Sicher im WLAN

Der 802.11b Standard wurde 1999 veröffentlicht — mit WEP (Wired Equivalent Privacy) als Sicherheitsprotokoll. WEP sollte WLAN so sicher machen wie Kabel. Das Problem: Die Implementierung der RC4-Verschlüsselung war fundamental fehlerhaft. 2001 zeigten Sicherheitsforscher, wie WEP in unter einer Stunde geknackt werden kann. Die Industrie wusste davon — und veröffentlichte WEP trotzdem. WPA (2003) war ein Pflaster, WPA2 (2004) mit AES-CCMP deutlich besser. KRACK (2017) zeigte: selbst WPA2 hat unter bestimmten Bedingungen eine Schwachstelle. WPA3 (2018) schließt sie — aber die Rollout-Geschwindigkeit ist wie immer: langsam.

• 1999: 802.11b und WEP — Verschlüsselung fundamental fehlerhaft, Industriegeheimnis bis 2001
• 2001: Fluhrer-Mantin-Shamir-Angriff — WEP in unter 1 Stunde knackbar, veröffentlicht
• 2003: WPA als Notlösung — TKIP-Verschlüsselung, besseres Schlüsselmanagement
• 2004: WPA2 mit AES-CCMP — für 13 Jahre der Standard
• 2017: KRACK (Key Reinstallation Attack) — WPA2-Schwachstelle im Handshake
• 2018: WPA3 mit SAE (Simultaneous Authentication of Equals) — Forward Secrecy, sicherer

Ein Evil-Twin-Angriff ist erschreckend einfach durchzuführen: Mit einem Laptop und kostenloser Software kann jeder ein Netzwerk mit demselben Namen wie das Café-WLAN aufspannen. Nutzer verbinden sich automatisch — und der Angreifer sieht den gesamten unverschlüsselten Traffic. Selbst HTTPS-Traffic ist nicht vollständig sicher: SSL-Stripping-Angriffe können in bestimmten Szenarien HTTPS auf HTTP degradieren. Das größte Risiko ist nicht das eigene Heimnetz, sondern öffentliche WLANs.

• Evil Twin: Gefälschtes WLAN mit gleichem Namen — Geräte verbinden sich automatisch
• PMKID-Angriff: Handshake-Hash ohne verbundenen Client abgreifbar — offline Brute-Force möglich
• Deauth-Angriffe: Nutzer vom Netz werfen und zur erneuten Verbindung (+ Handshake-Capture) zwingen
• WPS-Pin Brute-Force: WPS auf Routern ist oft verwundbar — deaktivieren!
• Rogue DHCP: Falscher DHCP-Server leitet Traffic über Angreifer um
• 54 % des globalen WiFi-Traffics ist unverschlüsselt (Kaspersky-Studie 2023)

Die meisten Heimrouter werden mit Standardpasswörtern und veralteter Firmware ausgeliefert und danach nie mehr angefasst. Das Ergebnis: Hunderttausende Router mit bekannten Schwachstellen im Internet — Teil von Botnetzen, die DDoS-Attacken durchführen, ohne dass der Besitzer es je bemerkt. Ein korrekt konfigurierter Router mit aktueller Firmware, starkem Admin-Passwort, deaktiviertem WPS und getrenntem Gast-WLAN für IoT-Geräte ist drastisch sicherer als die Werkseinstellungen.

• Router-Firmware monatlich auf Updates prüfen — viele haben automatische Updates in Einstellungen
• Admin-Passwort des Routers ändern — Standardpasswörter sind in Listen im Internet veröffentlicht
• WPS deaktivieren — verwundbar, wird von modernen Geräten ohnehin kaum gebraucht
• WPA3 oder WPA2-AES wählen — WPA/TKIP und WEP sofort deaktivieren
• Gäste-WLAN für IoT, Smart-TV, Smarthome — im eigenen Netzwerk isoliert
• UPnP deaktivieren — öffnet automatisch Ports ohne Bestätigung, häufig ausgenutzt

Grundregel: Öffentliche WLANs sind feindliche Umgebungen. Wer ohne VPN in einem Café-Netz surft, geht davon aus, dass der Betreiber und alle anderen Netzwerkteilnehmer harmlos sind. Das kann stimmen — muss es aber nicht. Ein VPN (Virtual Private Network) verschlüsselt den gesamten Traffic zwischen Gerät und VPN-Server, bevor er ins Internet geht. Damit ist auch ein kompromittiertes Café-WLAN für Angreifer nutzlos.

• VPN für öffentliche WLANs pflicht: Mullvad, ProtonVPN oder WireGuard-basierte Lösungen
• HTTPS-only in Einstellungen aktivieren — verhindert Verbindungen ohne Verschlüsselung
• Automatische WLAN-Verbindung deaktivieren — verhindert Evil-Twin-Verbindungen
• Bluetooth deaktivieren wenn nicht gebraucht — reduziert Angriffsfläche
• Mobile Hotspot statt öffentlichem WLAN: Handynetz ist sicherer als fremde Netzwerke
• DNS-over-HTTPS aktivieren — verhindert DNS-Manipulation in unsicheren Netzwerken