Universalblau

In c’t 1/07 befindet sich auf den Seiten 96/97 eine sehr aufschlussreiche, prägnante und angenehm kompakte Übersicht zum Thema WLAN-Sicherheit. Die für mich wichtigsten Punkte habe ich hier einmal möglichst knapp zusammengefasst. Der FAQ-Charakter ist also beabsichtigt, für ausführlichere Informationen bitte die c’t kaufen oder eine Suchmaschine benutzen …

Nicht verschlüsseln: Geht gar nicht. Nach aktueller Rechtsprechung haftet man mit, wenn jemand anders das WLAN für Unfug missbraucht. Schwache Reichweite der Basisstation ist keine Ausrede, denn ein Angreifer könnte diese mit einer Richtantenne ausreizen.

Verschlüsselung: WPA2 bietet keinen Sicherheitsgewinn gegenüber WPA, sondern lediglich schlechtere Kompatibilität. WPA dagegen ist verbreitet und hält in beiden Varianten (TKIP und AES) genauso wie WPA2 bisherigen Sicherheitsprüfungen stand und ist daher zu bevorzugen. WEP ist nicht viel besser als gar keine Verschlüsselung, es lässt sich in einer Viertelstunde knacken – bitte auf keinen Fall einsetzen.
Update (06.11.2008): Mittlerweile hat sich die Situation geändert, denn es gibt Methoden, die WPA angreifbar machen, WPA2 gilt jedoch als sicher, da dabei AES zum Einsatz kommt.

Passwort: Möglichst zufällige, komplizierte Kombination aus Ziffern sowie Groß- und Kleinbuchstaben benutzen. Gar nicht erst versuchen zu merken, sondern auf Zettel in der Schreibtischschublade aufbewahren. Umlaute, Satz- und Sonderzeichen können potentiell zu Problemen führen.

MAC-Filter: Bringt keinen Sicherheitsgewinn, stattdessen umständliche Freischaltprozedur neuer WLAN-Hardware. (Einziger von mir beobachteter praktischer Nutzen: “Ausversehen-Einwahlversuche” von Nachbarn werden vom Router ignoriert, die Geräteliste bleibt übersichtlich.)

Netzwerkname (SSID): Das Abschalten der Aussendung des Netzwerknamens bringt ebenfalls keinen Sicherheitsgewinn, dafür Windows-Verbindungsschwierigkeiten. Verwendung von E-Mail-Adresse, Telefonnummer oder anderen Kontaktdaten ermöglicht dagegen die Kontaktaufnahme von Nachbarn zwecks WLAN-Sharing, Sicherheitshinweisen und Kanalabsprachen. (Die Benutzung der Initialen ist m.E. ein geeigneter Kompromiss zwischen Privatsphäre und Kontaktaufnahmemöglichkeit für Nachbarn.)

WLAN-Kanäle: Wenn’s ständig hakt, kommen sich mit hoher Wahrscheinlichkeit die Kanäle verschiedener WLAN-Stationen in die Quere. Die einzigen Kanäle ohne Überlappung sind die Idealkanäle 1, 6 und 11. Wenn schon belegt, zumindest einen unbenutzten Kanal verwenden. Die Kanäle 12 und 13 werden wegen Nicht-Zulassung in den USA von viel Hardware nicht unterstützt.
Die Programme iStumbler für Mac OS X und NetStumbler für Windows zeigen benachbarte WLANs und die benutzen Kanäle an.