Das haben wir alle schon erlebt: Sie fangen einen neuen Job an oder besuchen ein Büro für einen Vertriebstermin und sehen, dass das gemeinsam genutzte WLAN-Passwort auf jedem Whiteboard steht. Auch wenn es nicht überall aufgeschrieben ist, lässt es sich wahrscheinlich leicht erraten – versuchen Sie es mit dem Firmennamen und 123 am Ende oder mit durch 3 ersetzten E.
Selbst bei Unternehmen mit schwer zu erratenden WLAN-Passwörtern ist die Wahrscheinlichkeit gering, dass das Passwort zuletzt geändert wurde, als jemand das Unternehmen verlassen hat. Schließlich ist es ein erheblicher Produktivitätskiller.
Das ist offensichtlich keine gute Passwort-Hygiene; ein gemeinsam genutztes (und möglicherweise leicht zu erratendes) Passwort, das nur selten geändert wird, ist kaum sicher.
Aber spielt das wirklich eine Rolle?
Die Antwort ist – wie bei so ziemlich allem –: „Es kommt darauf an.“ Es gibt Szenarien, in denen ein kompromittiertes WLAN eine echte Bedrohung für das Produktionssystem darstellt, und es gibt Szenarien, in denen das Büronetzwerk (durch sorgfältiges Design) überhaupt kein Passwort benötigt.
Für die meisten Unternehmen ist Netzwerksicherheit jedoch von entscheidender Bedeutung, und unsichere Passwörter können eine große Schwachstelle darstellen.
Was ist problematisch an einem gemeinsam genutzten WLAN-Passwort?
Ein gemeinsam genutztes WLAN-Passwort birgt mehrere große Risiken. Ein gemeinsam genutztes Passwort erhöht die Wahrscheinlichkeit, dass ein Angreifer es herausfindet und auf Ihr Unternehmens-LAN zugreifen kann.
Auch wenn immer weniger Unternehmen vertrauliche Ressourcen in ihrem Unternehmens-LAN vorhalten, ist Ihr Büro weiterhin ein Ort, an dem viele Mitarbeitende zusammenkommen – und dort haben sie möglicherweise die Datei- oder Firewall-Dienste auf ihren Laptops gelockert. Einige Unternehmen nutzen lokalen netzwerkgebundenen Speicher (NAS) für Backups. Selbst wenn Hacker nicht auf vertrauliche Ressourcen zugreifen können, kann ein Angreifer trotzdem „pwn3d“ auf Ihrem Bürodrucker ausdrucken, bis ihm das Papier ausgeht.
Im wahrscheinlichsten Fall kann der Angreifer ein erhöhtes Zugriffsniveau ausnutzen, das gewährt wird, indem er Datenverkehr über die öffentliche IP-Adresse Ihres Büros sendet. Viele Unternehmen setzen den Büro-IP-Adresse auf die Whitelist, um den Zugriff auf Produktionsserver und Ressourcen zu erlauben, oder nehmen die Multi-Faktor-Authentifizierung für Datenverkehr von Büro-IP-Adressen aus. In diesen Fällen hat ein Angreifer von Ihrem Parkplatz aus einen Weg, Ihre sensiblen Daten anzugreifen, und Sie werden es wahrscheinlich nicht bemerken.
Der per Whitelist zugelassene SSH-Zugriff von Ihrem Büro auf Ihre Server ist mit relativ geringem Risiko verbunden, aber eine der größten Schwachstellen ist eine „admin“-Weboberfläche für Ihren Produktionsservice, die per Whitelist für das Büro freigegeben ist. Admin-Weboberflächen stehen bei Sicherheits-Patches meist sehr weit unten auf der Prioritätenliste, da sie „nur für den internen Gebrauch“ sind. Aber eine Admin-Oberfläche, auf der Code mit bekannten Schwachstellen läuft, ist ein leichtes Ziel, um Ihre gesamte Produktionsdatenbank zu kompromittieren.
Ein Ex-Mitarbeiter, der noch eine Rechnung offen hat, kann ein weiteres Risiko darstellen. Unternehmen sind hier besonders anfällig, da ein solcher Mitarbeiter über spezifisches Wissen über Ihr Unternehmen und Ihre Architektur verfügen würde. Sie können weiterhin auf Ihr Netzwerk zugreifen, ohne das Gebäude überhaupt zu betreten, und dieses Wissen nutzen, um eine bekannte Schwachstelle anzugreifen.
Wann ist ein gemeinsames Passwort oder gar kein Passwort in Ordnung?
Ein drahtloses Netzwerk ohne Passwort kann für Gastnetzwerke nützlich sein. Gastnetzwerke sollten nicht dieselbe öffentliche IP-Adresse verwenden wie Ihre Mitarbeiternetzwerke, und diese Netzwerke sollten wahrscheinlich mit strengen Bandbreitenbeschränkungen versehen sein. Die Daten werden nicht verschlüsselt, aber da so viel Datenverkehr über SSL läuft, ist das nicht mehr so problematisch wie früher.
Für Büros ist ein gemeinsam genutztes Passwort in Ordnung, wenn Sie das Passwort jedes Mal ändern, wenn ein Mitarbeiter das Unternehmen verlässt. Vorsichtshalber wird empfohlen, dass Sie keine lokalen Geräte haben und die IP nirgendwo auf die Whitelist setzen. Jede Person, die auf Produktionsressourcen zugreift, sollte dafür ihre Mitarbeiteranmeldedaten verwenden (vergessen Sie die Multi-Faktor-Authentifizierung nicht!) und/oder ein VPN für den Zugriff nutzen.
Wie kann ich von einem gemeinsam genutzten WLAN-Passwort wegkommen?
Der nächste Schritt bei der drahtlosen Sicherheit ist der Wechsel zu einem Anmeldesystem, das nach einem Benutzernamen und Passwort fragt.
Jedes gängige Betriebssystem unterstützt dies bereits von Haus aus. Das bedeutet: Wenn Ihr Computer versucht, sich über WPA2-Enterprise bei einem Netzwerk anzumelden, fragt er nicht nach dem gemeinsamen Passwort des Netzwerks (das Sie inzwischen wahrscheinlich schon kennen), sondern blendet stattdessen ein Dialogfeld ein, in dem nach dem eindeutigen Benutzernamen und Passwort des Mitarbeiters gefragt wird. Im Backend übermittelt Ihr Zugangspunkt diesen Namen und dieses Passwort an einen RADIUS-Server, der mit „Ja“ antwortet, wenn Name und Passwort gültig sind, andernfalls mit „Nein“.
Dadurch können Unternehmen ihre Netzwerke sicher halten und unbefugte Benutzer blockieren, während sich Mitarbeitende einfacher als je zuvor anmelden und verbinden können.
Dies erfordert einen RADIUS-Server. Falls Sie noch keine haben, gibt es cloudbasierte RADIUS-Angebote (wie Foxpass), die Benutzernamen und Passwörter anhand interner Datenbanken oder externer Quellen (wie Google Apps-Konten) validieren können.
Wenn Sie sicheren Netzwerkzugriff und Sicherheit wünschen, ist Foxpass die richtige Wahl und bringt Cloud-RADIUS sowie Zugriffskontrolle für Unternehmen jeder Größe. Foxpass bietet eine kostenlose 30-Tage-Testversion und einen super einfachen Einrichtungsprozess, daher gibt es keinen Grund, warum Sie diesen Schutz nicht schon heute nutzen sollten. Für Organisationen mit weniger als 10 Benutzern sind wir ebenfalls kostenlos!
Wi-Fi ist eine Marke der Wi-Fi Alliance®
