WLAN-Sicherheit: Nicht nur Hotspots sind gefährlich

Neben Verschlüsselung und Absicherung des Netzes muss ein WLAN genau wie ein fest verkabeltes LAN mit Firewall, Intrusion Detection und Antivirenschutz abgesichert werden. Besonders die Anmeldung an Netz und VPN muss der Unternehmenspolicy entsprechen – hier ist eine sichere, unter Umständen zweistufige Authentisierung gefragt.

Wer sich mit MAC-Layer-Adressen und ESSIDs auskennt ist zudem klar im Vorteil.
MAC-Layer-Adressen sind für kleine Netze sinnvoll. Der Administrator kann mit ihrer Hilfe nur Clients ins Netz lassen, deren einmalige Geräte-Identifikations-Nummer (MAC-Adresse) der Access-Point kennt. Fremde kommen so nicht ins Netz. Dafür muss vorher allerdings jeder Client am Access-Point angemeldet werden und daher ist das Handling bei ein paar hundert oder gar tausend Clients nicht mehr komfortabel.

ESSIDs steht für „Netzwerkname“ und ist ein weiterer Knackpunkt. Manche Firmen lassen einfach den voreingestellten Namen, den die Access-Points bereits mitbringen. In jedem Fall sollte dieser voreingestellte Name geändert werden. Der neue Name sollte keine Rückschlüsse auf die Firma oder das Netzwerk zulassen, also nicht „Firma_Abteilung“. Zudem posaunen die öffentlichen Hotspots ihre ESSIDs zwar fröhlich hinaus, damit jeder weiß, dass hier der „Lounge-Hotspot“ ist, aber im Firmennetzwerk macht es Sinn, dieses „Broadcasting“ auszuschalten. Dann finden fremde WLAN-Karten das Netz erst gar nicht und nur wer die ESSID kennt, kann sich einloggen.