Rundfunk für Firmengeheimnisse

Jeden Tag begegnen Sie ihm im Cafe oder auf der Parkbank, dem netten Herrn, der wie gebannt auf seinen Laptop starrt. Doch nicht immer feilt er an seiner nächsten Power-Point-Präsentation oder spielt eine Runde Solitaire. Die Excel-Tabelle mit den Quartalszahlen und dem Vermerk ¿Streng vertraulich¿ auf seinem Monitor könnte durchaus die sein, die Ihr Kollege gerade in Ihrem neuen, drahtlosen Intranet verschickt hat. Und dazu muss der nette Herr nicht einmal ein ausgebuffter Hacker sein.
Funktechnik für Firmennetzwerke erfreut sich zunehmender Beliebtheit. Ohne lang Strippen ziehen oder Wände aufstemmen zu müssen, lässt sich ein Intranet mit Funktechnik nach dem IEEE 802.11 Standard von heute auf morgen aufbauen oder erweitern. Die unter verschiedenen Namen wie Wireless Local Area Network, Airport, WaveLAN, Orinoco oder Aironet vertriebenen Funknetzwerke erreichen pro Funkzelle eine Reichweite um die hundert Meter, wobei sich die Teilnehmer mit ihren Rechnern frei innerhalb einer Zelle bewegen und auch ohne neues Einloggen in eine andere Zelle wechseln können. Für den Einzelnen bedeutet das, dass er mit seinem Laptop am Schreibtisch, in der Laborwerkstatt oder im Besprechungszimmer ohne lästiges Stöpseln und Einloggen ständig am Netz hängt. Praktisch ¿ und gefährlich.
Denn das Funknetz hört nicht an der Gebäudewand auf. Es strahlt auch noch ins Cafe an der Ecke, in den Park gegenüber. Hinzu kommt, dass viele dieser Netze, ob aus Unwissenheit oder Fahrlässigkeit, nicht gesichert sind. Eine von RSA Security, dem Spezialisten für Sicherheit in Datennetzwerken, in London in Auftrag gegebene Studie kam zu erschreckenden Ergebnissen. Mit Laptop, einer handelsüblichen Funknetzkarte und ein paar frei im Internet herunterladbaren Programmen machten sich die Tester in den Geschäftsvierteln zu Fuß oder per Taxi auf den Weg. Es ging ihnen nur darum, Funknetze zu identifizieren und festzustellen, ob sie gesichert sind. Ihre Beute waren 124 verschiedene Netze, wovon sich viele anhand des Netznamens einem bestimmten Unternehmen zuordnen ließen. Stattliche 67 Prozent dieser Netze waren nicht verschlüsselt! Das bedeutet für ungebetene Gäste nur wenig mehr als den Laptop aufklappen, einen Kaffee bestellen, einloggen und Firmengeheimnisse mitlesen, kostenlos mitsurfen oder gar das Netz lahm legen. Dass übrigens nicht nur unsere Nachbarn von der Insel so fahrlässig sind, beweist eine ähnliche, ¿inoffizielle¿ Untersuchung des Chaos Computer Clubs in Berlin. Hier fanden sich mehrere Krankenhäuser, die Patientendaten derart exponierten.
Fahrlässige Funker
Aber keine Panik, Sie müssen jetzt nicht die Funknetzkarten wegwerfen, den Administrator feuern und die Strippenzieher bestellen. Mit etwas gesundem Menschenverstand hat´s der Hacker schon schwieriger. Erst einmal sollten Sie grundsätzlich den über Funk angebundenen Teil Ihres Firmennetzes als genau so öffentlich und damit gefährdet betrachten wie den Teil, der am Internet hängt. Also hier wie da den unternehmenskritischen Teil des Firmennetzwerks per Firewall vor unliebsamen Gästen schützen.
Alle der bei den Tests entdeckten Funknetze waren regelrechte Radiostationen, die den Netznamen ungefragt an alle Verbindung suchenden Rechner übertrugen und dadurch überhaupt erst auffielen. Das ist etwa so, also ob sie das Passwort für Ihren Arbeitsplatzrechner jedem, der an Ihrem Schreibtisch vorbei läuft, laut zurufen würden. Dieses ¿Broadcasting¿ abzuschalten ist der erste Schritt zu einem sichereren Funknetz. Auch sollte der Netzname wie ein Passwort gehandhabt, also unter den Mitarbeitern geheim gehalten werden und nicht auf den Netzbetreiber rückschließen lassen. Weiteren Schutz bietet eine Liste mit Kennungen der Rechner, die sich überhaupt anmelden dürfen, an den Zugangspunkten zu hinterlegen. Klingt logisch, oder? Und doch wird es aus falscher Bequemlichkeit heraus oft unterlassen.
Neben diesen Basics bietet der Standard für drahtlose Netze außerdem einen Verschlüsselungsmodus, den WEP, Wireless Equivalent Privacy. Seine Aktivierung macht es dem Hacker zwar schwerer, doch ein kleines, leicht zu findendes Programm aus dem Internet und etwas Geduld, in der Regel 24 Stunden, und selbst dieser Code ist geknackt. Zwar bieten die einzelnen Hersteller oft eigenen, zusätzliche Sicherheitsmechanismen an, doch bei einer Netzerweiterung mit Produkten eines anderen Herstellers bleibt oft nur WEP als kleinster, gemeinsamer Nenner.
Der sicherste Schutz vor ungebetenen Gästen in Funk- wie Festnetzen ist die Einrichtung sogenannter virtueller, privater Netzwerke. Diese VPN´s wirken wie ein elektronischer Tunnel zwischen zwei Teilnehmern, ein direkter ¿Draht¿ sozusagen. Um so eine Verbindung aufzubauen, müssen sich beide Teilnehmer ausweisen und einen nur ihnen bekannten Code für die Verschlüsselung der Verbindung vereinbaren. Hier setzen die Produkte von RSA an.
Bankgeheimnis für Daten
Deren Zwei-Faktor-Authentifikation SecurID entspricht dem Zugangsverfahren mit dem Sie eines Ihrer wertvollsten Güter schützen: Ihr Geld. Wie beim Geldautomaten müssen Sie etwas haben und etwas wissen, um sich auszuweisen. Der EC-Karte entspricht bei den Mainzern ein elektronsicher Schlüssel, der vierstelligen PIN-Nummer ein Passwort. Der elektronisch Schlüssel kann dabei je nach Ihren Bedürfnissen verschiedene Formen haben, mal eine kreditkartengroße Smart-Card, mal ein Schlüsselanhänger, mal ein extra gesichertes Programm auf Ihrem Rechner oder PDA. Dieser Schlüssel muss in das vom Server vorgegebene Schloss passen, dass zudem alle 60 Sekunden seine Kombination ändert. Nur Schlüssel und Passwort gemeinsam öffnen den Weg zum Datenschatz.
Das Gegenstück, die entsprechende Server-Software läuft übrigens auf allen üblichen Netzwerktypen und nicht nur die VPN und Funknetzlösungen der meisten Hersteller sind für diesen ¿Schließzylinder¿ vorbereitet, sondern auch viele Firewalls, E-Mail Programme und E-Commerce Lösungen. So können Sie nicht nur Ihr Funknetz, sondern das ganze Intranet vor dem netten Herrn mit dem Laptop schützen und sicher sein, dass die Quartalszahlen auf seinem Bildschirm seine eigenen sind ¿ oder die von der Konkurrenz.
Matthias Meier

Links: http://www.rsasecurity.com