Drahtloses Internet "Offen wie ein Scheunentor"

Mit der Funktechnik W-Lan kann man im öffentlichen Raum drahtlos im Internet surfen. Die Technik ist jedoch noch nicht ausgereift. IT-Sicherheitsexpertin Margot Seidel warnt vor ihren Tücken.
Von Martin Scheele

mm.de:

Frau Seidel, wenn Sie auf Geschäftsreisen Daten von ihrem Rechner herunterladen oder Mails verschicken wollen, nutzen Sie dann W-Lan-Technik - oder welche Technik favorisieren Sie?

Seidel: Zunächst hängt es natürlich davon ab, was in der konkreten Situation zur Verfügung steht. Jede der Möglichkeiten - sei es ein Analogzugang, ISDN-Zugang oder der Zugang über einen Hot Spot - hat seine unterschiedlichen Risiken. Diesen Risiken versuche ich mit unterschiedlichen Sicherheitseinstellungen meines Notebooks entgegenzutreten. Beispielsweise würde ich bei Nutzung eines Hot Spots sehr sorgfältig darauf achten, dass kein anderer Nutzer des Hot Spots versucht, auf meinem Notebook zuzugreifen.

mm.de: Was kritisieren Sie an der W-Lan-Technik?

Seidel: Eines muss ich an dieser Stelle ganz klar sagen: ich kritisiere nicht die Technik an sich. Der Einsatz einer Technik ist nicht per se schlecht. Es ergeben sich, wie beim Einsatz jeder Technik, bestimmte Probleme, die es zu lösen gilt. Beim W-Lan muss man zwischen zwei Einsatzbereichen unterscheiden: Da gibt es einerseits die Nutzung innerhalb eines Unternehmens und andererseits die Nutzung außerhalb der Firma über so genannte Hot-Spots.

Die Vorteile beim Einsatz innerhalb eines Firmengebäudes liegen vor allem in der Flexibilität und den geringen Kosten gegenüber der herkömmlichen Verkabelung. Die Probleme, die ich sehe, liegen darin, dass diese Technik häufig eingesetzt wird, ohne dass über die Sicherheit nachgedacht wird. Einige problematische Punkte muss man sich einfach klar machen - wie zum Beispiel, dass es sich beim W-Lan um ein Funknetz handelt, dessen Signale unter Umständen auch auf dem Parkplatz, auf der Straße oder im Nachbargebäude empfangen werden können.

Wenn die Daten, die über das W-Lan übertragen werden, noch nicht mal verschlüsselt werden - und sei es "nur" mit der WEP-Verschlüsselung, die ganz einfach aktiviert werden kann - dann kann jeder den gesamten Datenverkehr ganz einfach verfolgen. So können vertrauliche Firmendaten abgehört werden. Es kann auch durchaus sehr sinnvoll sein, die Möglichkeiten eines VPN (Virtuellen Privat Network) mit entsprechend starker Verschlüsselung zu nutzen.

mm.de: Um W-Lan einbruchssicher zu machen, ist die Industrie auf der Suche nach neuen, verbesserten Verschlüsselungsmethoden. Der Intel-Konzern  hat auf der vergangenen Cebit so genannte Centrino-Chips vorgestellt, die die W-Lan-Technik bereits integriert haben. Wie beurteilen Sie diese Technik?

Seidel: Intels Centrino verbindet W-Lan mit Chipset und Pentium M (ein neuer, besonders stromsparender Mobil-CPU). Ein VPN ist - soweit es die Firma zur Verfügung stellt - prinzipiell mit jedem W-Lan nutzbar. Lediglich die beiden Endpunkte des Tunnels sollten entsprechend vorkonfiguriert sein. Der Hot-Spot Provider muss keine zusätzliche Technik vorhalten.

Interessant ist diese Entwicklung für mich in folgender Hinsicht: Gelingt es der Industrie damit eine höhere Nutzerfreundlichkeit, eine einfachere Bedienbarkeit der Sicherheitsfunktionen anzubieten, dann würde ich das sehr begrüßen. Wenn ein Nutzer des Hot-Spots nicht mehr darüber nachdenken muss, welche Einstellungen er in seinem Notebook vornehmen soll, damit er sicher mit seinem Unternehmen kommunizieren kann, wenn er zum Beispiel einfach einen Button anklicken kann mit der Aufschrift "Ja, ich will verschlüsseln", wäre das wirklich ein Fortschritt. Die Technik kann ja noch so sicher sein, aber die Menschen müssen sie auch vernünftig bedienen können.

Datenklau ein "Kinderspiel"

mm.de: Wie leicht ist denn VPN-Technik knackbar durch Hacker? Ist VPN das Nonplusultra, oder geht es noch besser? Welches ist der zurzeit optimale Sicherheitsstandard, den Sie besorgten Unternehmern beim Thema W-Lan mit auf den Weg geben?

Seidel: Um es ganz deutlich zu sagen: 100 Prozent Sicherheit kann es nicht geben, eine ultimative Lösung gibt es genauso wenig. Wichtig ist, dass die Sicherheitsrisiken in einem Unternehmen unter wirtschaftlichem Aspekt abgewogen werden. Das kann auch im Einzelfall dazu führen, dass man sich gegen den Einsatz eines W-Lans entscheidet. Eine Einzelmaßnahme - wie zum Beispiel, dass darauf geachtet wird, wo der Access Point steht, damit er nicht die ganze Straße mit seinen Signalen bestrahlt - reicht nicht aus, wenn sie nicht aus der Security Policy eines Unternehmens abgeleitet wird.

mm.de: Die Betreiber der Hot Spots in Hamburg - derzeit sollen es 41 Access Points mit rund 3760 Nutzern sein - haben bei einer kürzlich stattgefundenen Podiumsveranstaltung verlauten lassen, man wolle jetzt eine VPN-Technik anbieten. Vorher gab es diese nicht. Haben die Betreiber die Entwicklung verschlafen?

Seidel: Für die Akzeptanz der massenhafte Nutzung von Hot-Spots ist es unabdingbar, dass ein Geschäftskunde alle für ihn erforderlichen Dienste - wie zum Beispiel FTP (File Transfer Protocol) - auch über VPN mit seinem Firmennetzwerk abwickeln kann. Ich denke, an diesem Leistungsangebot werden sich alle Anbieter messen lassen müssen.

mm.de: Kommen wir auf die allgemeine IT-Sicherheit von Unternehmen zu sprechen. Derzeit leidet die Wirtschaft unter Konjunktur und sinkenden Gewinnen - welche Veränderungen bemerken Sie bei Ihren Kunden?

Seidel: Das Interesse an Sicherheit ist da, in vielen Unternehmen ist eine wachsende Sensibilisierung gegenüber Sicherheitsfragen zu spüren.

Die meisten tun sich jedoch schwer damit, Geld in die Hand zu nehmen - das hat auch damit zu tun, dass der finanzielle Nutzen der Maßnahmen schwer zu quantifizieren ist. Es ist fast unmöglich, eine klassische Kosten-Nutzen-Analyse aufzustellen nach dem Motto: "So viel haben wir durch eine Firewall eingespart".

Viele Unternehmen gehen so vor, dass sie versuchen, die Sicherheit in kleinen Schritten anzugehen. Ein bisschen in die Internetsicherheit investieren, ein bisschen in die Notfallvorsorge, ein bisschen in die Konfiguration der Netze. Wenn jedoch ein übergreifendes Sicherheitskonzept fehlt, greifen die Investitionen oft nicht in dem Umfang, wie es möglich wäre.

mm.de: Wie ist es denn nach Ihrer Erfahrung um die Sicherheit praktisch bestellt?

Seidel: Ein Beispiel veranschaulicht wohl am besten die derzeitige Lage: Mitarbeiter unseres Unternehmen sind vor einigen Wochen in ein Hamburger Geschäftsviertel gefahren und haben mal geprüft, wie leicht es ist, durch W-Lan in Firmennetze einzudringen. Es war ein Kinderspiel. Ein Großteil der Firmen hatten noch nicht einmal die Verschlüsselung auf Basis von WEP (Wired Equivalent Privacy) eingeschaltet. Man muss es ganz deutlich an dieser Stelle sagen: Das Unternehmensnetz ist damit offen wie ein Scheunentor.

Dabei passieren auch Unternehmen, die sich einen hohen IT-Sicherheitsaufwand leisten - zum Beispiel durch viele Passwortwechsel und Verzicht auf Diskettenlaufwerke - vermeidbare Fehler. Wir waren mit eingeschalteten Laptop in einem Unternehmen, das Gerät hatte eine Infrarot-Schnittstelle gefunden und fragte uns, ob wir verbunden werden wollen. So einfach geht das manchmal.

W-LAN: Durchbruch oder Abbruch? W-LAN: Vernetzte Frittenbuden Drahtlose Vernetzung: Jeder mit jedem

Mehr lesen über

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.