Sicherheit trifft auf WLAN-Technik

Schluss mit der Unsicherheit

22. Mai 2020, 08:30 Uhr   |  Michael Veit/ts

Schluss mit der Unsicherheit

Die Anzahl an kabellosen Netzwerkumgebungen nimmt stetig zu. Gleichzeitig stellen die Zugänge ein beliebtes Ziel für Cyberkriminelle dar. Eine Verzahnung von WLAN-Technik mit der IT-Security kann vielfach für mehr Sicherheit sorgen.

Der Markt im Bereich WLAN wächst kontinuierlich – nämlich um drei Prozent jährlich, wie die Marktanalysten von IDC prognostizieren. Dies dürfte zum einen an der zunehmenden Digitalisierung und zum anderen an den vielfältigen zusätzlichen Gerätekategorien liegen, die man in das WLAN einbindet. Dabei handelt es sich schon lange nicht mehr nur um Laptops, Tablets oder Mobiltelefone, sondern in zunehmendem Maß auch um IoT-Devices, die eine zusätzliche und neue Herausforderung mit sich bringen. Der Anstieg der WLAN-fähigen Geräte in Unternehmen dürfte die Steigerungsraten des WLAN-Infrastrukturmarkts wohl deutlich übersteigen, zumal sich hier eine immer deutlichere Gemengelage zwischen Business- und Consumer-Geräten entwickelt.

Die Herausforderung für Unternehmen durch das WLAN-Wachstum ist klar: Einerseits muss die Infrastruktur den stetig steigenden Anforderungen gewachsen sein. Andererseits – und das ist die eigentliche Herausforderung – gilt es, das WLAN deutlich besser abzusichern – sowohl die Infrastruktur als auch die Geräte. Damit ist ein Paradigmenwechsel eingeläutet, der das WLAN nicht ausschließlich zu einer Angelegenheit der IT-Infrastruktur macht, sondern zunehmend auch zu einer Sache der Security. Daher ist es nun notwendig, beide Disziplinen zu verzahnen. Nur dann haben Administratoren die Möglichkeit, eine ausreichende Sichtbarkeit über den Sicherheitszustand ihres Wireless-Netzwerks zu erhalten, um auf diese Weise Unternehmen vor potenziellen Sicherheitsgefahren zu schützen.

Gefahrenlage für das WLAN nimmt zu

Wie in allen Bereichen der IT steigt die Gefahrenlage auch im WLAN-Bereich mit dem zunehmenden Ausbau und der intensiveren Nutzung der Technologie. Eine Studie von Vanson Bourne aus dem Jahr 2019 hat gezeigt, dass 36 Prozent der Befragten Attacken im Netzwerk entdeckt haben. Jedoch nur 21 Prozent der Umfrageteilnehmer konnten nachvollziehen, wie der Angriff in das Netzwerk kam. Für verantwortungsvolle Unternehmen ist dies nicht ausreichend, insbesondere da Server, Endpoints und das klassische LAN in der Regel relativ gut abgesichert sind.
Für das WLAN existieren mehrere Szenarien für Angriffe. Eine Variante bezieht sich auf gefährdete Endgeräte, also ein unsicheres oder infiziertes Gerät mit Zugriff auf das WLAN. Die größte Gefahr geht in einer kabellosen Umgebung von Notebooks und Mobilgeräten aus, die außerhalb des Firmennetzes im Einsatz sind und sich dort mit Schadsoftware infiziert haben, beispielsweise mit einer aktuellen Ransomware.
Sobald diese sich nach ihrer Rückkehr ins Firmen-WLAN einloggen, kann sich die Ransomware von dort aus auf interne Server und Clients weiter ausbreiten. Im schlimmsten Fall legt ein solcher Angriff das gesamte Unternehmen lahm. Der Einsatz von privaten Geräten im Zuge einer BYOD-Strategie (Bring Your Own Device) verschärft dieses Problem zusätzlich, da es sich hierbei um nicht durch die Firmen-IT verwaltete Geräte handelt, die sich mit dem Unternehmensnetzwerk verbinden.

Ein weiteres Angriffsszenario bezieht sich auf die Einbindung von IoT-Geräten. Sehr viele davon sind vom Grundsatz her nicht auf Security ausgerichtet und somit ein mögliches Einfallstor für Angreifer in das drahtlose Netzwerk. Dazu gehören beispielsweise Überwachungskameras, Kiosk- systeme, Displays oder auch proprietäre Scanner-Geräte, wie sie beispielsweise in der Logistik Verwendung finden. Der Herausforderung durch potenziell unsichere WLAN-Geräte im eigenen Netzwerk muss ein Unternehmen mehrstufig begegnen. Dazu gehört, dass sich Firmen- und BYOD-Geräte nur dann mit dem internen Client-Büro-WLAN verbinden dürfen, wenn eine aktuelle und wirksame Endpoint-Sicherheitslösung installiert ist, die zudem keine aktiven Bedrohungen festgestellt hat.

In einer weiteren Sicherheitsstufe müssen sich IoT-Devices und nicht verwaltete Geräte über gesonderte WLAN-SSIDs in separate Netzwerksegmente im Unternehmen verbinden. Diese Netzwerksegmente müssen zudem durch eine Firewall mit einem aktivierten Intrusion-Prevention-System abgesichert sein, das nur einen sehr begrenzten Zugriff auf ausgewählte Ressourcen im Unternehmensnetzwerk erlaubt. In vielen Fällen ist die Nutzung eines Gastzugangs zu empfehlen, der ausschließlich den Zugang in das Internet freigibt und die Kommunikation der verschiedenen Gastgeräte untereinander unterbindet. Auf diese Weise lässt sich sicherstellen, dass möglichst keine Bedrohung in das Unternehmensnetzwerk gelangen kann.

