Wi-Fi Alliance bringt neuen Sicherheits-Standard für Wireless LANs heraus

Dass eine erweiterte Version der „Wireless Protected Access“-Spezifikation (WPA) herauskommt, stand bereits im vergangenen Jahr fest. Nun präzisierte das Herstellerkonsortium Wi-Fi Alliance seine Planung bezüglich der neuen Sicherheitsnorm für funkgestützte lokale Netze (Wireless LANs). WPA2 soll nun Mitte 2004 vorliegen. Das ist in etwa auch der Zeitpunkt, an dem die für Funknetze zuständige Arbeitsgruppe des Institute of Electrical and Electronics Engineers (IEEE) den offiziellen WLAN-Sicherheitsstandard IEEE 802.11i verabschieden möchte.

Starke Verschlüsselungsverfahren bei WPA: Bei Version 2 kommt das Advanced Encryption Standard zum Einsatz. Es setzt jedoch eine leistungsstarke Hardware voraus. (Grafik: Wi-Fi Alliance/Burton Group)

Die Arbeiten an dieser Norm haben sich in den vergangenen Monaten jedoch immer wieder verzögert. Deshalb prescht die Wi-Fi Alliance nun mit WPA2 vor. Diese Spezifikation ist gewissermaßen eine Untermenge von IEEE 802.11i. Der Unterschied liegt in den Mechanismen, die das Roaming betreffen, also den Wechsel von einer Funkzelle in eine andere. Die IEEE-Arbeitsgruppe ist sich offenkundig noch nicht darüber einig, wie die drahtlosen Verbindungen beim Roaming abgesichert werden sollen.

Deshalb könnte es zu weiteren Verzögerungen kommen, was wiederum die Hersteller von WLAN-Equipment nicht hinnehmen möchten. Sie fürchten, dass dann die Debatten um die mangelhafte Sicherheit von Funk-LANs erneut aufflammen und den Absatz von Wireless LANs beeinträchtigen. Um solche Diskussionen im Keim zu ersticken, legt die Wi-Fi Alliance WPA2 vor. Die Hersteller von Funk-LAN-Ausrüstung können die Spezifikationen in ihren Produkten implementieren und sich von der Wi-Fi Alliance ein entsprechendes Zertifikat ausstellen lassen.

AES erfordert leistungsfähigere Hardware

Sowohl IEEE 802.11i als auch WPA2 nutzen den Verschlüsselungsalgorithmus AES (Advanced Encryption Standard). Er verwendet einen 128-Bit-Key und ist erheblich schwerer zu knacken als RC4 („Ron’s Code 4“, nach Ron Rivest, dem Entwickler des Verfahrens). RC4 kommt in der ersten Version von WPA zum Zuge. Doch AES hat leider einen Haken: Die Technik erfordert eine leistungsstärkere Hardware, weil das Ver- und Entschlüsseln der Daten mehr Rechenleistung „schluckt“. Wer also ein Wireless LAN mit AES absichern will, wird nicht umhin kommen, Systemkomponenten auszutauschen.

Die Debatte um Algorithmen, Schlüssellängen und Authentifizierungsverfahren wirkt allerdings ein wenig skurril. Denn häufig sind nicht schwache Verschlüsselungsverfahren das Problem, sondern der Leichtsinn oder die Unerfahrenheit von Wireless-LAN-Nutzern. Wer sich die Mühe – oder das Vergnügen – macht, mit einem Notebook mit WLAN-Adapter durch Straßen oder Büroviertel zu streifen, wird mit Sicherheit auf ungeschützte Funknetze stoßen, in die er sich einklinken kann. Der Hintergrund ist, dass viele User die Sicherheitsmechanismen nicht einsetzen, die in Adaptern und Access Points implementiert sind.

Dazu ein kleines Beispiel: Vor wenigen Tagen meldete einer der Windows-XP-Rechner in meinem Home Office plötzlich, er habe ein neues Funknetz gefunden. Des Rätsels Lösung: Ein Nachbar hatte ein WLAN installiert, nicht aber die Sicherheitsfunktionen aktiviert. Auf diese Weise erhielt ich Zugriff auf die freigegebenen Verzeichnisse des fremden Rechners, inklusive der Internet-Verbindung.

Was im privaten Umfeld vielleicht noch „spaßig“ sein mag, ist bei Firmen-WLANs in hohem Maße fahrlässig. Gerade kleinere Firmen, die über keinen Netzwerkspezialisten verfügen, verwenden häufig die Default-Einstellungen von Access-Points und oder Adaptern. Und die sehen nun einmal keine Verschlüsselung vor, damit es beim Installieren eines Funknetzes nicht zu Problemen kommt.

Gerade kleinere Firmen benötigen Hilfe

Fatalerweise handelt es sich bei den kleinen Unternehmen, die statt einer Festverkabelung gerne ein Wireless LAN einsetzen, häufig um Anwaltskanzleien, Steuerberater oder Arztpraxen. Die Daten, die auf den Rechnern dort lagern, lassen sich beim besten Willen nicht als „unkritisch“ einstufen, seien es Patientendaten oder Steuerunterlagen. Verschärfend kommt hinzu, dass in Kleinunternehmen meist nicht das Know-how vorhanden ist, um ein Netz, sei es drahtgebunden oder „wireless“, gegen unautorisierte Zugriffe abzudichten.

Was tun? Wenn kein „Netzwerkguru“ im Hause vorhanden ist, sollten solche Unternehmen auf einen externen Berater oder die Hilfe eines Systemhauses zurückgreifen, das sich auf kleine oder mittlere Firmen spezialisiert hat. Natürlich kostet das Geld, aber unter dem Strich dürfte sich die Investition in den meisten Fällen lohnen. Denn wenn Unbefugte sensible Daten „absaugen“ oder ein hoch qualifizierter Mitarbeiter eines Unternehmens einen Gutteil seiner Zeit damit verplempert, den Netzwerkadministrator zu mimen, kommt dies den Anwender mindestens ebenso teuer zu stehen.