Ich erinnere mich an einen Montagmorgen bei einem mittelständischen Automobilzulieferer in Baden-Württemberg. Der IT-Leiter war stolz darauf, sein Budget geschont zu haben. Er kaufte teure Access Points mit integrierter Sicherheitsfunktion und war überzeugt, damit ein vollwertiges WIPS Wireless Intrusion Prevention System implementiert zu haben. Zwei Monate später scannte ein Prüfer das Gelände. Ein Mitarbeiter hatte in der Kantine einen privaten LTE-Router an eine Netzwerkdose gesteckt, um die Firewall-Sperren für Streaming-Dienste zu umgehen. Die vorhandene Infrastruktur sah diesen "Rogue Access Point" zwar, konnte ihn aber nicht lokalisieren und schon gar nicht aktiv blockieren, weil die Funkchips mit dem normalen Datenverkehr der Mitarbeiter ausgelastet waren. Der Prüfer brauchte genau zehn Minuten, um über diesen Schatten-AP ins interne Fertigungsnetz zu gelangen. Der Schaden durch den Produktionsstillstand während der forensischen Untersuchung belief sich am Ende auf über 120.000 Euro. Das ist der Preis für die Annahme, Sicherheit gäbe es quasi als Gratis-Beigabe zur Hardware.
Die Lüge vom hybriden Scan-Modus im WIPS Wireless Intrusion Prevention System
In fast jedem Verkaufsgespräch wird Ihnen erzählt, dass moderne Access Points "nebenher" scannen können. Man nennt das Time-Slicing oder hybriden Modus. Die Idee klingt gut: Der Funkchip bedient kurz die Clients und springt dann für ein paar Millisekunden auf andere Kanäle, um nach Angreifern zu suchen. In der Praxis ist das grober Unfug. Ein Funkchip kann physikalisch immer nur auf einer Frequenz gleichzeitig sein. Wenn er auf Kanal 1 Daten überträgt, bekommt er absolut nichts davon mit, was auf Kanal 11 oder im 5-GHz-Band passiert.
Ich habe das oft erlebt. Die Erkennungsrate von Angriffen sinkt bei diesem Ansatz auf unter 20 Prozent. Wenn ein Angreifer ein Deauthentication-Paket sendet, dauert das nur Mikrosekunden. Wenn Ihr Access Point gerade damit beschäftigt ist, eine E-Mail für einen Mitarbeiter zu übertragen, verpasst er den Angriff schlichtweg. Ein echtes System zur Angriffsvermeidung braucht Funkmodule, die nichts anderes tun, als die Luft zu überwachen. Alles andere ist digitales Placebo. Wer hier spart, zahlt später für die Bereinigung des Netzwerks drauf.
Warum automatisches Blockieren oft nach hinten losgeht
Der größte Fehler, den Sie machen können, ist das unreflektierte Einschalten der automatischen Abwehrmodus-Funktion. Ich habe Administratoren gesehen, die am Freitagabend "Auto-Containment" aktiviert haben und am Montagmorgen vor verschlossenen Türen standen, weil das System die Drucker des Nachbarbüros als Bedrohung eingestuft und deren Funkverbindung gekappt hatte. Das Resultat war eine Schadensersatzforderung wegen Geschäftsschädigung.
Die Gefahr von False Positives bei der Funk-Abwehr
Drahtlose Signale halten nicht an Brandschutzmauern. Das System sieht die WLANs der Umgebung. Wenn die Logik dahinter nicht penibel auf Ihre eigene Infrastruktur abgestimmt ist, startet die Hardware einen Denial-of-Service-Angriff gegen völlig legale Netzwerke in der Nachbarschaft. In Deutschland kann das rechtlich sehr schnell sehr hässlich werden. Eine aktive Funk-Interferenz ist ein Eingriff in fremde Netze. Sie müssen definieren, was "Ihnen" gehört und was "fremd, aber harmlos" ist. Ohne eine saubere Klassifizierung der SSID und der MAC-Adressen-Stämme Ihrer eigenen Geräte wird die Abwehrfunktion zur Waffe gegen sich selbst.
