Sichere Nutzung von öffentlichen WLAN Hotspots

Autor: Hein, Mathias Datum: 16.07.10

Die WLANs ermöglichen das grenzenlose Arbeiten, an jedem Ort und zur jeder Zeit. Aber WLANs sorgen auch dafür, dass unbefugte Mitmenschen einen Blick auf Ihre Daten erhalten.

 
Stellen Sie sich vor, Sie sitzen mit Ihrem Laptop in einem gemütlichen Café und trinken eine Tasse Kaffe. Nebenbei empfangen Sie per E-Mail neue Sales Leads und sie fertigen ihren vierteljährlichen Forecast an. Für den Zugriff auf das Internet nutzen Sie natürlich das WLAN, welches Ihnen der Besitzer dieses Cafés freundlicherweise kostenfrei zur Verfügung stellt. Da sie keine Geheimnisse haben, verbinden Sie Ihren Laptop mit einem Großbildprojektor und lassen alle Besucher an ihren Daten teilhaben. Anschließend rücken Sie noch einigen ausgewählten Gästen ein gedrucktes Exemplar Ihrer vertraulichen Produktspezifikationen in die Hand und verlassen fröhlich das freundliche Café.
 
Das dargestellte Beispiel mag übertrieben und wirklichkeitsfremd klingen, aber die Nutzung eines öffentlichen WLAN-Zugangs, ohne die entsprechenden Vorsichts-Maßnahmen entspricht genau diesem geschilderten Szenario.
 

Sicherheit und Schutz gibt es nicht in öffentlichen WLAN-Hotspots

Die technisch bewanderten Nutzer wissen längst, warum diese ihren Wireless-Router gegen unerwünschte Fremdzugriffe schützen. Inzwischen warnen Windows 7 und Vista über ein sich öffnendes Dialogfeld, wenn Sie sich mit einem unverschlüsselten drahtlosen Netzwerke verbinden.
 
In Cafés, Flughafen, öffentlichen Bibliothek verbinden sich die Nutzer mit dem verfügbaren WLAN, ohne die Konsequenzen eines solchen Zugangs zu beachten. Meist erfolgt der WLAN-Zugang an diesen Orten unter Verwendung einer nicht verschlüsselten Verbindung. Über die offene Verbindung werden E-Mails gelesen und übermittelt und selbst solche Web Aktivität ausgeführt, die bei der Anmeldung eine Eingabe des Passwortes erfordern.
 
Bleibt die Frage, warum verschlüsseln die Technikexperten und die Unternehmen ihre Wi-Fi-Netzwerke? Die Antwort liegt auf der Hand: Weil die per Funk übermittelten Daten verschlüsselt im WLAN zwischen Endgerät und Access Point übermittelt werden. Das Komplizierte an diesem Verschlüsselungsverfahren ist jedoch der Umstand, dass dieser richtig konfiguriert werden muss. Der Eigentümer oder Manager des WLAN-Zugangs muss ein korrektes "Passwort" wählen. Dieses Passwort wird auch als "Netzwerkschlüssel" bezeichnet. Pro eingerichtetes WLAN muss somit ein individuelles Passwort festgelegt werden. Dieses Passwort teilen alle Nutzer innerhalb des lokalen Funknetzes. Dabei ist es völlig egal ob es sich dabei um den veralteten (und höchst unsicheren) WEP- oder den weitaus sicheren WPA2-Schlüssel handelt.
 
Zu Hause müssen Sie nur das Kennwort an Ihre Familienmitglieder verteilen und schon kann jeder gesichert Surfen In Ihrem Lieblings-Café müsste die freundliche Bedienung jedem neuen Gast das Zugangspasswort (oder den 26-stelligen hexadezimale WEP-Schlüssel) mitteilen. Bei Bedarf müsste die freundliche Servicefachfrau auch noch die Verbindungsprobleme beheben. Da diese Aufgaben vom Personal nicht wirklich zu leisten sind, helfen sich viele Betreiber von HotSpots mit einem leeren Kennwortfeld und erhöhen dadurch gleichzeitig die Benutzerfreundlichkeit.
 
Selbst wenn das WLAN verschlüsselt ist, ist man noch immer noch nicht völlig abgesichert. Sobald Sie Ihrem Computer das Netzpasswort beigebracht haben, wird Ihre Kommunikation nur gegenüber Mithörern, die nicht über das Passwort verfügen, abgesichert. Alle anderen Gäste in Ihrem Lieblings-Café können Ihren über das WLAN übermittelten Verkehr trotzdem sehen. Grund: auch die anderen Gäste verfügen über das gleiche Passwort.
 

Für Ihre persönlichen Geschäftsinformationen interessieren natürlich Ihre Wettbewerber

Gehören Sie zu der unbelehrbaren Spezies, die denkt, dass die übermittelten Daten nicht wichtig seien? Vielleicht surfen Sie gerade auf Ihren Lieblings-Webseiten, melden sich auch bewusst nicht an einem Ihrer E-Mail-Systeme oder Web-Anwendungen an. Können Sie sicher sein, dass Sie alles richtig machen? Nicht unbedingt. Stellen Sie sich vor, Sie sitzen am Flughafen und kommunizieren über das öffentliche WLAN des Flughafens. Sie lesen bewusst nicht Ihre vielen E-Mails, die auf Sie warten (was sehr unwahrscheinlich ist). Stattdessen surfen Sie auf der Webseite eines ihrer Wettbewerber und suchen nach Ideen und Anregungen. Oder Sie surfen auf den Webseiten potenzieller Übernahme-Kandidaten. Im Hintergrund erkennt jedoch Ihr E-Mail-Client eine Internet-Verbindung und beginnt damit, Ihre E-Mail herunterladen. Ein Kollege in der Unternehmenszentrale erkennt die Änderung Ihres Instant-Messenger-Status (Umspringen auf 'Online') und übermittelt Ihnen sofort eine Panik-Message: "Riesiges Problem @ Fabrik. Anruf bei Hr. Meier, ASAP!"
 
