Die Suche nach dem sicheren offenen WLAN

Die Suche nach dem sicheren offenen WLAN

Dominik Bärlocher
von Dominik Bärlocher
Lesezeit: 10 Minuten

Ein schwieriger Fall ist kürzlich vor dem Kreisgericht im st. gallischen Rorschach gelandet: Ein Wirt ist beschuldigt worden, Kinderpornographie auf einen seinen Computer geladen zu haben. Das ist klar illegal und die Logdaten des Netzwerkes der Gaststätte zeigten zweifelsfrei an, dass tatsächlich Kinderpornographie heruntergeladen wurde. Doch eines machte die Ermittler stutzig.

Trotz forensischer Analyse des Netzwerkes und aller Computer im Gebäude sowie der vollen Kooperation des Angeklagten standen die Ermittler zum Zeitpunkt der Verhandlung vor dieser Situation:

Der Wirt wurde beschuldigt, ein relativ altes Filesharingprogramm namens eMule verwendet zu haben, um die Daten herunterzuladen und anzusehen. Damit er nicht erwischt werden kann, so besagt die Anklage, habe er ein Programm installiert, das die heruntergeladenen Daten löscht, sobald der Computer ausgeschaltet wurde.

Am Ende der Verhandlung wurde der Wirt freigesprochen. Nicht nur, weil die heruntergeladenen Filmdateien wie auch das Löschprogramm nicht gefunden worden. Geholfen hat das Argument der Verteidigung, die geltend machte, dass der Wirt zur Mittagszeit schwer in der Küche beschäftigt ist und daher schlicht keine Zeit hat, sich irgendetwas am Computer anzuschauen, sei es nun Pornographie oder nicht.

Doch wie kamen diese Logdaten zustande? Einfach. Der Angeklagte hat seinen Gästen gratis Internetzugang angeboten. Er hat ein passwortgeschütztes WLAN betrieben, dessen Passwort auf einem Schild im Restaurant stand. Daher könnte jeder im Gebäude die illegalen Daten heruntergeladen haben. Das Gericht kam zum Schluss, dass der Kreis der Verdächtigen in einem gut laufenden Restaurant recht gross ist. Daher: Freispruch.

Was tun, wenn der Angreifer aus dem eigenen Netz kommt?

Restaurantgäste haben im Laufe der jüngeren Geschichte die Erwartung entwickelt, dass es in einem Restaurant gratis WLAN gibt. Das führt zu einer Reihe an Problemen, die nicht alle mit Pornographie zu tun haben.

Die IT-Infrastruktur des Restaurants

«Dieser Fall ist etwas speziell», sagt der verhandelnde Kreisrichter Olav Humbel. Der Wirt habe seinen Gästen nicht nur ein WLAN zur Verfügung gestellt, sondern auch Computer. Das ist schlecht. Sehr schlecht. Es hat den Wirt in die Bredouille gebracht und ist daher sicherlich kein zukunftsträchtiges Servicemodell.

Auch trotz Loglösungen kann es vorkommen, dass das Logging umgangen werden kann. «Wir haben darüber verhandelt, ob der Mann unter Umständen TOR verwendet haben könnte. Oder andere Methoden um unerkannt zu bleiben», sagt Humbel.

Als erstes, lassen wir das mit der Idee, dass wir den Gästen unseres fiktionalen Restaurants, das wir im Rest dieses Artikels mit WLAN ausstatten werden, Computer zur Verfügung stellen würden. Wir bleiben bei der weit gewöhnlicheren Methode, dass wir den Gästen ein WLAN anbieten.

Die Lösung wäre einfach: Mehr Überwachung. Überwachen wir einfach den gesamten Verkehr des Netzwerks und weisen jedem Gerät eine eindeutige ID zu. Aber das ist keine Lösung, die wir vertreten werden. Das Gesetz besagt, dass jeder so lange unschuldig ist, bis seine Schuld bewiesen ist. Mit dieser Form der Überwachung kehren wir das um und gehen von der Schuld unserer Nutzer aus, da die Nutzer sich so für alle ihre Handlungen in unserem Netz im Zweifelsfall rechtfertigen müssen und wir als bedrohende Kontrolleinheit hinter dem Service stehen.

Content Filter

Die einfachste vertretbare Lösung liegt darin, sicherzustellen, dass die Nutzer nicht auf illegale Inhalte zugreifen können, indem wir einen Content Filter aktivieren. Viele Anbieter Content Filterings versprechen phänomenale Resultate. McAfee schafft es, einen Satz zu dem Thema mit einer beeindruckenden Menge Buzzwords vollzustopfen.

McAfee Next Generation Firewall deep inspection technology can be augmented with URL category-based filtering for HTTP traffic. With this feature, Next Generation Firewall protects users and businesses from the risk of exposure to inappropriate and malicious web content.

Die meisten Content Filter arbeiten mit einer Blacklist. Nicht nur URLs werden gefiltert, sondern auch Schlüsselwörter auf Websites. Einige Filter können konfiguriert werden, andere nicht. Content Filter sind nicht mal ansatzweise so effektiv, wie erhofft. Es gibt unzählige Wege, die Filter zu umgehen, einige davon sind primitiv und banal. Menschen, die illegale Inhalte verbreiten wollen, werden die Software umgehen können, indem sie ihr vorgaukeln, dass ihre Daten legal seien.

Content Filter sind trotzdem nicht die übelste Idee aller Zeiten in einem öffentlichen Raum, selbst wenn sie nicht den erwarteten Sicherheitsstandard eines Restaurant-WLANs erfüllen.