Für die technische Umsetzung ist es jedoch notwendig, dass die verwendeten WLAN Access Points des Unternehmens den Sicherheitszustand des WLAN-Clients überprüfen können. Sophos hat beispielsweise sein Synchronized-Security-Konzept, bei dem Endpoints, Server und Firewalls als System agieren und unter anderem den Sicherheitszustand der Geräte austauschen, auch auf seine WLAN-APs (Access Points) ausgeweitet. Damit kann ein WLAN Access Point des Herstellers den Sicherheitszustand eines Geräts feststellen: Läuft ein aktueller Endpoint-Schutz auf dem Gerät? Ist keine Bedrohung festgestellt? Hat das Gerät die aktuelle Mobilbetriebssystemversion installiert? Weist es weder einen Jailbreak noch Rooting auf?

Auf diese Weise erlaubt der AP nur sicheren Geräten den Zugriff auf interne WLAN-SSIDs. Eine andere Variante, die das WLAN zu einer Gefahr im Unternehmen machen kann, sind nicht autorisierte Access Points. Vielfach binden unwissende Mitarbeiter, die vielleicht sogar in der Unternehmens-IT arbeiten, zusätzliche Access Points unkontrolliert in das Netzwerk ein. Ein solcher sogenannter „Rogue Access Point“ ist dann unkontrolliert im Netzwerk und damit offen für jegliche Gefahr von außen. Ohne eine automatische Erkennung des Sicherheitsstatus können Angreifer über diesen Rogue Access Point leicht tief in das Netzwerk eindringen – insbesondere, wenn es nicht sauber segmentiert ist – und ihr Unwesen treiben, bis hin zum Datendiebstahl oder zur Datenverschlüsselung via Ransomware.
In einem weiteren und zunehmend verbreiteten Szenario bieten Angreifer den Mitarbeitern eines Unternehmens Fake-WLANs an, mit denen sich die Mitarbeiter automatisch und ohne zu zögern verbinden, da der Angreifer entscheidende Merkmale, etwa Name oder SSID des eigentlichen Firmennetzes, kopiert hat. Hierbei redet man von „Evil Twins“ (bösartigen Zwillingen). Damit hat der Angreifer leichtes Spiel, geheime Daten oder Passwörter zu ergaunern. Die Konsequenz: Der Angreifer gelangt so an die echten Zugriffsdaten auf das WLAN und kann sich sehr lange unbemerkt im Netzwerk aufhalten.

Starke Partner: WLAN und Security

Leider sind die genannten WLAN-Gefahrenszenarien für Unternehmen keine Schauermärchen. Sie sind tagtägliche Realität für Security-Verantwortliche in den IT-Abteilungen. Die jüngsten Angriffe der Malware Emotet beweisen das eindrücklich. Im Februar 2020 attackierte Emotet erstmals auch WLAN-Umgebungen. Die Malware klinkt sich in schlecht gesicherte Funknetze ein und nutzt diverse Methoden, sich weiter zu verbreiten.

Der Schädling versucht sich anzumelden und probiert dazu systematisch – und oft erfolgreich – Passwörter aus einer Liste durch. Danach infiziert Emotet weitere im WLAN befindliche Rechner, um an Dateifreigaben und Windows- beziehungsweise Active-Directory-Konten zu gelangen. Alle Informationen und insbesondere die Namen der Funknetze und deren Passwörter meldet der Schädling seinem Command-and-Control-Server (C2). Damit all dies nicht passiert, existieren Möglichkeiten, das WLAN inklusive seiner Access Points ebenso in die Unternehmens-Security zu integrieren, wie es viele andere Bereiche der IT-Infrastruktur bereits seit geraumer Zeit sind. Selbstverständlich helfen hohe Verschlüsselungsstandards (mindestens WPA2) oder sehr gute Passwörter für die Zugänge, um eine gewisse Kontrolle über die WLAN-Nutzer am Access Point zu erzielen. Rogue Access Points oder gar Evil Twins lassen sich damit jedoch ebenso wenig verhindern wie eine Infizierung des Netzwerks über einen bekannten Anwender.

In diesem Fall hilft nach heutigem Stand der Technik nur eine Integration des WLANs in die Unternehmens-Security. Und auch hier haben klassische „Best of Breed Security“-Inseln an den einzelnen Stellen im Firmennetz und auf den Endpoints kaum Chancen, sich gegen moderne Malware zu wehren.

Ganzheitlicher Ansatz gefordert

Grundsätzlich hilft nur ein ganzheitlicher Ansatz, bei dem ein Unternehmen das WLAN samt seiner Access Points in eine vernetzte und intelligente Security einbindet. Mit Synchronized Security lässt sich nicht nur der Datenverkehr im gesamten Unternehmensnetz kontinuierlich nach schädlichem Verhalten untersuchen, man hat auch den kompletten Überblick über den aktuellen Status des Netzes sowie über die verbundenen Geräte.

Ein weiterer Vorteil der Synchronisierung zwischen Security und WLAN ist es, dass man im Fall einer Unregelmäßigkeit sofort und automatisiert handeln kann. Ein infiziertes Gerät, das sich ins WLAN einklinken möchte, lässt sich umgehend vom Rest des Netzwerks isolieren, um eine Ausbreitung der Gefahr zu unterbinden. Bei der Erkennung auch von komplexen und modernen Angriffen im WLAN oder am Access Point helfen zudem moderne Methoden wie eine künstliche Intelligenz (KI).

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH