Unsicherheiten auf Unkonferenzen.

WLAN-Netzwerke sind eine coole Sache. Gerade auf Barcamps. Und dabei stört meist noch nicht mal, dass gerade auf solchen „nerdigen“ Unkonferenzen die aufgebauten WLAN-Netzwerke schwer unter Last stehen und schon die Netzplanung für eine kleinere Veranstaltung recht anspruchsvoll sein kann. Die hohe Zahl an Geräten ist auch recht einfach zu erklären: Zwei WLAN-fähige Gerätschaften sind mit Smartphone und Laptop fast schon normal und nicht wenige Nutzer bringen es auf drei, vier oder gar mehr WLAN-fähige Geräte. Mal eben einen Access Point hinstellen, um einen WLAN-Hotspot aufzubauen, ist da nicht. Da braucht es schon segmentierte Netze.

Über was sich allerdings relativ wenig Nutzer Gedanken machen, ist die Übertragungssicherheit. Bei offenen WLAN-Netzwerken wird in der Regel nicht mit Verschlüsselung gearbeitet, um das Benutzen des WLAN-Netzwerks zu vereinfachen. Das bedeutet allerdings, dass Übertragungen von und zum Access Point so offen sind, wie Postkarten. Schneidet ein Nutzer einfach mal den Datenverkehr im Äther mit, sind Zugangsdaten, Passwörter und vertrauliche Informationen offen, wenn der Einzelne nicht mit einer optionalen Verschlüsselung seine Übertragungen absichert, beispielsweise durch die Nutzung sicherer Kanäle per SSL oder einem VPN. Letzteres wäre der Königsweg: VPN aufbauen und den gesamten Übertragungsweg absichern, dann spielt auch das offene WLAN-Netzwerk keine Rolle.

Zwar können die meisten Endgeräte (selbst Smartphones) heutzutage als VPN-Client tätig werden – sogar das iPhone – allerdings scheitert es meist daran, dass es an einem VPN-Endpunkt fehlt, der idealerweise im eigenen Betrieb oder zu Hause steht. Es gibt zwar kommerzielle Dienste, die VPN-Endpunkte anbieten, aber im Grunde genommen höhlt das jede Sicherheitsphilosophie schon wieder aus.

Hat mal also kein VPN, muss man zuschauen, wie man seine Dienste auf verschlüsseltem Wege nutzt. Bei HTTP, IMAP, SMTP und POP3 ist das theoretisch alles kein Problem, hier gibt es verschlüsselte Varianten, sofern die Gegenstelle mitspielt. Tja, sofern. Bei E-Mail kann man da ja durchaus mit seinem ISP diskutieren, aber bei HTTP und einem Web-2.0-Dienst ist man darauf angewiesen, dass der Diensteanbieter auch HTTPS anbietet. Twitter und Facebook, um bei zwei größeren Anbietern zu testen, tun das – hier kann man die Portale auch via „https://“ erreichen.

Alles kein Problem, wenn die Dienste direkt im Browser aufgerufen werden, denn dort hätte man die Wahl, einfach HTTPS zu verwenden. Die wenigsten Clients und Apps bieten das jedoch. Die meisten Twitter- und/oder Facebook-Clients bieten erst gar keine Einstellmöglichkeit für den API-Zugriff hinsichtlich HTTPS und das bedeutet, dass die meisten Clients unverschlüsselt mit den jeweiligen Diensten kommunizieren. Und das bedeutet, dass Zugangsdaten für die jeweiligen Dienste bzw. Cookie-Authentifizierungen unverschlüsselt über die Luftschnittstelle wandern, wenn das WLAN-Netzwerk offen ist.

Was tun? In solchen Umgebungen entweder tatsächlich den eigenen Datenverkehr über einen VPN-Tunnel absichern oder lieber auf das WLAN-Netzwerk verzichten und auf GSM/UMTS umschwenken. Genau genommen ist auch die Verschlüsselung im GSM-Standard nicht wirklich (mehr)  frei von Fragwürdigkeiten, allerdings besser als gar nichts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *