#34 – WLAN im Unternehmen

Hallo und herzlich willkommen zu einer neuen Folge HITcast. Heute Folge 34 und gegenüber von mir sitzt wieder Dennis. Moin Dennis.

Guten Morgen oder Hallo, je nachdem wann Sie es hören.

Genau. Heute Thema WLAN. Ja. Ein Thema, was wir noch gar nicht hatten.

Ne, das klingt so banal, Thema WLAN. Aber was hat es denn mit dem WLAN so auf sich? Was für Tücken bringt das WLAN vielleicht auch mit sich? Und was sollte das WLAN, was ich vielleicht bei mir zu Hause habe, schon noch ein bisschen unterscheiden von dem, wie ich es vielleicht im Büro verwende für meine Mitarbeiter, vielleicht auch für Leute, die mich im Büro besuchen? Aber vielleicht mal grundlegend die Frage, was macht denn WLAN? Was ist WLAN eigentlich, Philip?

Ja, WLAN ist ein drahtloses Netzwerk. Vielen unter dem Begriff WiFi bekannt. Das ist so das, was man auch auf irgendwelchen Schildern dann mal irgendwo liest. Kennt jeder von zu Hause, glaube ich. Also ein Datenübertragungsstandard über Funk heißt, ich brauche dann eben kein Kabel mehr, um mein Smartphone oder mein Laptop mit dem Internet zu verbinden und mit dem Netzwerk, sondern macht das über Funk.

Das klingt immer gut.

Also ich finde, alles, was ohne Kabel ist, klingt grundsätzlich immer gut, spannend und vor allem einfach. Ja. Aber da steckt vielleicht auch schon die erste Tücke drin, oder? Also wenn ich mir überlege, dass da im Zweifel jeder, der eben halt auch kein Kabel hat, um sich bei mir in mein Netzwerk zu klinken, das Ganze benutzen kann.

Ja, absolut richtig. Für ein Kabel etwas physisches, da muss jemand irgendwo in meine Firma, in mein Haus rein und irgendein Kabel anstecken. Deswegen, das WLAN kennt keine Wände, keine Mauern. Also kennt es schon, weil die Verbindung wird natürlich, je weiter ich wegkomme von dem Gerät, was das WLAN-Netzwerk ausstrahlt, immer schlechter. Aber prinzipiell hört das WLAN eben nicht an meiner Haustür auf. Und das ist genau das Risiko, was du gerade beschrieben hast.

Also ich glaube, man kennt das vielleicht von zu Hause. Der eine oder andere wird sicherlich sagen oder sich dann wiedererkennen, dass man durchaus vielleicht auch bis zum Parkplatz noch WLAN hat. Also man steigt eben. Steht eben ins Auto ein, will losfahren und das Handy ist einfach immer noch verbunden. Wo auch immer. Im Hausflur. Genau.

Und gerade in dicht besiedelten Gebieten, so wie Hamburg, wo viele Firmen in einem Bürokomplex sind oder eben auch viele Leute in einem Gebäude wohnen, gibt es natürlich entsprechend viele WLAN-Netzwerke. Und ich glaube, jeder, der mal sich mit dem WLAN verbinden wollte und dann mal die Übersicht aufgemacht hat, der wird dann sicherlich nicht nur ein WLAN, sondern eher so 10 bis 20 gefunden haben. Und da ist natürlich das Thema Sicherheit schon ganz offensichtlich. Denn wäre ja eher weniger schön, wenn ich einfach irgendwo raufklicke und bin sofort verbunden.

Ja, jetzt gibt es natürlich für das WLAN auch ein Passwort und diverse Verschlüsselungsstandards, sage ich mal. Im besten Fall, ja. Genau. Und jetzt kennt das ja jeder. Man kriegt so einen Router üblicherweise, ausgeliefert von seinem Internetprovider. Genau. Und da steht das WLAN-Passwort ja meistens unten drauf, wenn man den umdreht.

Total praktisch, oder? Oder?

Würdest du sagen, das passt so oder lieber mal ran und ändern?