Psychologische Barrieren

Wenn die einfache Lösung des Content Filterings nicht funktioniert, dann könnte Gedankenmanipulation funktionieren. Nutzer könnten gezwungen werden, sich einzuloggen. Die Prozedur ist einfach und jeder Nutzer kennt sie von Orten wie Starbucks oder McDonalds oder Flughafen. Die Methode funktioniert so:

  1. Nutzer verbindet sich mit dem WLAN
  2. Um ins Internet zu gelangen, müssen Nutzer eine Telefonnummer hinterlegen
  3. Sie erhalten eine Bestätigung per SMS
  4. Sie erhalten Zugang zum Netz

So werden Nutzer an eindeutige Identifikatoren gebunden. Das Problem hierbei ist, dass die Methode nicht funktioniert, wenn ein Nutzer ein Laptop mitbringt da dieses keine SMS-Funktion beinhaltet. Doch selbst wenn es keine SMS-Verifikation gibt, so sind Nutzer doch eher bereit, eine gültige Telefonnummer einzugeben.

Die Methode ist aber nicht verlässlich, denn auch wenn jemand seine echte Telefonnummer eingibt, heisst das nicht, dass er sich im WLAN benehmen wird. Zudem gibt es eine Reihe von Onlinediensten, die Telefonnummern zur Verfügung stellen, damit Registrationscodes empfangen werden können. Damit diese Methode gewählt werden kann, muss das Mobiltelefon aber über mobilen Datenempfang verfügen, was aber mittlerweile Standard ist. Die Alternative: Nutzer müssen eine E-Mail-Adresse eingeben. Aber das Problem mit der Registration ist dennoch nicht behoben, da auch Wegwerf-Mailadressen existieren.

Die sichere Alternative: Die Haftung abschieben

Es gibt eine Variante der Registration. Diese hat aber einen grossen Nachteil und stellt nicht den besten Service der Welt dar. Kurz: Wir schliessen mit einem Internet Service Provider einen Vertrag ab, der ihn einen Access Point in unserem Restaurant installieren und betreiben lässt.

Eine ideologische Randnotiz: Mit diesem Weg werden Sie zum Mitwirkenden der zunehmenden Datensammlung in Sachen Big Data. Ob das für Sie ein Problem darstellt oder nicht, das liegt bei Ihnen allein.

Änderung des Blickwinkels

Bisher haben wir nur versucht, unsere Nutzer aufzuhalten. Das Problem hierbei ist aber, dass Menschen enorm kreativ sind, wenn es darum geht, zu bekommen was sie wollen. Schauen wir uns einmal das Profil des Menschen an, der die Kinderpornographie heruntergeladen hat und am Ende einen 44jährigen Wirt vor das Gericht gebracht hat.

Daher ist es Zeit, dass wir unseren Blickwinkel wechseln. Es wird nie möglich sein, illegale oder generell unerwünschte Inhalte vollständig einzuschränken. Das ist ebenso tragisch wie erstaunlich, da es beweist, dass die Menschheit weiterhin neugierig und erfinderisch bleibt, auch wenn es aus den falschen Gründen geschieht.

Daher können wir nur sicherstellen, dass wir selbst in Sicherheit sind, dass wir nicht selbst in die Bredouille geraten können. Wir sind am Punkt angelangt, an dem wir als fiktionale Restaurantbetreiber aufhören müssen zu denken, dass wir gegen unsere Nutzer arbeiten und eine Mentalität entwickeln, die wir mit unserem Essen sowieso schon haben: Wir geben den Nutzern, was sie wollen.

Das heisst jetzt nicht, dass wir eine Werbekampagne lancieren, die Inhalte wie Gratis WLAN und 30GB in zwölf Ländern verbotene Pornographie propagiert, aber wir müssen uns damit zurechtfinden, dass wir schlussendlich auf der Seite unserer Kunden sind, bevorzugt ohne selbst Ärger zu bekommen. Wir können das ähnlich wie beim Essen sehen. Wir servieren frische Zutaten, weil die Gäste gerne gut essen und weil wir keine Lust haben, mit dem Gesundheitsamt Ärger zu bekommen, weil wir verdorbenes Gemüse auftischen.

Sicherheit im eigenen Netz

Unter diesem Blickwinkel wird die Lösung noch einfacher. Plötzlich sehen wir uns einem arg reduzierten Angreiferfeld gegenüber. Es bleibt nur ein Gegner: Wir selbst. Schauen wir also, was unsere Nutzer, kreativ und geschickt, uns so alles antun könnten und gehen wir damit um.

Mit diesem Lösungsansatz wird Ihr Netzwerk am Ende im Idealfall verschlüsselt und der Verkehr darin wird anonymisiert sein. Aber sie können immer noch verurteilt werden, davon abhängig, wie Anwälte und Richter die Sache sehen. Sie könnten für die Beihilfe ins Gefängnis wandern, da Sie ein Umfeld schaffen, das illegale Aktivität schützt. Es existieren vorbeugende Massnahmen, die aber nicht als garantierten Schutz vor dem Gesetz gesehen werden können.

Also… kein WLAN?

Ein öffentliches WLAN zu betreiben ist riskant. Wie wir im Fall vor dem Kreisgericht Rorschach gesehen haben, kann der Betrieb zu Ärger mit dem Gesetz führen. Sie können die Bedrohung mit technologischen, psychologischen und rechtlichen Methoden minimieren, aber ein Restrisiko bleibt. Einige Methoden zur Risikoreduktion erfordern grössere Aufwände.

Die wohl beste Lösung ist es, einen externen Internet Service Provider ins Haus zu holen, der die Internetverbindung zur Verfügung stellt und wartet. Das löst das Problem zwar nicht, aber sollte Sie vor rechtlichen Problemen bewahren. Allerdings bringt das eine Reihe weiterer Probleme mit sich, wenn Sich zu einer Ideologie bekennen, die Big Data abschwört.

Über den Autor

Dominik Bärlocher

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv