91 Prozent der Benutzer sind sich der Sicherheitsprobleme von öffentlichem WLAN bewusst, dennoch ignorieren es 89 Prozent. Während viele Unternehmensmitarbeiter mit ihren Geschäftsgeräten inzwischen geschult sind und ein VPN aufbauen, bevor sie weitere Aktionen im Netz ausführen, bleiben die restlichen Benutzer völlig ungeschützt. Aber wie sieht es mit der Sicherheit von WLANs in den KMU selbst aus? Und was kann ein Anbieter eines öffentlichen WLANs tun, um zu verhindern, dass seine Benutzer Opfer von Angriffen über das WLAN werden?
Für Gaststätten, Hotels und Veranstaltungsorte ist ein gutes und zuverlässiges WLAN schon lange ein Muss und ein wichtiges Kriterium für die Kundenzufriedenheit. Auch andere KMU spüren den Wunsch, ihren Mitarbeitern WLAN-Zugang anzubieten, um ihnen die Benutzung
der privaten Geräte am Arbeitsplatz zu ermöglichen. Dass dann auch der Wunsch aufkommt, die Geschäftsgeräte mobil nutzen zu können und nicht mehr an den Arbeitsplatz
fixiert zu sein, ist normal. Spätestens jetzt wird WLAN zu einem Thema, das die Sicherheit des Unternehmensnetzwerks betrifft. Auch wenn das Unternehmen selbst kein WLAN anbietet, gibt es sechs bekannte WLAN-Bedrohungskategorien, die ein Unternehmen gefährden:
>Rogue Access Point: Gerade wenn sich ein Unternehmen weigert, WLAN für seine Mitarbeiter anzubieten, ist die Versuchung gross, einen privaten Access Point (AP) an einer der freien Netzwerkdosen im Unternehmen einzustecken und so sein eigenes WLAN zu haben. Wie dieses WLAN gesichert ist und wer nun über drahtlosen Zugang ins Innere des Unternehmensnetzwerks hat, ist für die IT-Verantwortlichen nicht zu kontrollieren.
>Benachbarte Access Points: Obwohl sich der Client im Bereich eines autorisierten APs befindet, kann er sich mit einem fremden WLAN verbinden und so eine falsche Sicherheit vermitteln.
>«Evil Twin» AP: Mit einfach verfügbaren Tools und Unmengen von Online-Anleitungsvideos
ist es einfach, ein WLAN aufzubauen, das die Nutzer verlockt, eine Verbindung herzustellen. Bleibt dies unentdeckt, wird der Datenverkehr ausspioniert, Daten entwendet oder Systeme mit Malware infiziert.
>Rogue Client: Nach der Verbindung mit einem bösartigen AP überlastet der Client das Netzwerk durch Malware-Angriffe
>Ad-hoc-Netzwerk: Ist die Unternehmensfirewall gut konfiguriert und bekommt ein Mitarbeiter nicht der freien Zugang zum Internet, den er gerne möchte, besteht die Gefahr, dass er mittels Hotspot über sein Smartphone eine Internetverbindung herstellt. Durch
Umgehung der Sicherheitsmassnahmen, riskiert er, den Client mit Malware zu infizieren.
>Falsch konfigurierter AP: Konfigurationsfehler sind schnell mal passiert. Werden diese nicht erkannt, kann ein WLAN Teile des internen Netzwerks exponieren, das nicht hätte zugänglich sein sollen.
Gemeinsam Lösungen erarbeiten
Dieses Gefahren sind nicht neu, betreffen alle Hersteller und existieren, seit es WLAN gibt. Watchguard hat 2019 das Trusted Wireless Environment ins Leben gerufen, um diese Gefahren wieder ins Bewusstsein aller Beteiligten zu rufen und mit allen Herstellern gemeinsam an Lösungen zu arbeiten. Um dem Konzept zu genügen, müssen drei Kernanforderungen erfüllt werden:
>Marktführende Performance: Sicherheit darf niemals die erforderliche Leistung beeinträchtigen, egal ob Geschwindigkeit, Konnektivität oder Client-Dichte.
>Skalierbares Management: Einfaches Setup und Management über eine einzige Oberfläche müssen die wichtigsten Prozesse zum Schutz der Umgebung und der Nutzer ermöglichen.
>Verifizierte, umfassende Sicherheit: Automatischer Schutz vor den sechs bekannten WLAN-Bedrohungen; Berücksichtigung rechtmässiger, externer Access Points aus der Umgebung; Verhinderung der Verbindung von Benutzern mit unautorisierten
WLAN APs.
Watchguard hat ein Wireless Intrusion Prevention System (WIPS) entwickelt, das ein Trusted Wireless Environment umsetzen kann. Eine WIPS-Lösung muss die Fähigkeit haben, sämtliche Geräte und APs in einer WLAN-Umgebung zu erkennen. Diese müssen schnell und präzise in die Kategorien «autorisiert», «extern» oder «potenziell gefährlich» klassifiziert werden. Auf dieser Basis können Rogue-Clients oder -APs in Quarantäne gestellt werden und das Unternehmensnetz präventiv geschützt werden.
Dieses WIPS wird auf den Cloud-Managed Access Points von Watchguard mit Secure- Wifi-Lizenz angeboten. Die Access Points können sowohl als Access Point mit WIPSSensor betrieben werden wie auch als reiner WIPS-Sensor, um eine bestehende WLAN-Infrastruktur eines Drittanbieters zu schützen.
www.hilotec.com
www.trustedwirelessenvironment.com
