WLAN-Sicherheit: Elf häufige und vermeidbare Risiken
Der Großteil der Wireless-Security-Risiken lässt sich vermeiden. Wir zeigen, wo die häufigsten Schwachstellen stecken und wie Sie Ihre drahtlosen Systeme und Daten besser schützen.
Risiken bei der WLAN-Sicherheit sind nicht mehr sehr oft Gesprächsthema, haben aber Auswirkungen auf die gesamte Sicherheit und Resilienz Ihres Netzwerks. Gelegentlich begegnen mir übertrieben paranoide IT- und Sicherheitsfachleute, die komplett davon abraten, Wi-Fi zu nutzen.
Es handelt sich um dieselben Personen, die oft vor einer drohenden Apokalypse warnen, weil eine kleine, für die meisten Unternehmen unbedeutende Sicherheitslücke entdeckt wurde. Ich bin ohnehin kein großer Anhänger davon, etwas zu vermeiden, wenn es Möglichkeiten für Gegenmaßnahmen gibt.
Drahtlose Sicherheit: Die gängigsten Risiken
Verstehen Sie vor diesem Hintergrund vollständig die Wireless-Security-Risiken im Zusammenhang mit Ihrem Betrieb? In meiner Arbeit, bei der es um die Durchführung von unabhängigen Schwachstellen- und Penetrationstests geht, erlebe ich eine Reihe von wireless-bezogenen Fehlern, die zu unnötigen Geschäftsrisiken führen:
Durch Wireless Access Points (AP) und Router, die nicht unter die Patch-Management-Standards der Organisation fallen, entstehen Schwachstellen, die sowohl intern von verbundenen Benutzern als auch extern von Hackern ausgenutzt werden können – siehe den KRACK-Angriff, der nach wie vor viele Systeme gefährdet.
Drahtlose Netzwerke, die nicht auf Attacken und andere bösartige Nutzung überwacht werden, könnten dazu beitragen, größere WLAN-Risiken, wie Malware-Infektionen und die Exfiltration von Daten, sichtbar zu machen.
Mangelndes Wissen über das Signalspektrum von drahtlosen Netzwerken kann zu fehlender Kontrolle führen und unnötigerweise Funksignale außerhalb von Gebäuden verfügbar machen. Know-how über das Wireless-Spektrum kann auch das IT- und Sicherheitspersonal auf neue Drahtlosgeräte – Hosts und APs – in der Nachbarschaft aufmerksam machen.
Die Verwendung veralteter Wi-Fi-Sicherheitsprotokolle, etwa WPA und WEP, lässt sich leicht für Exploits ausnutzen.
Wi-Fi Protected Setup (WPS), das auf drahtlosen Routern für den Consumer-Bereich ohne Intruder Lockout aktiviert ist, erlaubt es einem Angreifer, die WPS-PIN zu knacken und den WPA-Schlüssel zu ermitteln.
Eine Netzwerkzugriffsteuerung, die kein Wi-Fi berücksichtigt, kann ein falsches Gefühl von Sicherheit vermitteln und es nicht authentifizierten und unzureichend abgesicherten Geräten ermöglichen, zu internen Bereichen des Netzwerks vorzudringen.
Eine in drahtlosen Gast- und mitunter auch Produktionsnetzwerken fehlende Filterung von Webinhalten kann zu Problemen mit verbindlichen Nutzungsrichtlinien der Personalabteilung führen und zudem das Risiko von Malware-Infektionen erhöhen.
Wireless-Gastnetzwerke, die den Zugriff auf interne Subnetze des Produktionsnetzwerks erlauben, entstehen dann, wenn eine sinnvolle Netzwerksegmentierung zwischen dem kabelgebundenen und dem drahtlosen Netzwerk fehlt.
Indirekt stellen kritische Geschäftssysteme, etwa von außen erreichbare Server und Webanwendungen, Risiken für die WLAN-Sicherheit dar, wenn sie schwache Verschlüsselungsverfahren und -protokolle nutzen, zum Beispiel Rivest Cipher 4 und Triple Data Encryption Standard oder TLS0 (Transport Layer Security) und SSL 2.0 (Secure Sockets Layer)
Drahtlose Netzwerke, die nicht durch die vorhandenen Sicherheitsrichtlinien und Reaktionspläne erfasst werden, stellen nicht zu verteidigende Lücken im Falle von Störungen oder Sicherheitsverletzungen dar.
WPA2 – das momentan am weitesten verbreitete Sicherheitsprotokoll für drahtlose Netzwerke – erweist sich als anfällig gegenüber Wörterbuchangriffen. (Allerdings habe ich festgestellt, dass die meisten Unternehmen, die angemessen lange und komplexe Passphrasen oder Schlüssel verwenden, dieses Risiko minimieren können.)
