Computer sind miteinander über ein Netzwerk verbunden. Ein Netzwerk kann so groß sein wie das Internet, aber auch ein kleines Heimnetzwerk ist bereits ein Netz.
Netzwerke nutzen Protokolle zur Kommunikation zwischen Computern und verbundenen Geräten, welche Knoten (Nodes) genannt werden. Ein Netzwerkknoten ist jedes physische Gerät, das mit dem Netzwerk verbunden ist und in der Lage ist, im Netzwerk Daten zu erstellen, zu empfangen oder zu senden. Üblicherweise hat jeder Knoten seine eigene IP-Adresse, an der sich erkennen lässt, welches Gerät Daten sendet oder empfängt. In einem Heimnetzwerk sind PC, Smartphone, Drucker und Internetrouter allesamt Knoten im selben Netzwerk.
Das Internet als Netzwerk
Das Internet ist im Wesentlichen ein Netz aus Netzwerken. Es verbindet einzelne Netzwerke von Haushalten, Regierung und Unternehmen, indem es die Datenübertragung über verschiedene Netzwerknoten ermöglicht. So können Daten in einem Augenblick um die ganze Welt reisen.
Dieses Netz der Netzwerke ermöglicht die Verbindung der Knoten eines Netzwerks den Knoten eines anderen, um Daten vom Sender zum Empfänger zu schicken. Da es keine zentrale Stelle gibt, die alle Knoten im Netzwerk steuert, spricht man von einem verteilten Netzwerk (Distributed Network). Dies ist ein wesentlicher Aspekt für die Integrität des Internet und der darüber ausgetauschten Daten.
Im Beispiel unten steht jeder Punkt für einen Knoten und bei jedem Knoten kann es sich um einen Routingdienst oder ein ganzes Netzwerk handeln. Die Daten werden von A nach Z im Internet über mehrere Knoten geschickt, anhand der Routinginformationen der Knoten. Diese Route muss nicht für jedes Datenpaket gleich aussehen. Nicht jeder Knoten muss wissen, welche Art Netzwerk es ist, sondern nur, welches der nächste Abschnitt auf der Route Richtung Ziel ist.
Befassen wir uns eingehender mit Netzwerken und der Verbindung mit dem Internet und anderen Knoten. Das Bild unten zeigt ein Beispiel.
Das Internet ist ein Netz aus Netzwerken. Ihr Heimnetzwerk ist schlicht ein Netzwerk im verteilten Netzwerk des Internet.
Heimnetzwerke und lokale Netzwerke
Wenn Sie sich zuhause mit einem Netzwerk verbinden, sei es per Kabel oder drahtlos, befinden Sie sich in einem separaten Netzwerk, das an das Internet angeschlossen ist, üblicherweise über einen Router. Der Router stellt den Internetzugang her und weiß, welche Geräte zum Heimnetzwerk gehören und welche nicht. Genauso weiß er, wohin der Datenverkehr für unbekannte Ziele zu richten ist. Manche Router bieten zudem einen gewissen Schutz vor dem Datenverkehr außerhalb des Heimnetzwerks. Dieser Schutz hängt von Bauart und Modell des Routers und anderen Geräten ab, die möglicherweise zwischen Ihrem Computer und dem äußeren Netzwerk stehen. Auch Internetanbieter verfügen teils über Dienste zum Schutz Ihres Netzwerks.
Man sollte wissen, dass an jedem Knoten, über den Ihre Daten nach Verlassen des Heimnetzwerks übertragen werden, ihre Kommunikation überwacht oder abgehört werden könnte. Die Bedeutung der Kommunikationssicherheit wurde bereits im vorigen Kapitel angesprochen. In diesem Kapitel geht es darum, wie man zudem die Sicherheit des Netzwerks, in dem die Daten übertragen werden, gewährleistet.
Dazu nehmen wir Ihr Heimnetzwerk unter die Lupe.
Die meisten Heimnetzwerke bestehen schlicht aus einem Modem und/oder Router und Geräten, die drahtlos damit verbunden ist. Das Modem kann ein separates Gerät vom Router sein oder in diesen integriert. In letzterem Fall sind alle Geräte mit dem Router verbunden. Die meisten Menschen stufen ihr Heimnetzwerk (auch lokales Netzwerk oder LAN genannt) als vertrauenswürdig ein. Das heißt, die meisten Geräte blockieren Verbindungen in diesem Netzwerk nicht, z. B. zum Teilen von Daten. Der Router überträgt die Daten zwischen den Geräten über die direkte Verbindung zu ihnen statt über das Routing des Datenverkehrs durch das breitere Internet. Der Router kann alle Daten einsehen, sofern sie nicht verschlüsselt sind. Wenn Sie keine gesicherte Verbindung zu Ihrem Router haben, ist der Datenverkehr möglicherweise nicht verschlüsselt, sodass jedes Gerät in der Nähe die Radiowellen abfangen und so die Daten einsehen könnte.
Verschlüsselung eines lokalen Netzwerks
Als erstes sollten Sie eine sichere Verbindung zu Ihrem WLAN-Router herstellen. Standardmäßig nutzen die meisten Router bereits eine verschlüsselte Verbindung, aber man sollte auf einige Punkte achten:
1) Die Standardpasswörter mancher Geräte sind öffentlich bekannt. Wenn ein Angreifer Bauart und Modell Ihres Routers kennt, kann er versuchen, mit den Standardanmeldedaten Zugang zu Ihrem Netzwerk zu erlangen.
Daher sollten Sie das Standardpasswort für Ihr Netzwerk immer ändern. Genauso wie bei den Passwörtern für Online-Konten sollte auch das Passwort für Ihr lokales Netzwerk den Empfehlungen folgen (siehe Kapitel 2.3), damit es nicht zu einfach zu erraten oder per Brute Force zu knacken ist.
2) Standardmäßig kann jeder im lokalen Netzwerk auf die Konfigurationsseite des Routers zugreifen. Dazu benötigt man zwar Benutzername und Passwort, doch diese sind im Internet leicht zu finden.
Daher sollten Sie auch das Passwort für die Konfigurationsseite des Routers ändern.
3) Es kann sein, dass der Router eine ältere Verschlüsselung verwendet, die leicht zu knacken ist. Die Protokolle WEP und WPA sind veraltet und sollten gemieden werden.
WPA2 und die neue Verschlüsselungsmethode WPA3 sind sicherer. Wenn Ihr Router WPA3 unterstützt, sollten Sie dies wählen. Weiter unten erklären wir, wie Sie diese Informationen auf Ihrem Computer finden.
WLAN-Sicherheit auf einem Mac-Computer prüfen
Halten Sie die Optionstaste (alt) gedrückt und drücken Sie auf das WLAN-Icon im Dock (Leiste am unteren Bildschirmrand). Unter dem Reiter „Sicherheit“ sehen Sie, welches Protokoll verwendet wird.
WLAN-Sicherheit auf einem Windows-Computer prüfen
Bei Windows 10 klicken Sie auf das WLAN-Symbol in der Taskleiste. Klicken Sie auf „Eigenschaften“ unter dem Namen des WLAN-Netzwerks. Scrollen Sie herunter zu „Eigenschaften“, wo Sie zum Punkt „Sicherheitstyp“ gelangen.
Es gilt zu bedenken, dass die Sicherheit des lokalen Netzwerkes nur ein Teil der Netzwerksicherheit ist. Selbst wenn Sie Ihre WLAN-Verbindung verschlüsseln (z. B. mit WPA2), ist Ihr Datenverkehr nur von Ihrem Computer bis zu Ihrem WLAN-Router geschützt. Wenn Sie eine sichere Verbindung haben, wird der Datenverkehr auf dem Weg zum Router verschlüsselt, aber der Router entschlüsselt ihn zur Weitersendung. Wenn der nächste Netzwerkknoten auf der Route eine sichere Verbindung zu Ihrem Router hat, wird der Datenverkehr mit einem anderen Schlüssel verschlüsselt und zum nächsten Knoten geschickt. Wenn der nächste Knoten sich jedoch im Internet befindet, ist der Datenverkehr nur verschlüsselt, wenn ein Protokoll wie SSL oder TLS verwendet wird. Mehr zu diesen Protokollen erfahren Sie im nächsten Abschnitt zum Thema Netzwerk-Stack.
Beschränkung des Netzwerkzugriffs von außen
Wenn ein Netzwerk, z. B. ein Heimnetzwerk, mit einem anderen Netzwerk, z. B. dem Internet, verbunden wird, sollte sich die Verbindung auf das Nötige beschränken. Ansonsten kann jeder im Internet auf alle im Heimnetzwerk verfügbaren Dienste zugreifen. In einem Heimnetzwerk dient üblicherweise das Modem als Filter. Diese Filterfunktion wird als Firewall (wörtlich „Brandmauer“) bezeichnet und ist in den meisten Betriebssystemen bereits integriert.
Eine Firewall begrenzt den Datenverkehr basierend auf Regeln. Die einfachsten Regeln lauten, entweder allen Verkehr zu erlauben oder allen zu sperren. Manche Firewalls haben zahlreiche Funktionen und ermöglichen beispielsweise die Analyse des Datenverkehrs, um zu entscheiden, was zulässig ist.
Firewalls gibt es als Software oder Hardware. Es empfiehlt sich, auf beides zu setzen. Eine Software-Firewall auf dem Computer schützt Sie vor Bedrohungen in Ihrem Netzwerk. Dazu gehören Viren, Bugs und Schadsoftware, die Ihren Computer beschädigen oder die Kontrolle darüber übernehmen können. Eine Hardware-Firewall hilft, Ihr lokales Netzwerk gegenüber dem Internet zu schützen. Ein Beispiel dafür ist ein Modem, ein physisches Gerät, das das Netzwerk begrenzt, indem es den ein- und ausgehenden Verkehr überwacht.
Die meisten Firewalls arbeiten auf Ebene von Paketen (mehr zu Paketen im nächsten Abschnitt zum Netzwerk-Stack). Sie filtern Pakete anhand deren Typ, Senderadresse und Port oder Empfängeradresse und Port. Fortschrittlichere Firewalls der nächsten Generation bieten weitere Funktionen wie die Überwachung verschlüsselten Datenverkehrs, Anti-Viren-Scanner, Eindringungserkennung und Paketprüfung. Manche Firewalls unterstützen Stateful Packet Inspection (SPI, zustandsorientierte Paketüberprüfung).
Der Router in Ihrem Heimnetzwerk verfügt wahrscheinlich über eine einfache Firewall, die den (meisten) Datenverkehr ins Internet erlaubt, aber den Datenverkehr aus dem Internet sperrt, sofern sie ihn nicht eingeleitet haben, indem sie z. B. eine Website angefragt haben. In dem meisten Fällen, insbesondere in Unternehmen, bietet eine einfache Firewall keinen ausreichenden Schutz.
Denken Sie daran, was passiert, wenn Sie z. B. ein öffentliches WLAN nutzen, um Ihre E-Mails zu lesen. Wenn es sich dabei um eine unverschlüsselte Verbindung handelt, kann das Netzwerk den Inhalt der E-Mails sehen. Wenn Sie nicht in einem vertrauenswürdigen Netzwerk wie dem zuhause sind, wer kontrolliert dann das Netz? Können Sie sich sicher sein, dass niemand die unverschlüsselten Informationen aus Ihrem lokalen Netzwerk mitliest? Wenn Sie auch Filesharing-Dienste (z. B. AirDrop) in ihrem Netzwerk aktiviert haben, könnte jeder mit Zugang zum Netzwerk diese kontrollieren.
Ein Beispiel für WLAN-Attacken aus der echten Welt gab es im Jahr 2015, als ein Hackerteam zeigte, wie riskant es ist, ein ungesichertes WLAN zu verwenden. Das Team demonstrierte die Risiken, indem es drei britische Politiker hackte, obwohl diese wussten, dass sie am Experiment teilnahmen.
Zero Trust
Das Zero-Trust-Modell („Vertraue keinem“) ist ein Begriff, der im Bereich Sicherheitsarchitektur immer häufiger fällt. Dieses Modell bedeutet: Statt dem internen Netzwerk und den Geräten darin zu vertrauen sollte man sie grundsätzlich als feindlich erachten. Folglich müssen alle Geräte authentifiziert und ihre Sicherheit überprüft werden, bevor sie Zugriff zum Netzwerk erhalten.
Netzwerksegmentierung (die Unterteilung von Netzwerken in Segmente mit kontrollierten Grenzen und streng geregelten Zugriffsrechten) ist eine der gängigsten Methoden für mehr Kontrolle, zumindest in Unternehmensnetzen. Die Überwachung der Geräte und Verbindungen ist ausschlaggebend für das Zero-Trust-Modell.
Normalerweise erlaubt ein Heimnetzwerk es allen Geräten, sich zu verbinden und innerhalb des Netzes zu kommunizieren. Bei Zero Trust hingegen haben nur verifizierte Geräte Zugang und die gesamte interne Kommunikation muss ebenfalls authentifiziert werden. In der Praxis ist Zero Trust in einem Heimnetzwerk schwer machbar, da die meisten Geräte keine Authentifizierung unterstützen oder eine direkte Verbindung und Kontrolle anderer Geräte erfordern.
Ein klassischer Smart-TV zum Beispiel erlaubt alle Verbindungen, da er für den Einsatz in vertrauenswürdigen Netzwerken ausgelegt ist. Wenn Ihr Partner nebenan aus Versehen über sein Handy einen Film anhält, ist das vielleicht nervig, aber wenn man sein Heimnetzwerk mit Unbekannten teilt (z. B. Airbnb-Gästen), ist die Frage der Sicherheit von großer Bedeutung.