Falsche Platzierung zerstört die Wirksamkeit Ihres WIPS Wireless Intrusion Prevention System
Die meisten Techniker hängen Sicherheits-Sensoren genau dorthin, wo sie auch ihre WLAN-Sender platzieren: in die Mitte der Büroräume. Das ist logisch für die Abdeckung, aber fatal für die Erkennung von Eindringlingen. Ein Angreifer steht selten direkt unter dem Access Point im Konferenzraum. Er sitzt auf dem Parkplatz im Auto oder im Treppenhaus.
Ich habe Projekte gesehen, bei denen die Signalstärke im Kernbereich perfekt war, aber an den Außenwänden riesige Blindspots existierten. Ein Angreifer nutzt genau diese schwachen Zonen. Dort baut er sein "Evil Twin"-Netzwerk auf, das so aussieht wie das Firmen-WLAN. Da die internen Sensoren zu weit weg sind, bekommen sie die gefälschten Beacons mit niedriger Signalstärke gar nicht mit. Die Geräte der Mitarbeiter am Fenster verbinden sich jedoch freudig mit dem starken Signal von draußen.
Die Lösung ist simpel, wird aber aus Kostengründen oft ignoriert: Die Sensoren gehören an die Peripherie des Gebäudes. Sie müssen den "Perimeter" überwachen, also die Grenzen Ihres Einflussbereichs. Nur wenn die Hardware dort platziert ist, wo die Signale das Gebäude verlassen oder betreten, haben Sie eine Chance, Man-in-the-Middle-Angriffe rechtzeitig zu erkennen. Planen Sie mindestens 20 Prozent zusätzliche Hardware nur für die Grenzsicherung ein. Wenn das Management wegen der Kosten jammert, zeigen Sie ihnen die Kosten für eine DSGVO-Meldung nach einem Datendiebstahl.
Der Vorher-Nachher-Check einer erfolgreichen Implementierung
Schauen wir uns an, wie eine typische Fehlplanung im Vergleich zu einer professionellen Umsetzung abläuft.
Nehmen wir ein zweistöckiges Bürogebäude. Im falschen Szenario kaufte die Firma zehn Standard-Access-Points. Die Administratoren aktivierten in der Software die Sicherheitsfunktionen. Wenn ein Techniker mit einem Kali-Linux-Laptop vor der Tür stand und ein gefälschtes Netzwerk mit der Firmen-SSID startete, passierte minutenlang gar nichts. Die Access Points waren zu 80 Prozent mit dem Datenverkehr der Videokonferenzen ausgelastet. Erst nach fünf Minuten gab es eine Warnmeldung in einer Konsole, die niemand aktiv beobachtete. Der Angreifer hatte zu diesem Zeitpunkt bereits drei Passwörter abgegriffen.
Im richtigen Szenario wurden acht Access Points für die Daten und vier zusätzliche, dedizierte Sensoren installiert. Die Sensoren wurden speziell an den Glasfronten und beim Haupteingang platziert. Als der Techniker denselben Angriff startete, dauerte es exakt vier Sekunden. Der Sensor am Eingang erkannte das fremde Gerät mit der identischen SSID, sah aber, dass die MAC-Adresse nicht zum autorisierten Inventar gehörte. Das System löste sofort einen Alarm aus und schickte dem Admin eine Push-Nachricht. Gleichzeitig schickte der Sensor gezielte Pakete aus, die die Verbindung zwischen dem Laptop des Angreifers und den Endgeräten der Mitarbeiter störten. Der Angriff war vorbei, bevor die erste Website auf dem Laptop des Angreifers geladen wurde. Das ist der Unterschied zwischen "wir haben da was eingestellt" und echter Sicherheit.
Die Unterschätzung der Hardware-Forensik und Lokalisierung
Ein Alarm ist wertlos, wenn Sie nicht wissen, wo die Bedrohung physikalisch ist. Viele Systeme spucken eine Warnung aus: "Rogue AP erkannt". Toll. Und jetzt? Suchen Sie in einem 5.000 Quadratmeter großen Lagerhaus nach einem handtellergroßen Gerät? Ich habe Administratoren gesehen, die mit dem Smartphone und einer Signalstärke-App stundenlang durch Gänge gerannt sind, während der Angreifer längst über alle Berge war.
Ein professioneller Ansatz erfordert eine Triangulation. Das bedeutet, mindestens drei Sensoren müssen das verdächtige Signal empfangen können, um den Standort auf einem Grundriss auf etwa zwei bis drei Meter genau zu bestimmen. Das kostet Geld, weil es die Dichte der Hardware erhöht. Aber ohne diese Präzision ist Ihre Reaktionszeit viel zu lang. Wenn die Polizei oder der Sicherheitsdienst gerufen wird, brauchen die eine klare Anweisung: "Raum 402, hinter dem Schrank." Nicht: "Irgendwo im vierten Stock."
Der Trugschluss der Verschlüsselung als Sicherheitsersatz
Oft höre ich das Argument: "Wir nutzen WPA3 und Zertifikate, da kann uns nichts passieren." Das ist gefährlich kurzsichtig. Verschlüsselung schützt die Dateninhalte, aber sie verhindert keine Denial-of-Service-Angriffe oder das Ausspähen von Metadaten. Ein Angreifer muss Ihr WLAN nicht knacken, um Schaden anzurichten. Er kann einfach die Frequenzen so stören, dass Ihre Logistik-Scanner nicht mehr funktionieren. Oder er nutzt Schwachstellen in der Implementierung der Treiber auf den Endgeräten aus, bevor die Verschlüsselung überhaupt greift.
Zudem schützt WPA3 nicht vor dem "Social Engineering" Faktor. Ein Mitarbeiter findet einen USB-WLAN-Stick und steckt ihn in seinen Arbeitsrechner, um ein privates Netz aufzumachen. Dieser Stick überbrückt die gesamte teure Firewall und die Zertifikatsprüfung. Wer hier keine aktive Überwachung der Luftschicht hat, ist blind für das, was innerhalb der eigenen vier Wände passiert. Es geht nicht nur um Hacker von außen, es geht um die Unwissenheit von innen.
Realitätscheck: Was Sie wirklich investieren müssen
Lassen Sie uns ehrlich sein. Eine effektive Strategie zur Funkraum-Überwachung ist kein Projekt, das man mal eben nebenher erledigt. Wenn Sie nicht bereit sind, mindestens 25 bis 30 Prozent zusätzlich zu Ihren normalen Netzwerkkosten für reine Sicherheits-Hardware und deren kontinuierliche Pflege auszugeben, sollten Sie es ganz lassen. Ein schlecht konfiguriertes System ist gefährlicher als gar keines, weil es eine Sicherheit vorgaukelt, die nicht existiert.
Sie brauchen jemanden, der die Alarme versteht. Wenn Ihr System 50 Warnungen am Tag generiert, weil die WLANs der Hotels in der Nachbarschaft erkannt werden, wird Ihr Team die Warnungen nach drei Tagen ignorieren. Das ist menschliche Natur. Die Abstimmung der Whitelists und die regelmäßige Überprüfung der Standortkarten sind Aufgaben, die Zeit fressen. Sicherheit ist ein Prozess, kein Produkt, das man einmal kauft und dann vergisst. Wenn Sie die personellen Ressourcen für die Nachverfolgung von Alarmen nicht haben, investieren Sie lieber in ein Managed Security Service Center, das das für Sie übernimmt. Alles andere ist eine teure Beruhigungspille für das Management, die beim ersten echten Ernstfall kläglich versagen wird. Das ist die Realität, egal was Ihnen die Hochglanzbroschüren der Hersteller versprechen. Wer das nicht akzeptiert, wird früher oder später die gleiche Erfahrung machen wie der Automobilzulieferer, von dem ich anfangs erzählte. Und glauben Sie mir, das ist ein sehr teures Lehrgeld.
Instanzen von wips wireless intrusion prevention system: 3.
