Computer Security Day IT-Sicherheit für Zuhause

Heute, ziemlich genau vor 4 Jahren änderte sich durch Corona einiges. Einschränkungen, Lock-Downs und wir alle mussten uns privat, wie auch teilweise beruflich umstellen.

Heute nach 4 Jahren sind die Einschränkungen alle aufgehoben. Aber eines ist geblieben: Die vermehrte Zeit im Homeoffice. Wir nehmen dies zum Anlass, einen Blick auf technische Schutzmaßnahmen für die Informationssicherheit im Homeoffice zu werfen. Bereits in unserem Artikel „Wir dürfen uns jetzt keinen zweiten Virus einfangen“ haben wir dargestellt, welche Maßnahmen Organisationen in ihrem Informationssicherheits-Managementsystem (ISMS) im Zusammenhang mit der Arbeit im Homeoffice umsetzen sollten. Unser Datenschutz-Team hat außerdem einen sehr interessanten Artikel dazu veröffentlich, wie im bei der Arbeit von zu Hause Datenschutz-Vorgaben eingehalten werden können.

Heute geht es darum, wie jeder Einzelne die Arbeit „seines“ Systemadministrators mit ein paar einfachen technischen Kniffen erleichtern und dabei auch seine private IT-Sicherheit verbessern kann. Damit wollen wir auf möglichst breiter Ebene nicht nur Awareness für das Thema schaffen, sondern auch eine Checkliste für die konkrete Umsetzung an die Hand geben. Daher verzichten wir auf Fach-Chinesisch. Alle genannten Maßnahmen sind mit überschaubarem Aufwand und ohne Expertenwissen machbar. Schritt-für-Schritt-Anleitungen für alle gängigen Geräte und Betriebssysteme würden leider den Rahmen dieses Beitrags sprengen.

Das kleine 1×1 der WLAN-Sicherheit

Die Einstellungen des WLAN-Routers bieten eine ganze Reihe an Möglichkeiten, um die Netzwerksicherheit in den eigenen vier Wänden zu verbessern.

MAC-Filter aktivieren: Jedes Gerät, egal ob Smartphone, Laptop oder Smart-Home-Gerät, hat eine sogenannte MAC-Adresse. Jede MAC-Adresse ist weltweit einmalig. Diese ist sozusagen die „Ausweisnummer“ des Geräts im WLAN. Mit deaktiviertem MAC-Filter ist das WLAN-Netz für jedes Gerät in Reichweite „sichtbar“. WLAN-Router werden in der Regel mit deaktiviertem MAC-Filter ausgeliefert, damit der Kunde neue Geräte verbinden kann, ohne diese in den Router-Einstellungen einzeln freigeben zu müssen. Der Nachteil dieses Komfort-Features: Angreifer können es ausnutzen, um sich unbefugt Zugang zum WLAN zu verschaffen.

Mit aktiviertem MAC-Filter wird die WLAN-Verbindung nur auf denjenigen Geräten überhaupt angezeigt, die in den Router-Einstellungen freigegeben wurden. Den Filter zu aktivieren, verbirgt das eigene WLAN also auch vor neugierigen Nachbarn.

Eine kleine Komforteinbuße bringt diese Einstellung mit sich: soll ein neues Gerät verbunden werden, muss dieses erst in den Router-Einstellungen freigegeben werden. Dazu muss im Gerät dessen MAC-Adresse ermittelt werden. Aber: ein MAC-Filter allein ist von mittelmäßig versierten Angreifern leicht zu umgehen und daher nur im Zusammenspiel mit weiteren Maßnahmen wirksam.

Starke Passwörter für WLAN und Router: Dieser Punkt ist ein Klassiker – eben weil er so wichtig ist, es aber dennoch oft an der praktischen Umsetzung hapert. Router werden oft mit zwei aufgedruckten Passwörtern ausgeliefert – eines für die Geräteanmeldung an der WLAN-Verbindung und ein etwas kürzeres für das Einstellungsmenü des Routers.

