Drahtlose Netzwerke: Vorsicht, der Nachbar surft mit
So sichern Sie ihre privates Funknetz vor fremden Eingriffen ab.
Düsseldorf. Patrick Wingerter aus Neustadt an der Weinstraße wundert sich: Als er Anfang September seinen neu erworbenen Laptop in Betrieb nimmt, findet der eingebaute W-Lan-Empfänger gleich drei Netzwerke, in die er ungehindert eindringen kann: "Wenn schon ich als Laie so einfach in fremde Funknetze gelange, was könnte dann ein Hacker alles anstellen!", wundert sich Wingerter.
Tatsächlich funktionieren Funknetze, auf Neudeutsch W-Lans, grundsätzlich ohne physische Barrieren: Die Daten lassen sich im 100-Meter-Umkreis von einem aufs andere W-Lan-fähige Gerät verschieben. Das ist besonders angenehm, wenn in einem Vier-Personen-Haushalt Vater, Mutter und die beiden Kinder gleichzeitig auf das Internet zugreifen möchten und sich über PC, Notebook und MP3-Player ins lokale Netzwerk verbinden. Der PC ist dann etwa an die Basis-Station angeschlossen; die anderen Familien-Mitgliederverbinden sich über die eingebauten W-Lan-Module in ihren Geräten mit dem Netz.
Seit einigen Jahren bieten alle großen Internet-Zugangsanbieter Internet-Pakete mit W-Lan-Router an (Fritzbox etc.): T-Mobile, 1&1, Hansenet. Wer die Basis-Station eingerichtet hat, findet meist auf der Unterseite eine 16-stellige Nummer: Das ist der WPA-Schlüssel, den der Nutzer eingibt, um die Daten im Funknetz zu verschlüsseln. Damit ist das Netz bereits gesichert, denn ohne diesen WPA- oder WPA 2-Schlüssel rennt selbst ein technisch versierter Zeitgenosse vor verschlossene Funknetz-Türen.
Ältere W-Lan-Empfänger mit WEP-Schlüsseln sind mittlerweile nicht mehr sicher. Der Hersteller der W-Lan-Geräte bietet entsprechende Updates an, die sich entweder von dessen Homepage oder von der Homepage des Internet-Zugangsanbieters herunter laden lassen.
Funkt die Fritzbox mit WPA, sollte der Besitzer dennoch einige weitergehende Sicherheits-Maßnahmen ergreifen. So trägt jedes W-Lan einen Identifikations-Namen, die Fachbezeichnung lautet ESSID oder SSID. Es empfiehlt sich, irgendeinen wirren Zeichensalat als Namen zu wählen, etwa "089Akjherkr9". Befindet sich eine "Broadcast"-Funktion im W-Lan-Router, empfiehlt es sich, sie zu deaktivieren: So teilt das Funknetz nicht willkürlich jedem in Reichweite befindlichen W-Lan-Scanner mit, dass es da ist. Wer ins Funknetz möchte, muss den - möglichst kryptischen - Namen wissen. In einigen Empfänger-Menüs heißt der entsprechende Menü-Punkt "Visibility Status" und sollte auf "Invisible" (="unsichtbar") eingestellt werden.
Wer keine Geräte wie Drucker im Netzwerk betreibt, sollte die entsprechenden Freigaben deaktivieren. Das gelingt etwa im Drucker-Menü, wo man nur dem Benutzer des Computers erlauben sollte, zu drucken und zu scannen. Wirkungsvoller ist ein Kennwort: Zusätzlich zum WPA-Schlüssel kann ein Netzwerk durch einen solchen Code geschützt werden. Dieser sollte zehn Zeichen umfassen und wirr aussehen. Meist befindet sich ein Menü-Punkt in der Betriebssoftware des jeweiligen W-Lan-Routers.
Eine weitere Maßnahme ist die Aktivierung des MAC-Filters. Das gelingt ebenfalls über das Hauptmenü der Basis-Station und bewirkt, dass nur bestimmte Geräte im Netzwerk zugelassen werden. Jede Netzwerkkarte eines PCs besitzt eine bestimmte MAC-Adresse. Die lässt sich über den Befehl "ipconfig /all" in Erfahrung bringen: Unter dem Punkt "Ausführen" im Windows-Start-Menü "cmd" eintippen, dann den obengenannten Befehl eingeben, den Namen lesen und aufschreiben genügt. Unter Linux und Mac OS heißt der Befehl "ifconfig". Allerdings ist diese Maßnahme bereits deftig, WPA2, Kennwort und deaktivierte Server-Funktionen gewähren ausreichend Sicherheit.