Ja, das ist natürlich so ein Thema. Es gibt natürlich viele Hersteller inzwischen, wir sind im Jahr 2022, IT-Sicherheit ist für viele eben auch nichts Neues mehr. Heißt, es gibt viele Hersteller, die einfach diese WLAN-Schlüssel, die dort draufstehen, ganz... Willkürlich irgendwo definieren und dann auf die Geräte einspeichern. Es gab aber auch vor ein paar Jahren den Fall, da hat sich dann herausgestellt, dass bei bestimmten Routern, die unter anderem Telekom an ihre Kunden ausgegeben hat, die WLAN-Passwörter auf Informationen des Geräts beruht haben. Was natürlich dann so ein WLAN-Passwort relativ leicht zu knacken macht. Deswegen, klar, immer ändern. Also das ist wie ein Standardpasswort, was ich irgendwo für ein Login von einer Website bekomme. Das Erste, was ich mache, ist ändern. Wenn ich ein Login für den Server bekomme, den mein Administrator mir erstellt hat und ich kriege den Benutzer an meinem Passwort, dann ist das Erste, was ich mache, das Passwort ändern. Weil es eben immer sein kann, dass irgendjemand anders dieses Passwort kennt. Das würde ich natürlich vermeiden.

Jetzt bleiben wir bei meinem Lieblingsbeispiel, unsere kleine Test-GmbH mit 20, 25 Mitarbeitern. Jetzt habe ich ein WLAN bei mir und alle meine Mitarbeiter haben selbstverständlich die Passwörter. Damit die eben auch mit ihren Tablets, Notebooks von überall im Büro aus arbeiten können. Jetzt bekomme ich Kunden zu Besuch und da bittet mich jemand darum, er möchte mal das Internet benutzen, weil er beispielsweise irgendwas vorbereitet hat, was er mir zeigen möchte. Wenn ich dem jetzt das Passwort gebe, ist es ja in den meisten Fällen so, dass die Geräte sich diese Passwörter merken und der quasi jedes Mal wieder automatisch mit meinem WLAN verbunden wäre. Was ja bedeutet, dass der, auch wenn ich ihm vertraue, weil er eben ein Kunde ist, aber im Zweifel eben auch Zugriff auf sensible Daten, in meinem Netzwerk hat. Wie kann ich dem denn ein bisschen entgegenwirken vielleicht?

Ja, wichtiger Punkt. Vertrauen ist gut, Kontrolle ist besser. Also klassischer uralter Spruch. Trifft in dem Fall natürlich wieder zu. Zum einen unter dem Aspekt, den du genannt hast, der hat theoretisch Zugriff auf alle Daten. Und zum anderen aber auch, sein Notebook, sein PC ist dann ja Teil meines Netzwerks. Heißt, wenn eine Sicherheitsbedrohung von diesem Gerät, der da ist, dann ist das dann auch Teil meines Netzwerks. Und wenn dann mein Gerät ausgeht, weil der zum Beispiel einen Trojaner drauf hat, dann kann sich dieser Trojaner eben ab diesem Zeitpunkt auch in meinem Netzwerk ausbreiten. Und so habe ich plötzlich einen Trojaner in mein Netzwerk eingebracht, obwohl ich ansonsten alle möglichen Sicherheitsvorkehrungen getroffen habe. Aber ich habe eben unsicheres Gerät reingelassen bei mir. Deswegen gibt es dafür sogenannte Gastzugänge oder man nennt sie häufig Gastzugänge, weil sie genau für den Zweck eben auch genutzt werden. Sind aber im Wesentlichen eigentlich abgesicherte eigenständige Zugänge. Die kriegen eigene WLAN. WLAN-Namen, eigenes Passwort und sind dann netzwerkseitig vom Rest des internen Netzwerks getrennt.

Okay, das heißt, die können sich verbinden mit dem Router oder mit dem Access Points und haben aber in Anführungszeichen nur klassisch Zugang zum Internet und nicht zu meinem internen Netzwerk. Genau richtig, ja.

Okay, sehr cool. Das sollte man übrigens auch in Erwägung ziehen für private Geräte der Mitarbeiter. Ja, also auch das ist ein Thema. Man sollte dieses WLAN passen. Man sollte das Passwort für das interne WLAN auch möglichst nicht an die Mitarbeiter rausgeben. Es gibt Möglichkeiten, das über zum Beispiel Mobile Device Management schon auf die Firmen-Smartphones oder Firmen-Tablets dann entsprechend einzurichten. Auf den Geräten, auf den Notebooks, die man an seine Mitarbeiter ausgibt, kann man es vorher auch schon einstellen. Und dann braucht eigentlich auch keiner dieses WLAN-Passwort zu haben. Denn auch das ist ja ein Thema. Jetzt habe ich 25 Mitarbeiter in deinem Beispiel und einer davon passt nicht mehr zur Firma. Und dann muss ich kündigen. Jetzt hat der aber das WLAN-Passwort. Der ist meiner Kündigung nicht so einverstanden und sagt sich, Mensch, dem zeige ich nochmal, was für ein toller Mitarbeiter ich war. Und verschafft sich dann über das WLAN Zugang zum internen Netzwerk. Und was dann passiert, kann man sich möglicherweise vorstellen oder nicht vorstellen. Es gibt viele Möglichkeiten. Also auch da sollte man gucken, dass man vielleicht die Mitarbeitergeräte, die privaten Geräte der Mitarbeiter auch nur ins Gäste-WLAN lässt. Weil auch die haben das WLAN. Die haben im internen Netzwerk im Zweifel nichts verloren.

Okay, das würde ja auch vielleicht sogar dazu führen, dass man, also wir hatten ja mal in einer unserer letzten Folgen zum Thema Passwort-Policies gesprochen, dass man das WLAN-Passwort dann vielleicht auch nicht so sehr häufig ändern muss, wie beispielsweise

klassische Passwörter.

Wenn es keiner kennt, klar, muss ich es auch seltener ändern.

Okay, vielleicht nochmal ganz kurz, also bevor jetzt hier der Anschein durchkommt, wir sollten grundsätzlich mal jeden erstmal missbrauchen. Man kann das Spielchen vielleicht ja auch mal umdrehen. Im Zweifel hätte ich ja auch Zugriff auf Kundendaten, wenn sich das Notebook, mit dem der Kunde kommt, eben in meinem Netzwerk befindet. Es ist vielleicht auch ein Sicherheitsaspekt auf der anderen Seite. Richtig.

Und da kommen wir so ein bisschen auch in den Bereich Hotspots oder öffentliche WLAN-Netzwerke. Weil da gilt das Gleiche. Also wenn ich jetzt irgendwie…

Also ein Hotspot, ein öffentliches Netz, damit meinst du beispielsweise, man kennt das glaube ich schon, wenn man sich das mal anschaut, dass man das nicht so gut kennt. Wenn man irgendwie am Hauptbahnhof sitzt, in einem Café oder in einem großen Einkaufszentrum, da wimmelt es von kostenlosen Wifi-Hotspots.

Genau, und da gibt es zwei Gefahren, die ganz offensichtlich sind. Die eine Gefahr ist, so ein offener WLAN-Hotspot, da sind eben viele Leute drin. Und da ist erstmal jetzt nicht… also Verschlüsselung ist da nicht Standard. Das heißt, je nachdem habe ich eine verschlüsselte Verbindung zu dem WLAN-Router. Aber darüber hinaus muss ich auch gucken, dass meine Verbindung verschlüsselt ist. Also sprich, ich muss darauf achten, Webseiten nur per HTTPS aufzurufen, gegebenenfalls eine VPN zu verwenden etc. Die zweite Gefahr ist, dass an solchen gerade so größeren öffentlichen Orten natürlich auch Leute ihr Unwesen treiben können, die ein WLAN-Netzwerk aussenden, um gezielt Daten abzugreifen. Also nehmen wir mal als Beispiel, ich bin am Flughafen. Mhm. Und da gibt es vielleicht einen WLAN-Netzwerk. Also ich habe ein Gäste-, ein offenes Gästenetzwerk vom Flughafen als Betreiber. Das heißt einfach Airport-Gäst oder was auch immer. Mhm. Und jetzt gibt es jemanden, der sagt, Mensch, hier sind so viele Leute, ich gucke mal, was ich hier an Daten abgreifen kann. Und der setzt sich mit dem entsprechenden Equipment irgendwo hin und hat dann ein Gerät, das sein Netzwerk ausstrahlt. Das nennt er Flughafen-Gäste-WLAN. So. Mhm. Als Durchreisender sagt man sich, was habe ich hier? Oh, Flughafen-Gäste-WLAN, wunderbar, wird angezeigt. Klasse, ich kann mich direkt verbinden, brauche kein Passwort eingeben, wunderbar. Was jetzt aber passiert ist, mein ganzer Datenverkehr läuft über das von diesem Angreifer, von diesem Hacker kontrollierte Gerät. Und er kann sämtliche Daten, die ich darüber sende und empfange, mitlesen.

Auswerten, ja. Okay.

Heißt Passwörter zum Beispiel, die ich darüber irgendwo eintrage, mich irgendwo anmelde, wenn es nicht vorher nochmal irgendwie explizit verschlüsselt wurde, kann er mitlesen. Ja.

Und ich glaube, was an dieser Stelle vielleicht auch ganz interessant zu erwähnen ist, das mag jetzt für den einen oder anderen vielleicht so klingen, als würde das immenses Know-How und einen wahnsinnigen technischen Aufwand voraussetzen. Dem ist ehrlicherweise gar nicht so. Nein. Also da reicht einfach ein Notebook, ein mittelklassiges Notebook und ein entsprechender WLAN-USB-Stick.

Und noch ein mobiler Hotspot.

Den es unter Umständen für 25 Euro bei Amazon gibt. Ja. Genau, richtig.

Und dann reicht so ein bisschen vorher ein bisschen YouTube-Videos schauen und dann kann man das mit wirklich absolut geringem Aufwand machen. Und solche Angriffe sind auch nichts, was wir uns ausgedacht haben, sondern die finden tatsächlich statt. Also das ist ein reales Szenario, was immer wieder auch gemacht wird, wo man immer wieder beobachtet, dass es durchgeführt wird. Und von daher, das sind so die zwei Hauptsicherheitsrisiken, die man da ausgesetzt ist. Deswegen empfiehlt sich auch da, und das ist ja heute auch kein Drama mehr, im Zweifel lieber mobilen Hotspot über das eigene Handy aufmachen. Absolut. Datenraten sind inzwischen über Mobilfunk, ob jetzt LTE oder auch 5G, kein Thema mehr. Die Verbindung ist ausreichend schnell und Datenvolumen, naja, also wird auch immer mehr, sagen wir es mal so.

Wir hängen noch ein bisschen hinten dran.

Wir hängen noch ein bisschen hinten dran, das ist ein anderes Thema, aber auch das wird ja immer mehr. Und außerdem, auf der anderen Seite werden natürlich auch normale Webseiten entsprechend optimiert, auf Mobilgeräte optimiert, vom Datenvolumen her optimiert, vom Traffic her optimiert. Also da kann man dann auch mit so einem mobilen Hotspot für Mail checken und so reicht das locker aus. Absolut. Und das ist dann immer noch die sichere Variante, als sich irgendwo in einen WLAN-Hotspot einloggen, bei dem man ja nicht wirklich weiß, woher kommt der, wer betreibt den und ist das alles wirklich sicher. Absolut.

Also es mag immer gut gemeint sein, also das ist jetzt hier kein Angriff gegen die grundsätzlichen mobilen, gegen die öffentlichen Hotspots. Aber es gibt halt immer auch auf der anderen Seite Leute, die das Ganze nutzen, um dann eben Gegenteiliges zu bewirken. Genau. Ja, das war glaube ich WLAN kurz und knapp, aber mit einer Menge Infos, die glaube ich dem einen oder anderen weiterhelfen. Und um nochmal zu dem Beispiel zurückzukommen, mit dem WLAN im eigenen Büro. Ja. Also wenn jemand da draußen, unsere ZuhörerInnen, jetzt vielleicht den Gedanken gefasst hat, auch so ein Gäste-WLAN, das wäre vielleicht mal was, damit hier nicht jeder in meinen privaten Daten rumschnüffeln kann, dann gerne melden. hagel-it.de slash Termin und wie immer ganz klassischen Termin bei Philip, mir oder einem unserer Kollegen Boren. Genau.

Kurze Ankündigung noch in eigener Sache. Der HitCast geht in die Sommerpause. Ja. Und zwar sind wir nächste Woche noch einmal mit einer neuen Folge in den Podcast-Playern zu finden. Folge 35 nächste Woche.

Genau, dann erst im September wieder.

Dann erst wieder im September, genau. So ist es, wir gehen zwei Monate in die Sommerpause und ab September sind wir dann mit neuen Folgen, damit Folge 36 wieder da.

Ja. Bis nächste Woche. Bis dann.