Sicherheitsprobleme in drahtlosen lokalen und persönlichen Netzwerken

Wie bei jeder neuen Technologie bringt auch der Einzug der drahtlosen (wireless) lokalen und persönlichen Netzwerke eine ganze Reihe von datenschutzrechtlichen Problemen mit sich. Die "drahtlose" Kommunikation bietet diverse Vorteile, wie geringere Kabelinfrastruktur und grössere Mobilität der Benutzer, denen jedoch eine verstärkte Abhörgefahr der Kommunikation (über Funkfrequenzen) gegenüber steht. In den Normen für drahtlose Netze muss das Übertragungsprotokoll daher immer die Datenchiffrierung vorsehen, die jedoch nur durch eine Public Key Infrastructure mit dem dazugehörenden technischen und organisatorischen Aufwand verwirklicht werden kann.

Für lokale Netzwerke (LAN: Local Area Networks) kam zu dem marktüblichen Ethernet-Standard IEEE 802.3 (drahtgebunden) der Standard 802.11 (drahtlos) und dessen Verschlüsselungsprotokoll WEP (Wired Equivalent Privacy) hinzu. Die Erfahrung hat aber gezeigt, dass das WEP nicht immer implementiert wird und selbst dann gewisse Lücken oder Schwierigkeiten bestehen bleiben, wenn er aktiviert ist (statische Chiffrier-Schlüssel müssen für jedes Endgerät definiert werden). Darüber hinaus teilen die drahtlosen Access Points (Zugangspunkte) beim Standard 802.11 im Umkreis von mehreren hundert Metern für alle mobilen Endgeräte dieselbe verfügbare Bandbreite (mit einer Datenrate von bis zu 11 MBit/s bei 802.11b und 54 MBit/s bei 802.11a). Bei 802.3-Switches hingegen wird die Bandbreite (10 oder 100 MBit/s) für jedes festverkabelte Gerät individualisiert und somit die Gefahr eines gross angelegten "Lauschangriffs" deutlich verringert. Der Verbindungsaufbau mit einem aktiven Access Point kann nur geschehen, wenn das drahtlose mobile Endgerät bei der Anmeldung den Netzwerknamen (SSID: Service Set IDentifier) kennt und überträgt und vor allem das Authentifizierungsverfahren der geteilten Schlüssel verwendet (WEP-Protokoll mit einem 104-Bit-Schlüssel ergänzt durch einen Initialisierungsvektor von 24 Bit). Eine Schwäche des von diesem Protokoll verwendeten RC4-Algorithmus besteht in der hohen Wahrscheinlichkeit, denselben Vektor wieder zu erzeugen. Daran zeigt sich, wie komplex die Umsetzung von kryptographischen Lösungen nach wie vor bleibt.
Für persönliche Netzwerke (PAN: Personal Area Networks), welche die drahtlose Verbindung zwischen tragbarem Computer, Personal Digital Assistant, Mobiltelefon und anderen persönlichen Geräten herstellen, gilt der auf der Bluetooth-Spezifikation beruhende IEEE-Standard 802.15 mit einem Datendurchsatz von 732 KBit/s im Umkreis von ca. 10 Metern. Glücklicherweise sind in dieser Norm auch Authentifizierungs- und Datenverschlüsselungsverfahren vorgesehen, für die wiederum Schlüssel verwaltet werden müssen. Ausrüstungen ohne Eingabetastatur scheinen somit dazu verurteilt, einen Standardschlüssel verwenden zu müssen, was sie für Lauschangriffe oder gar unkontrollierte Datenweiterleitung anfällig macht. In jedem Falle hat die Erfahrung gezeigt, dass während der Einführungsphase einer solchen Technologie Vorsicht geboten ist.

Im einem noch lokaleren Umfeld werden Tastatur und Maus immer häufiger drahtlos mit dem Arbeitsplatz verbunden. Ergonomisch und praktisch bietet diese Entwicklung unbestreitbare Vorteile, doch darf nicht vergessen werden, dass die Eingabe von Passwörtern für den Zugriff auf besonders schützenswerte Informationen häufig über die Tastatur erfolgt und die drahtlose Übertragung dieser Daten offensichtlich nicht allzu schwer abzufangen und zu entziffern ist.

[Juli 2002]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/9--taetigkeitsbericht-2001-2002/sicherheitsprobleme-in-drahtlosen-lokalen-und-persoenlichen-netz.html