Das Problem: sie sind potenziell jeder haushaltsfremden Person bekannt, die irgendwann einmal in der Nähe des Routers war, wie zum Beispiel Handwerkern. Ein Schnappschuss mit der Handykamera von der Unterseite des Routers genügt. Ist das Foto erst einmal unter Angabe der Adresse auf Instagram gepostet und der MAC-Filter noch werksseitig deaktiviert, freuen sich Nachbarn und Passanten über den kostenlosen WLAN-Hotspot. Der WLAN-Zugang selbst ist dabei bereits kritisch, aber noch das kleinere Übel. Wirklich schwerwiegend ist der Zugang zu den Router-Einstellungen. Wer das Router-Passwort kennt, kann hier den Datenverkehr mitschneiden, sich zum Fernzugang auf das Heimnetz berechtigen oder ganz einfach das WLAN-Passwort ändern und den rechtmäßigen Benutzer damit aussperren – ganz ohne irgendwelche technischen Sicherheitsvorkehrungen umgehen zu müssen.

Die Passwörter sollten also beide geändert werden. Um dabei nicht eine Schwachstelle durch eine potentiell noch viel gefährlichere zu ersetzen, müssen aber einige Regeln beachtet werden. Die derzeit allgemein als sicher erachteten Passwort-Empfehlungen lauten:

  • mindestens 20 Zeichen (besser mehr)
  • Ziffern, Großbuchstaben, Kleinbuchstaben und Sonderzeichen (@, [, _, etc.)
  • keine Wörter aus dem Wörterbuch
  • keine Wörter oder Zahlenfolgen mit persönlichem Bezug (z.B. Name des Haustiers)
  • keine trivialen Zeichenfolgen (z.B. „12345“).

Soviel zur Theorie, nun zur Praxis. Wie soll man sich „WPGFaJ)eo^S1wLKwP$znyx?Lh\}{,R“ als WLAN-Passwort merken? Gar nicht! Passwort-Manager-Anwendungen wie zum Beispiel KeePass erledigen das. Diese bieten die Möglichkeit, sichere Passwörter automatisch zu generieren und zu speichern – auch fürs WLAN. Der Zugriff darauf erfolgt nur noch über ein einzelnes starkes Master-Passwort, welches man sich merkt.

Etwas einmaligen Aufwand verursacht diese Maßnahme: nachdem das WLAN-Passwort geändert wurde, muss es an allen verbundenen Geräten einmal neu eingegeben werden. Passwort-Manager funktionieren auf den gängigen Smartphones und Notebooks, sodass bei diesen das WLAN-Passwort nicht manuell eingegeben werden muss, sondern einfach aus dem Passwort-Manager herauskopiert werden kann. Bei WLAN-Druckern oder auch Smart-Home-Geräten muss das Passwort dagegen manuell eingegeben werden. Wie schwerwiegend diese Komforteinbuße ausfällt richtet sich danach, wie viele solcher Geräte man im Einsatz hat und wie oft man neue Geräte anmeldet.

Separates Gäste-WLAN mit Einmal-Zugangscodes: Im WLAN ist es oft notwendig, dass Geräte innerhalb des Heimnetzes miteinander kommunizieren, zum Beispiel die verschiedenen Smart-Home-Geräte mit der zentralen Steuereinheit. Dies birgt jedoch ein Sicherheitsrisiko, weil dann ein Angreifer über ein unzureichend geschütztes Endgerät auf alle anderen Geräte im Heimnetz gelangen kann. Bei Gästen kann man nicht sichergehen, wie gut diese ihre Geräte schützen. Es sollte daher sichergestellt werden, dass diese vom WLAN-Netz mit den eigenen Geräten so gut wie möglich abgetrennt sind. Wie kann man das tun? Man richtet in den Router-Einstellungen ein separates Gäste-WLAN ein. Die Geräte von Gästen müssen untereinander nicht kommunizieren. Dieses Feature sollte daher für das Gäste-WLAN abgeschaltet werden.

Leider richten viele Router das Gäste-WLAN standardmäßig als offenes Netz ohne Passwort ein. Dies muss geändert werden. Es empfiehlt sich die Anmeldung mit sogenannten Token, also Einmal-Zugangscodes, die nach einer gewissen Zeit ablaufen, zum Beispiel nach 24 Stunden. Damit ist sichergestellt, dass Gästen und ihren potentiell unsicheren Geräten der WLAN-Zugang nur für die Dauer ihres Aufenthaltes zur Verfügung steht. Die meisten Router bieten die Möglichkeit, eine Liste mit Einmal-Passwörtern auszudrucken. Diese sollte abgeschlossen aufbewahrt werden. Den Gästen können dann die einzelnen Token bedarfsgerecht ausgehändigt werden.

Automatische Router-Firmware-Updates aktivieren: Genau wie Endgeräte verfügt auch der Router über ein Betriebssystem. Und genau wie Windows & Co benötigt auch dieses Betriebssystem regelmäßige Updates. Damit wird nicht nur die Performance verbessert, sondern es werden auch Sicherheitslücken geschlossen. Diese Updates erfolgen nicht bei allen Routern ab Werk automatisch. In den Router-Einstellungen sollten daher automatische Updates aktiviert werden.

Modernen WLAN-Verschlüsselungsstandard nutzen: Der Verschlüsselungsstandard entscheidet, welche mathematischen Algorithmen genutzt werden, um den Datenverkehr im WLAN für Angreifer unlesbar zu machen. Bildlich gesprochen: Das WLAN-Passwort ist der Schlüssel, der Verschlüsselungsstandard das Schloss. Und kein noch so guter Schlüssel nützt etwas ohne ein stabiles Schloss. Der aktuellste Standard ist WPA3. Die meisten noch in Gebrauch befindlichen älteren Router wurden zwar von den Herstellern mittlerweile per Firmware-Update WPA3-fähig gemacht. In den Einstellungen kann aber noch der Vorgänger WPA2 als Standard hinterlegt sein. Im Router-Menü sollte daher gegebenenfalls auf WPA3 umgestellt werden. Glücklicherweise ist WPA3 abwärtskompatibel, das heißt es können auch ältere Endgeräte weiter benutzt werden, welche nur WPA2 unterstützen – auch wenn die Verbindung zu diesen Geräten dann natürlich das schwächere Sicherheitsniveau des älteren Standards aufweist.

Möglichst Netzwerkkabel statt WLAN nutzen: Auch bei den besten getroffenen Sicherheitsvorkehrungen bleibt eine kabellose Verbindung angreifbarer als eine Kabelverbindung. Je nachdem, wie es die räumlichen Gegebenheiten des Arbeitsplatzes zulassen, sollte daher zumindest die Verbindung zwischen Router und dienstlichem Laptop per Netzwerkkabel und nicht per WLAN hergestellt werden.

Firmware-Updates für Smart-Home-Geräte

Was haben Smart-Home-Geräte, also Smart TV, Lampen, Türkameras etc. mit der Sicherheit im Homeoffice zu tun? Unsichere Smart-Home-Geräte, welche sich im gleichen WLAN wie dienstliche Geräte befinden, sind ein Einfallstor für Angreifer.

Firmware-Updates für den Router haben wir bereits betrachtet. Wie wir gesehen haben, können diese recht simpel automatisiert werden. Anders sieht die Sache bei vielen Smart-Home-Geräten aus. Sie sind daher oft eine offene Flanke für die IT-Sicherheit im häuslichen Umfeld. Nicht jeder Hersteller bietet automatische Firmware-Updates an beziehungsweise hat diese ab Werk aktiviert. Viele Smart-Home-Geräte werden über verbundene Smartphone-Apps gesteuert. Hier sollte geprüft werden, ob automatische Updates aktiviert werden können. Noch besser ist es, von vornherein nur Smart-Home-Geräte mit automatischen Firmware-Updates anzuschaffen.

Eine Anmerkung: Nicht alle Smart-Home-Geräte werden per WLAN verbunden. Manche werden zum Beispiel über den Funkstandard ZigBee angesprochen. Auch wenn diese Geräte keine unmittelbare Gefährdung für dienstliche Hardware darstellen, sollten auch diese im eigenen Interesse regelmäßig mit Firmware-Updates versorgt werden.

Fazit

Gegen wirklich professionelle Angreifer mit entsprechendem Wissen und Ausrüstung bieten die genannten Maßnahmen keinen vollumfänglichen Schutz. Viele denkbare Attacken werden jedoch deutlich erschwert. Die allermeisten Anwender können damit also ein sehr gutes Sicherheitsniveau erzielen.

Einige der Maßnahmen bringen geringfügige Komfort-Einbußen mit sich. Dies muss Jeder selbst gegen den deutlichen Sicherheitsgewinn abwägen, der damit erzielt werden kann. Dabei sollte aber Eines nicht vergessen werden: die Maßnahmen machen nicht nur die Arbeit im Homeoffice sicherer, sondern auch das digitale Zuhause. Und letztendlich ist es das, worum es besonders im eigenen Heim geht: IT-Sicherheit nicht um ihrer selbst willen, sondern für seine Lieben.

Zum Autor:

Stephan Auge ist Teamleiter für den Bereich Managementsysteme und Prokurist der migosens management GmbH. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001 und ISO9001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.