Einige der genannten Schwachstellen sind kritischer zu bewerten als andere. Es hängt einfach vom jeweiligen Kontext ab. Trotzdem: Wenn es bekannte Risiken für die WLAN-Sicherheit gibt und diese sich (oft genug kostenlos) reduzieren lassen, warum sollte man sie dann nicht beseitigen? Formale Schwachstellen- und Penetrationstests der drahtlosen Sicherheit sind eine Option, aber manchmal wird diese Aufgabe überhaupt nicht wahrgenommen. Doch Sie können nichts absichern, wovon Sie keine Kenntnis haben.
WLAN-Sicherheit: Wie kann WPA3 Schwachstellen verhindern?
Der kommende WLAN-Sicherheitsstandard WPA3 kann dabei helfen, aktuelle Wi-Fi-Schwachstellen zu entschärfen, etwa durch folgende Funktionen:
ein neues Protokoll für den Schlüsselaustausch, das Wörterbuchattacken wirkungsvoll beseitigen wird;
Perfect Forward Secrecy, eine Maßnahme, die verhindert, dass Hacker zuvor aufgezeichneten Traffic knacken;
Wi-Fi Easy Connect, wodurch der Wireless-Verbindungsaufbau, für den vorher das WPS zuständig war, einfacher und sicherer wird; und
opportunistische Drahtlosverschlüsselung, die nicht authentifizierte oder offene SSID-Verbindungen (Service Set Identifier) schützt.
Es gibt keine inhärente Wi-Fi-Sicherheit in WPA3 oder nachfolgenden Wireless-Security-Protokollen, die eine schlechte Wireless-Implementierung und mangelnde Kontrolle ausgleicht.
Das Beste ist, wenn Sie sich eingestehen, dass in Ihrem drahtlosen Ökosystem Sicherheitslöcher vorhanden sind. Das ist sogar noch wahrscheinlicher, wenn Sie Benutzer haben, die sich zum Beispiel zuhause oder auf Reisen mit zufälligen WLAN-Hotspots verbinden. Selbst wenn Sie alle oben genannten Schwachstellen eliminieren und WPA3 implementieren, kann es immer noch passieren, dass Sie auf einen Evil Twin hereinfallen, also Opfer von jemandem werden, der einen legitimen AP nachahmt. Diese Schwachstelle gibt es seit dem Aufkommen von Wi-Fi. Nicht nur, dass ein Evil-Twin-Angriff Netzwerksysteme und -informationen missbräuchlich nutzen kann, es ist auch unwahrscheinlich, dass Sie je von der Attacke erfahren werden. Das Risiko durch die Evil-Twin-Lücke lässt sich mit einem Wireless Intrusion Prevention System (WIPS) reduzieren, das viele der großen Netzwerkausrüster anbieten. Dennoch werden diese Systeme nicht Ihre mobilen Nutzer schützen, wenn sie unterwegs sind.
Eine Garantie, damit WLAN-Sicherheitsrisiken zu reduzieren, haben Sie zwar nicht, aber eine entsprechende Schulung der Anwender kann einiges bewirken. Sprechen Sie mit Ihren Nutzern darüber, was passieren kann – und was bereits passiert ist –, wenn sie sich mit anfälligen oder missbräuchlich betriebenen Wireless-Umgebungen verbinden. Ermutigen Sie sie, VPN-Verbindungen (Virtual Private Network) zu verwenden. Empfehlen Sie ihnen wann immer möglich, sich nur mit vertrauenswürdigen drahtlosen Netzwerken zu verbinden. Weisen Sie sie darauf hin, nie ihre Endpunktsicherheitskontrollen zu deaktivieren. Das gilt insbesondere für Firewalls und Antimalware-Software.
Es gibt keine inhärente Wi-Fi-Sicherheit in WPA3 oder nachfolgenden Wireless-Security-Protokollen, die eine schlechte Wireless-Implementierung und mangelnde Kontrolle ausgleicht. Wenn Sie einen klugen Ansatz in puncto Wireless und Mobile Security verfolgen, können Sie die Unternehmens-Assets im Griff behalten und gleichzeitig Ihren Nutzern die Freiheiten beim Computing einräumen, die sie wünschen. Ignorieren Sie die bekannten Wireless-Schwachstellen, und Sie handeln sich alle möglichen Risiken ein, die sich nur schwer bewältigen lassen, wenn etwas schiefgeht. Wireless-Security-Risiken mögen ein wenig Old School erscheinen, aber wenn es um Sicherheit geht, stehen immer noch Sie und Ihr Team im Rampenlicht und müssen die Abwehr etwaiger Bedrohungen organisieren.
