So schützen Sie WLAN-Router vor ungebetenen Gästen
Stand: 13.01.2012
Bildquelle: ©Adobe Stock / Text: dapd
München - Wer ein WLAN-Router betreibt, sollte besonderes Augenmerk auf die Sicherheit der Netzwerkverbindung legen. "Ungebetene Nutzer können illegale Aktivitäten auf den Anschlussinhaber zurückfallen lassen, der dann für Urheberrechtsverletzungen, illegale Downloads oder teure Internettelefonate geradestehen muss", warnt Marcus Pritsch, Projektleiter Multimedia und Internetsichterheit bei der Stiftung Warentest.
Mit wenigen Handgriffen zum größtmöglichen Schutz
Dafür sollten Nutzer zunächst auf die Benutzeroberfläche des Routers gehen. Dafür müssen sie im Adressfenster des Browsers die IP-Adresse des Routers eingeben, die im Handbuch zu finden ist - auch das entsprechende Passwort für den Router-Zugang steht dort. Auf der Oberfläche finden Nutzer die Möglichkeit, das Funknetz zu verschlüsseln - meist unter Menüpunkten wie "Sicherheit", "Security" oder "Verschlüsselung".
Zur Verfügung stehen verschiedene Verschlüsselungsmethoden: "Am sichersten ist die WPA2-Verschlüsselung, die heute als beste und stärkste Verschlüsselung gilt", sagt Tomasz Czarnecki aus dem Testcenter von chip.de. Als Passwort sollte ein sicheres Kennwort gewählt werden, das aus Buchstaben, Ziffern und Sonderzeichen besteht. Falls eine WPA-Verschlüsselung mit den vorhandenen Geräten nicht möglich ist, sollten Internetnutzer wenigstens die einfachere WEP-Verschlüsselung wählen, rät der Experte: Besser schwach verschlüsselt als gar nicht.
Netzwerknamen verschleiern
Das Verstecken des Netzwerknamens (SSID) ist vor allem bei WLAN-Zugängen ohne WPA-Verschlüsselung sinnvoll. Denn damit können zumindest Laien den WLAN-Zugang gar nicht erst entdecken. Ohne eine solche Verschlüsselung sieht jeder Smartphone- oder Laptop-Besitzer in der Nähe des Routers den Zugang.
Mit Verschlüsselung bleibt der Zugang unsichtbar. Das sei ein Vorteil, sagt der Expertel: "Wer gar nicht bemerkt wird, kann auch nicht angegriffen werden." Zusätzlich sollte der Netzwerkname individualisiert werden. Standardmäßig sind die Netzwerke mit dem Begriff "default" bezeichnet - für den neuen Namen gilt wie bei jedem Passwort: Je komplexer, desto schwerer zu knacken und zu finden. Die Einstellungsmöglichkeiten für das Netzwerk befinden sich unter Begriffen wie "Netzwerksname" oder "SSID" auf der Benutzeroberfläche, die sich im Browser wie eine Website öffnet, wenn man die Adresse des Routers und das Passwort eingegeben hat.
Ein bisschen mehr Sicherheit: MAC-Adressen filtern
Ebenfalls ein bisschen mehr Sicherheit bringt es, wenn User nur bestimmte MAC-Adressen (Media-Access-Control-Adressen) für das Netzwerk zulassen. Damit bekommen diejenigen Geräte eine eindeutige Kennung, die ins Netzwerk dürfen und damit über den Router ins Internet kommen. Im Router lassen sich die Adressen der Geräte festlegen, die MAC-Adressen der entsprechenden Rechner oder Smartphones finden sich in den Einstellungen der Geräte.
Bei Windows-Rechnern bekommen User die MAC-Adresse, indem sie den Start-Button anklicken, im Feld ganz unten den Befehl "Ausführen" wählen, dort "cmd" eingeben und in dem sich dann öffnenden Feld den Begriff "IPconfig /all" eingeben. Der als "physikalische Adresse" angegebene Wert ist die benötigte MAC-Adresse.
Der Nachteil: Die MAC-Adressen lassen sich leicht fälschen, und der Schutz lässt sich damit übertölpeln. Marcus Pritsch sieht im Filtern der MAC-Adressen einen "wichtigen Baustein, auch wenn die Einrichtung zunächst etwas kompliziert ist" - der Grund: Die zugelassenen Adressen müssen im Router einmalig eingerichtet werden.
Ein letzter Schritt: DHCP abschalten
Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, dass jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne IP-Adresse kann aber niemand den Internetzugang nutzen", sagt Marcus Pritsch. Der Router-Besitzer muss dann aber allen Netzwerkteilnehmern eine statische IP verpassen - gerade bei größeren Netzwerken ist der damit verbundene Aufwand nicht unerheblich. Wichtig sei, eine Liste zu führen, welche IP-Adresse an welchen Computer bereits vergeben ist. Damit schließe man technische Probleme durch "Doppelvergaben" aus.