassung auf InfoWorld) auf tecchannel.de mal durch… zum Beitrag

Der Bundesrat hat am heutigen Freitag trotz massiver Proteste das vom Bundestag bereits beschlossene Gesetz (PDF-Datei) zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen gebilligt. Telekommunikationsanbieter müssen demnach künftig Telefon- und Internetverbindungsdaten ein halbes Jahr lang für Zwecke der Strafverfolgung sowie der Gefahrenabwehr vorhalten.

Ein Antrag des Landes Berlin, aufgrund des unzureichenden Schutzes von Berufsgeheimnisträgern wie Journalisten, Ärzten oder Rechtsanwälten vor Ausschnüffelungen den Vermittlungsausschuss mit dem Parlament anzurufen, erhielt keine Mehrheit.
Der Rechtsausschuss konnte sich in der Plenarsitzung ebenfalls nicht mit seiner Forderung durchsetzen, dass auch etwa die Musik- und Filmindustrie Zugriff auf die Datenberge erhalten sollten. Neben Datenschützern und der Internetwirtschaft hatte sich zuvor Bundesjustizministerin Brigitte Zypries (SPD) in der Frankfurter Rundschau gegen solche Überlegungen gestellt. Das von ihr geführte Haus habe nicht vor, “im Zuge der Richtlinie zum Schutz des geistigen Eigentums irgendetwas an der Vorratsdatenspeicherung zu ändern”.

Der Bundestrojaner sorgt für Aufregung in Politik und Gesellschaft. Wie funktioniert er, wen hat er im Visier? Ich habe hier die wichtigsten Fragen und Antworten zusammengestellt.

Was versteht man unter einem Trojaner?
Ein Programm, das auf einem Computer heimlich Funktionen ausführt, die der Benutzer nicht ausdrücklich erlaubt hat und nicht kontrolliert. Der Trojaner selbst muss nicht unbedingt schädlich sein. Häufig ist er aber mit anderer schädlicher Software kombiniert, oder hilft dieser, auf den Computer zu gelangen.

Ist ein Trojaner ein Computer-Virus?
Nein. Ein Computervirus versucht, sich auf immer mehr Dateien und Computer zu verbreiten und sich selbst zu kopieren. Der Trojaner kopiert sich nicht selbst, er kann aber mit einem Virus kombiniert werden.

Was ist der Bundestrojaner?
Der Begriff steht für die so genannte Online-Durchsuchung. Dabei sollen Computer einmal (Online-Durchsicht) oder während eines gewissen Zeitraums (Online-Überwachung) überprüft bzw. überwacht werden, ohne dass der Nutzer das bemerkt. Das Innenministerium spricht nicht von Bundestrojanern, sondern von „Remote Forensic Software“ (RFS).

Wie funktioniert der Bundestrojaner ?
Im Prinzip funktioniert der Bundestrojaner wie ein „normaler“ Trojaner. Trojaner erlauben etwa die Installation von Schnüffel-Software auf dem Rechner, beispielsweise einen Key-Logger – ein Programm, das Tastatur-Anschläge registriert und so an Passwörter kommt; oder von Programmen, mit denen die Dateien und Dokumente auf dem Computer nach bestimmten Wortmustern, Passwörtern oder anderen Inhalten durchsucht werden können. Beides wird auch der Bundestrojaner tun. Diese Inhalte überspielt der Trojaner dann an die Behörden, die sie auswerten.

Kann der Bundestrojaner auch Dateien und Daten auf den Computer speichern oder verändern?
Laut Innenministerium soll der Trojaner so programmiert werden, dass er “keine Daten frei im Zielsystem platzieren kann”. Aber …naja… prinzipiell könnte er das schon !

Wie oft soll der Bundestrojaner eingesetzt werden?
Das Innenministerium und das BKA sprechen von “5 - 10 Einsätzen” von Bundestrojanern pro Jahr. Der Bundesdatenschutzbeauftragte Schaar bezweifelt das allerdings. Bei einer Ausweitung auf schwere Verbrechen könnte es seiner Ansicht nach wesentlich mehr Online-Durchsuchungen geben.

Wie kommt der Bundestrojaner auf den Computer des Verdächtigen?
Über den Download einer Datei (z.B. eine Bilddatei, ein Text oder ein Software-Update), den Besuch einer “verseuchten“ Website “oder den manipulierten Datei-Anhang an einer Mail. Jede Mail kann gefälscht werden. Mails mit dem Absender einer Behörde will das BKA dabei “nur in begründeten Ausnahmefällen” dazu einsetzen. Am meisten vertraut man ja den Mails von Freunden und Bekannten…

Verhindern Antivirus-Programme oder eine Firewall einen Bundestrojaner?
Firewalls und Antivirus-Programme entdecken in erster Linie Viren und Schadprogramme, die sie bereits kennen oder die sehr typische Verhaltensweisen haben. Deswegen brauchen sie ständig aktuelle Virenlisten. Wenn der Bundestrojaner eine „Einzelanfertigung“ ist, hat er gute Chancen, nicht erkannt zu werden. Vor dem Einsatz will das BKA auch testen, ob der Bundestrojaner von den aktuellen Antivirus-Programmen erkannt wird. Ein Antivirus-Programm oder eine Firewall machen einen Angriff aber sicher schwieriger.

Werden die Hersteller von Antiviren-Programmen mit den Behörden zusammenarbeiten?
Das ist unwahrscheinlich. Eine „Bundestrojaner“-Version von Antiviren-Software wäre die denkbar schlechteste Werbung und auch leicht zu umgehen. mehr dazu hier

Gibt es ein Bundestrojaner-sicheres System?
Ja, ein Computer ohne Internet-Verbindung

Was passiert nach dem Ende der Online-Durchsuchung
Laut Innenministerium deinstalliert sich der Trojaner und die eingeschleusten Spionage-Programme auf Befehl oder nach einer bestimmten Zeit “rückstandslos”.

Das neue BKA-Gesetz spaltet Union und SPD. Innenminister Schäuble will die geplanten Online-Durchsuchungen auch ohne Zustimmung eines Richters durchsetzen. Einem Gesetzesentwurf zufolge dürfe das BKA einen Rechner für 3 Tage ausspionieren auch wenn nicht-verdächtige Personen beteiligt sind (wenn der Rechner etwa von mehreren Personen genutzt wird). Die SPD erklärte, dass solch ein Vorgehen ohne richterlichen Beschluss nicht zu machen sei. Ein Urteil wird für Anfang 2008 erwartet.