IT-Sicherheit und Datenschutz

Sicheres Firmen-WLAN

Sicheres Firmen-WLAN

WLAN-Verbindungen im Unternehmen sicherer machen

Ungenügende Sicherheitsmassnahmen rund um das Firmen-WLAN machen es Hackern leichter, in Ihre IT-Infrastruktur einzudringen und Schaden anzurichten. Die folgenden Massnahmen sorgen dafür, dass die WLAN-Verbindungen in Ihrem Betrieb sicherer sind.

Das Eindringen allein verursacht noch keinen Schaden, es entspricht quasi dem Aufbrechen der Wohnungstür. Doch haben sich die Hacker erst Zugriff zu Ihrem Netzwerk verschafft, können sie vertrauliche Firmendaten und -unterlagen stehlen – mit gravierenden Folgen für Sie. 

Schützen Sie Ihr WLAN

Der Zugang zu Ihrem WLAN muss mit einem sicheren Passwort geschützt sein.

Vermeiden Sie folgende häufigen Fehler:

  • WLAN-Standardpasswort beibehalten
    Viele WLAN-Router werden mit einem Standardpasswort ausgeliefert. Ändern Sie es ab! Meist lässt sich das Passwort im Kundencenter Ihres Internetanbieters anpassen.
  • Router-Standardpasswort beibehalten
    WLAN-Router werden häufig mit einem Standardpasswort für den Zugang zur Administrationsoberfläche ausgeliefert. Auch dieses sollten Sie nicht beibehalten. Konsultieren Sie das Handbuch Ihres Geräts, um sich auf der Administrationsoberfläche einzuloggen und das Standardpasswort für die Oberfläche zu ändern. Häufig führt folgendes Vorgehen zum Ziel: Geben Sie in Ihrem Internetbrowser «http:/192.168.1.1» ein, über diese Site kommen Sie zu den Einstellungen Ihres Routers. Geben das bestehende Passwort ein und definieren Sie dann ein neues. 
  • Ein Passwort für alles
    Verwenden Sie für alle passwortgeschützten Geräte in Ihrem Betrieb unterschiedliche Passwörter. Sonst hat ein Hacker mit einem einzigen Passwort gleich Zugriff auf all Ihre Systeme.

Schützen Sie den WLAN-Router

Der Reset- und der WPS-Button Ihres WLAN-Routers dürfen für Unbefugte nicht frei zugänglich sein. Mit dem Drücken des Reset-Buttons würde Ihr WLAN auf die Werkeinstellungen zurückgesetzt, was Ihre Verbindung möglicherweise stört. Durch Drücken des WPS-Buttons können Geräte ohne Eingabe (bzw. ohne Kenntnis) des Passworts mit dem WLAN verbunden werden.

Einen solchen WPS-Button findet man auf einer Vielzahl handelsüblicher Router. Für die schnelle Verbindung von Geräten ist er sehr praktisch, birgt jedoch viele Gefahren, sobald er frei zugänglich ist. Unbefugte können dann mit einem einfachen Knopfdruck Zugang zu Ihrem WLAN erlangen.

TippAm besten bewahren Sie Ihren Router in einem abschliessbaren Raum auf oder hängen ihn an eine nur schwer erreichbare Stelle.

Ändern Sie den Netzwerknamen

Die SSID (Service Set Identifier) ist der Name Ihres Netzwerks, den die Leute sehen, wenn sie sich mit Ihrem WLAN verbinden. Eine gute SSID sollte das Netzwerk leicht identifizierbar machen, aber keine Informationen über den Internetdienst oder die installierten Geräte enthalten. 

Der SSID-Name sollte daher weder Ihren Firmennamen noch irgendwelche Informationen über den Hersteller und das Modell des Routers enthalten. Empfehlenswert sind Namen wie:

  • «Corporate-Team» für den WLAN-Zugang Ihrer Angestellten
  • «Corporate-Gast», wenn Sie Gästen Zugang zu Ihrem WLAN geben möchten
Tipp Beantragen Sie bei Ihrem Anbieter mehrere Zugänge auf Ihrem WLAN Access Point. So können Sie die Netzwerke für unterschiedliche Personengruppen problemlos trennen.

Tipps fürs Gäste-WLAN

Ihre Kunden und Geschäftspartnerinnen schätzen es, wenn sie in Ihren Firmenräumen problemlos auf ein WLAN zugreifen können. Mit diesen Tipps halten Sie das Gäste-WLAN sicher:

  • Grenzen Sie das Gäste-WLAN vom restlichen Firmennetz sauber ab, indem Sie eine separate SSID für Gäste konfigurieren. So haben Gäste keinen Zugang zum Firmennetzwerk.
  • Bieten Sie den Gästen nur dort WLAN an, wo es auch genutzt werden soll, etwa in Sitzungszimmern oder im Wartebereich beim Empfang. Schalten Sie das separierte Gäste-WLAN aus, wo es nicht benötigt wird – etwa in temporär genutzten Konferenzräumen oder an Orten, die der Öffentlichkeit gar nicht zugänglich sind.
  • Achten Sie darauf, wer Ihr Gäste-WLAN nutzt. Denn sollten aus Ihrem Netzwerk Schäden verursacht werden, können Sie haftbar sein und müssen auf die Verursacher zurückgreifen können. Im Idealfall geben Sie Ihren Gästen ein Passwort für das WLAN, das mit deren Namen verbunden ist.

Aktualisieren Sie die Firmware

Firmware ist diejenige Software, die direkt auf Ihrem Router oder WLAN-Zugangspunkt läuft. Prüfen Sie diese regelmässig auf Aktualisierungen, die wichtige Sicherheitspatches enthalten, also Korrekturen von Sicherheitslücken, über die Hacker in Ihr Netzwerk eindringen könnten. 

Tipp Sie können jederzeit auf dem Webportal des Routers nachschauen, welche Firmware-Version aktuell auf Ihrer Internetbox installiert ist. Bei Swisscom oder UPC etwa wechseln Sie dazu in den «Experten-Modus» und klicken im Menü auf «Internet-Box», «Firmware». Beachten Sie, dass Sie nur auf das Webportal zugreifen können, wenn Sie innerhalb des Netzwerks mit Ihrer Internetbox verbunden sind. Es lohnt sich, in regelmässigen Abständen, zum Beispiel halbjährlich, nachzusehen, ob eine neue Version der Firewall vorhanden ist.

WPA-Zugriff – nutzen Sie eine aktuelle Version

WEP, WPA, WPA2 oder WPA3 sind Arten drahtloser Sicherheitsverfahren bei der Anmeldung im WLAN. Insbesondere WEP, aber auch WPA sind veraltet und unsicher. Verwenden Sie daher mindestens WPA2, falls möglich besser WPA3.

Bei den meisten WLAN-Routern müssen Sie sich im Webportal des Routers anmelden, um Ihren Sicherheitsmodus und Ihre Passphrase zu konfigurieren. Kleinere Unternehmen arbeiten in der Regel mit auf den Routern vorkonfigurierten Passphrasen. In den Routereinstellungen widerspiegelt sich dies meist im Begriff «PSK» – Pre-Shared Key, also vorgängig geteilter Schlüssel. Benutzen Sie also WPA2-PSK oder WPA3-PSK.

Schalten Sie die Firewall ein

Eine Firewall ist ein Sicherungssystem, das Ihr Unternehmensnetzwerk vor Angriffen von ausserhalb schützt. Je nach Fabrikat und Modell ist fast bei allen Routern bereits eine Firewall verbaut. Stellen Sie sicher, dass diese aktiviert ist. In den meisten Fällen kommen Sie über die Einstellungen Ihres Routers dazu, indem Sie in Ihrem Internetbrowser die Seite «http:/192.168.1.1» aufrufen.

Nach Aktivieren der Firewall sollten Sie Ihre Routereinstellungen überprüfen und die Option «Universal Plug and Play» (UPnP) deaktivieren. Denn UPnP ermöglicht Geräten in Ihrem Netzwerk, eigenständig Löcher in der Firewall zu konfigurieren, sodass diese in ihrer Schutzfunktion möglicherweise massiv eingeschränkt wird.

Für grössere Unternehmen lohnt es sich ausserdem, eine sogenannte Second-Line – eine zweite, separat Ihnen zugewiesene Firewall – zwischen dem Router und dem Unternehmensnetzwerk einzurichten. Die Second-Line-Firewall ist als zweite Verteidigungslinie gedacht für den Fall, dass die Firewall des Routers versagt oder schlecht konfiguriert ist. Spezialisierte Firewallgeräte bieten ausserdem häufig viele weitere Funktionen, um einzelne Netzwerksegmente voneinander zu trennen. Etwas, was mit der vergleichsweise einfachen Firewall handelsüblicher Router, wenn überhaupt, nur rudimentär umsetzbar ist.

Tipp Die Konfiguration einer solchen Firewall ist ein bisschen komplizierter als die Firewall auf dem Router selber, weshalb es sich lohnt, dafür einen IT-Dienstleister beizuziehen.

Nutzen Sie VPN

Die Datentransportnetze sind grundsätzlich nicht sicher. Darum sollten Sie ihnen nicht blind vertrauen. Das gilt sowohl für kabelgebundene Verbindungen als auch für kabellose (Wireless).

Tipp Um mehr Sicherheit zu gewinnen und eine abgeschirmte Datenübertragung sicherzustellen, sollten Sie möglichst immer eine VPN-Verbindung oder sogenannte Terminal-Services nutzen.

Lassen Sie die Firmennetzwerke regelmässig checken

Lassen Sie Ihre Firmennetzwerke ein- bis zweimal pro Jahr von einer Cybersicherheitsfirma auf Sicherheitslücken überprüfen. Geeignete Firmen sind beispielweise «it-sicherheit» von Dreamlab-Technologies, InfoGuard oder WolfSec

Mit solchen regelmässigen Checks erkennen Sie mögliche Gefahren frühzeitig und können sie beheben.