WatchGuard Blog

Verlässliches WLAN? Aber sicher!

Im letzten Beitrag haben wir uns mit den sechs großen Gefahren im WLAN beschäftigt: benachbarte Access Points, Rogue Access Points, Evil Twin Access Points mit gefälschten SSID sowie Rogue Clients, Ad-hoc-Netzwerke und falsch konfigurierte Access Points. Die damit einhergehenden Bedrohungen verlieren mit den geeigneten Maßnahmen schnell ihren Schrecken. Daher legen wir das Augenmerk heute darauf, was es bei der Implementierung sicherer kabelloser Infrastrukturen zu beachten gilt und welche Aspekte im Hinblick auf die WLAN-Nutzung grundsätzlich ins Kalkül gezogen werden sollten.

Trusted Wireless Environment als Best Practise

Um allen Gefahrenquellen im WLAN effektiv den Riegel vorschieben zu können, bedarf es dem Aufbau eines „Trusted Wireless Environments“, das nicht nur reibungslosen Datentransfer gewährleistet, sondern darüber hinaus auch einfach zu managen ist und hohe Sicherheit bietet. Alle Vorkommnisse darin werden über ein Wireless Intrusion Prevention System (WIPS) erkannt, Bedrohungen proaktiv unterbunden, protokolliert sowie zu Analysezwecken transparent aufbereitet. Dadurch schützen sich Unternehmen nicht nur vor Cyberkriminellen und unvorsichtigen Mitarbeitern: In Verbindung mit Visualisierungslösungen wie Wi-Fi Cloud Discover von WatchGuard bietet sich ihnen darüber hinaus die Möglichkeit, das Verhalten aller unternehmenseigenen und fremden Geräte in WLAN-Reichweite zu kontrollieren und zu steuern. Zudem lassen sich übliche Problemsituationen im Netzwerk – wie Clients mit einer schlechten Verbindung, sich immer wieder an- und abmeldende Systeme oder die Eingabe falscher Pre-shared-Keys – automatisiert verarbeiten und in Form eines Dashboards darstellen. Individuelle Anfragen von Anwendern können bis zu einer Woche rückwirkend abgerufen und im Rahmen eines Drilldowns bis auf das jeweilige Endgerät bearbeitet werden.

Homeoffice mit Remote Access Point

Im Zuge der Corona-Pandemie sind viele Arbeitnehmer ins Homeoffice umgezogen. IT-Administratoren stellen diese dezentralen Arbeitsplätze vor ganz neue Herausforderungen. Denn die zuhause eingesetzte WLAN-Struktur entzieht sich hinsichtlich der Einhaltung interner Sicherheitsstandard komplett ihrer Kontrolle. WatchGuard bietet dafür eine Lösung an, die auf den Möglichkeiten des zentralen Cloud-Managements der Wi-Fi Cloud basiert: den Remote Access Point (RAP). Dieser bietet Unternehmen die Flexibilität, die Unternehmens-SSID inklusive aller Sicherheitskontrollen auch auf einen dezentralen Arbeitsplatz auszudehnen, wie z. B. das Homeoffice von Remote-Mitarbeitern oder kleine Zweigstellen. Dadurch wird eine schnelle und einfache Bereitstellung des sicheren Fernzugriffs auf den Speicherort von Unternehmensdaten ermöglicht. Die Lösung ist so konzipiert, dass sie sich nahtlos in branchenübliche Firewalls integrieren lässt.

WLAN-Sicherheit als Thema im Zuge von 5G

Die Sicherheit im WLAN rückt aber nicht nur im klassischen Unternehmensumfeld sowie Homeoffice zunehmend in den Fokus, sondern ebenso im Zuge der neuen Mobilfunkgeneration. Beim Zugriff auf sensible Informationen via Smart Phone oder Tablet – beispielsweise beim Online-Banking, aber ebenso bei der Nutzung von Cloud-Anwendungen im geschäftlichen Umfeld – vertrauen viele heute eher dem Mobilfunknetz als einem öffentlichen WLAN: Ein Ansatz, der durchaus nicht verkehrt ist. Dass damit den potenziellen Gefahren einer WLAN-Umgebung jedoch vollumfänglich ein Riegel vorgeschoben wird, kann sich künftig immer öfter als Trugschluss herausstellen. Fakt ist, dass Mobilfunkanbieter trotz 5G nicht mit den steigenden Bandbreitenanforderungen Schritt halten können und dem Konzept des WLAN-Offloadings via Hotspot 2.0 oder Passpoint immer mehr Bedeutung zukommt. Hierbei wird die Mobilfunkverbindung nahtlos auf ein entsprechend verfügbares WLAN umgeleitet. Das Prekäre daran: Oftmals wissen die Mobilfunknutzer gar nicht, dass sie gerade über ein WLAN surfen und der damit einhergehenden Gefahr ausgesetzt sind. In dem Zusammenhang ist die Bedrohung, die von Evil Twin Access Points ausgeht, am eklatantesten. Der Nutzer wiegt sich in der Annahme, dass der Schutz seiner Daten über die gültigen Sicherheitsstandards der Mobilfunktechnologie gewährleistet ist, und läuft dabei gleichzeitig Gefahr, dass seine Verbindung auf einen Evil Twin umgeleitet wird, der den Angreifer in die Lage versetzt, Informationen einzusehen und abzugreifen. Selbst wenn beim WLAN-Offloading die Unternehmensversionen der Sicherheitsprotokolle WPA2 oder WPA3 zum Tragen kommen, die grundsätzlich als sicherer gelten, zeigten die Vorfälle rund um „KRACK“ und „Dragonblood“ auch in dem Fall klare Schwächen der Verschlüsselung auf. Insofern sollten Unternehmen wie Privatpersonen ihren Umgang mit diesem Thema genau hinterfragen.

Standardisierung forcieren

WLAN-Anbieter, die sich für die Umsetzung eines „Trusted Wireless Environment“ entscheiden, können nur gewinnen: Sie profitieren in den eigenen Reihen von einem wichtigen zusätzlichen Schutzschirm. Im öffentlichen Bereich lassen sich Kunden durch vertrauenswürdige Strukturen an sich binden – potenziellen Reputationsverlusten durch geglückte Hacker-Attacken wird wirkungsvoll das Fundament genommen. Doch solche Einzelbestrebungen sind meist nur ein Tropfen auf dem heißen Stein. Essenziell ist vor allem die Einführung und Durchsetzung weltweit gültiger Standards für sicheres WLAN. Genau dafür macht sich die Initiative „Trusted Wireless Environment“ stark. Verfolgt wird das Ziel, die Verfügbarkeit sicherer WLAN-Verbindungen weltweit zu erhöhen, damit sich Anwender weniger Sorgen machen müssen. Jede gesammelte Unterschrift soll dazu beitragen, diese Vision gemeinsam mit Organisationen wie dem PCI Security Standards Council, IEEE oder Wi-Fi Alliance voranzutreiben. Weitere Informationen und die Möglichkeit der Teilnahme unter: www.trustedwirelessenvironment.com