Bewaffnet mit nichts weiter als einer Wireless-Packet-Analyzer-Software sitzt ein Unbekannter im gleichen Funkfeld wie Sie und schaut sich in aller Ruhe die empfangenen Datenströme an. Wenn dieser Lauscher analysiert, welche Webseiten Sie besuchen kann er sich wahrscheinlich Ihre nächsten Geschäftsschritte vorausahnen. Auch Ihre unverschlüsselt übermittelten Instant Messages und persönliche E-Mails bleiben nicht verborgen und auch nicht Ihre momentane Beziehungsprobleme mit Ihrer Lebensgefährtin. Kurzum, der "Fremde" schaut sich nur die an Sie übermittelten Datenströme an und erfährt damit sehr viel Persönliches über Sie.
 

Immer SSL für die Kommunikation mit Webmails nutzen

Wollen Sie verhindern, dass ein Unbekannter Ihre E-Mail unbemerkt mitliest, dann sollten Sie ein durch HTTPS geschütztes Webmail-System nutzen. Der Vorteil eines solchen Systems besteht darin, dass die für die Anmeldung notwendigen Daten (Passworte) verschlüsselt und sicher über diesen Tunnel (auch über das WLAN) übermittelt werden. Doch nach der Authentifizierung schaltet das System in der Regel wieder auf das unverschlüsselte HTTP zurück. Dadurch kann jeder in der gleichen Funkzelle die Inhalt Ihrer E-Mails problemlos mitlesen. Mit einigen Tricks stielt der Lauscher auch Ihr Session-Cookie und kann sich damit ohne Passwort in Ihre Webmail-Session einloggen.
 
Gmail hat sich Anfang dieses Jahres von der gängigen Praxis verabschiedet und verwendet HTTPS nicht nur für die Anmeldungen sondern für die gesamte Webmail-Session. Nutzer von Google Apps konnten bisher entscheiden, ob sie die HTTPS-Verschlüsselung einschalten wollen. Vor kurzem wurde dies geändert und immer per HTTPS verschlüsselt. Der Anwender kann dieses Feature jedoch bei Bedarf ausschalten.
 

Kostenpflichtige Hotspots bieten selten zusätzliche Sicherheit

Noch immer unterliegen viele Anwender dem Irrtum, dass kommerzielle Hotspots eine höhere Sicherheit bereitstellen als die freien WLAN-Zugänge. In der Praxis stellen jedoch alle Hotspot-Varianten nur einen unverschlüsselten Zugang zur Verfügung. Der Unterschied zwischen den freien und den kostenpflichtigen HotSpots besteht darin, dass bei einem kommerziellen Hotspot ein "Captive Web-Portal" integriert hat, welches den Zugang zum Internet verhindert. Erst durch die Eingabe eines Passworts oder der Kreditkartennummer wird dieses Tor freigeschaltet. Die Eingabe der Zugangsdaten (Kreditkarten-Informationen oder Passwort) für das Captive-Portal wird mit Hilfe von HTTPS geschützt. Sind Sie anschließend authentifiziert, wird anschließend der gesamte Verkehr über das WLAN unverschlüsselt übertragen.
 
Ein Mitglied oder Nutzer des WLANs kann dadurch auch Ihren HTTP-Verkehr, Ihre unverschlüsselten POP3 E-Mail-Zugriffe und alle FTP-Transfers mithören. Ein etwas talentierter Hacker modifiziert seine WLAN-Karte, klont die Identität Ihrer WLAN-Karte und erhält dadurch auf Ihre Kosten einen "kostenlosen" Zugang zum kommerziellen Hotspot.
 

Nutzen Sie immer Ihr VPN

Verwenden Sie in Ihrer Firma ein VPN (Virtual Private Network) für Verbindungen über das Internet, dann sollten Sie diese Vorteile auch bei der Nutzung vom kommerziellen oder kostenfreien WLAN-Hotspots einsetzen. Durch die Aktivierung der VPN-Funktion auf Ihrem Laptop stellen Sie sicher, dass Ihre Kommunikation durch einen verschlüsselten Tunnel über den Hotspot und das Internet mit den Rechnerressourcen in Ihrem Unternehmen kommuniziert.
 
Durch diese Sicherungsmethode für das drahtlosen Netzwerk verfügen Sie über einen privaten Tunnel in Ihr Unternehmen und können über diese Verbindung über den Umweg ihres Unternehmens sicher Ihre E-Mails lesen und gesichert im Internet surfen. Unter Umständen ist eine solche Kommunikations-Konstellation etwas langsamer als das unverschlüsselte Surfen, aber die hinzu gewonnene Sicherheit wiegt die Nachteile auf.