04.10.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten
Die rasante Ausbreitung von Hotspots ist ein Segen für reisende Mitarbeiter, die dadurch in Flughäfen, Bahnhöfen oder auch Hotels günstig auf Breitband-Internetverbindungen zugreifen können. Andererseits werden Hotspots schnell zum Albtraum für Administratoren: Firmen-Computer wählen sich in fremde Netzwerke ein, die möglicherweise unzureichend administriert werden und große Gefahren bergen. Dem Techniker bleibt nichts anderes übrig, als sich und den Außendienst bestmöglich zu wappnen.
Kein seriöser Administrator wird heutzutage ein Firmen-WLAN ohne WPA- bzw. WPA2-Verschlüsselung betreiben. Leider hinkt die Hotspot-Branche dieser Entwicklung deutlich hinterher: Die Mehrzahl der Betreiber zieht es vor, die Zahl der möglichen Kunden – deren Hardware oder technische Kenntnisse den Einsatz von WPA/WPA2 nicht erlauben – statt der Sicherheit zu maximieren.
So kommt es, dass die meisten Hotspots gar keine Verschlüsselung oder allenfalls WEP verwenden. Schneiden Hacker den Datenverkehr mit, können sie also problemlos an alle verwendeten Login-Daten oder andere sicherheitsrelevante Teile der Kommunikation gelangen.
Da es eher unwahrscheinlich ist, dass ein reisender Mitarbeiter sich auf WPA-geschützte Hotspots beschränken kann, bleibt letztlich nur eine Möglichkeit: Die gesamte Verbindung zwischen dem mobilen Rechner und dem Firmentnetz muss über ein Virtual Private Network laufen. Es liegt in der Verantwortung des Administrators, eine entsprechende Software auf dem Benutzer-Laptop zur Verfügung zu stellen und mobile Mitarbeiter daran zu schulen.
Wenig hält einen Computerkriminellen davon ab, einen eigenen Hotspot zu installieren. Die Hardware ist günstig, und die entsprechende Software ist überall problemlos verfügbar. Man muss also nur einen eigenen Hotspot an einer Stelle einrichten, wo viele Anwender versuchen werden, eine Verbindung herzustellen. Kurzum also dort, wo auch ein öffentlicher, legitimer Hotspot verfügbar ist – zum Beispiel in einem Flughafen oder einem Lokal.
Gibt der Hacker nun seinen Hotspot eine Kennung, die kostenlosen Zugang verspricht („Free“), werden wohl viele Anwender eher mit ihm als mit dem legitimen Anbieter eine Verbindung herstellen wollen. Die möglichen Schäden sind absehbar: Der Hacker kann die gesamte Kommunikation mitschneiden. Es wäre unverantwortlich, sich allein auf ein VPN zu verlassen.
Das Fazit muss lauten, dass Mitarbeiter sich stets vorab über die SSID des legitimen Hotspots (z. B. des offiziellen Flughafen-WLANs) informieren müssen und keine andere Verbindung herstellen dürfen. Sollte irgendetwas an der Verbindung verdächtig erscheinen, muss sofort mit dem Betreiber des Hotspots Kontakt aufgenommen werden: Entweder kann er dann den Mitarbeiter beruhigen oder andernfalls Maßnahmen ergreifen, um den „Evil Twin“ dingfest zu machen.
Folgende Ratschläge mögen selbstverständlich klingen, können aber nicht oft genug wiederholt werden:
Zunächst einmal muss grundsätzlich die Windows-Firewall aktiv sein. Außerdem dürfen die Notebooks aus naheliegenden Gründen keinesfalls so konfiguriert werden, dass sie automatisch eine WLAN-Verbindung herstellen. Und um es Möchtegern-Hackern nicht allzu einfach zu machen empfiehlt es sich, den Ad-hoc-Modus zu deaktivieren.
Wenn ein Mitarbeiter den Hotspot eines kleinen Cafés nutzt – wer kann garantieren, dass der vielleicht nur bedingt kompetente Wirt nicht einen normalen Access-Point einsetzt, der die Kommunikation der Nutzer untereinander ermöglicht? Es sollten daher keine Freigaben auf dem Notebook existieren. Wenn es gar nicht anders geht, müssen sie eben entsprechend abgesichert sein.
Solange keine Verbindung mit einem WLAN besteht, sollte die WLAN-Antenne deaktiviert werden – an vielen Notebooks gibt es dafür einen Schieber oder eine Tastenkombination. Dies ist nicht nur eine sehr effiziente Sicherheitsmaßnahme, sondern schont auch die Batterie.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008116)
