Sie nutzen in Ihrer Kanzlei einen WLAN bzw. WiFi-Router um mit mobilen Geräten ins Internet zu kommen (oder auch zu Hause)? Dann sollten Sie die nun folgenden Einstellungen unbedingt vornehmen, damit Ihre Daten sicher bleiben und ihr Router nicht für illegale Zwecke, die man ihnen zurechnen könnte, mißbraucht werden kann. Der „Einrichtungsassistent“ ist nur für die ersten Schritte hilfreich, Sicherheit sieht anders aus.
Dichten Sie Ihr Webinterface ab
Gehen Sie dazu die folgende Checkliste durch:
- Ändern Sie das serienmäßige Konfigurationspasswort (und Speichern sie es in ihrem Passwortmanager). Es steht oft auf dem Gehäuseboden des Routers und jeder, der den Raum betritt, kann davon schnell mal ein Foto machen. Wer dieses Passwort hat, kann beliebig Ihren VPN Zugang, Ihre Internet-Zugangsbeschränkungen uvm. manipulieren und den gesamten Datenverkehr umleiten und in aller Ruhe auslesen!
- Aktivieren Sie, wenn möglich, automatische Firmware-Updates, denn diese schliessen Sicherheitslücken.
Vorkehrungen im WLAN
Hier gilt die folgende Checkliste:
- Aktivieren Sie ggf. den Schutz für Steuerpakete (PMF)
- Ändern Sie den Namen des Funknetzes
- Ändern Sie das WLAN Password und speichern Sie es im Passwortmanager
- Stellen Sie als Verschlüsselung zumindest WPA2 ein und verwenden Sie dann aber ein Passwort mit 20-30 Zeichen, da es sonst mit einer Beute-Force-Attacke geknackt werden könnte.
- Sollte der Router bereits WPA3 beherrschen, so deaktiviere sie WPA2, falls möglich!
Richten Sie ein Gastnetz ein
Damit auch Mandanten, Gäste und vor allem internetfähige Hardware (Staubsauger, SmartHome, Hue, Heizung, Pool,…) Ihr WLAN nutzen können, sollten Sie ein Gastnetz aktivieren. Gestatten Sie den o.g. ausschliesslich den Zugang darüber.
- Auch dafür ein langes Passwort festlegen und im Passwortmanager speichern. Dann können sie es schnell mal Gästen per Messenger senden oder in eine Software kopieren.
- Schränken Sie das Gastnetz unbedingt auf surfen und mailen ein. Damit sind alle anderen Internetprotokolle gesperrt und es kann kaum was passieren.
Server nur mit TLS betreiben
Ihr Server ist aus dem Internet erreichbar? Dann muss er so konfiguriert werden:
- TLS-Protokolle aktivieren (das ist eine Verschlüsslung)
- Der Internetverkehr muss ebenfalls mit HTTPS verschlüsselt werden.
- Für den Zugriff aus dem Homeoffice unbedingt ein VPN (virtual privat network) einrichten. Sie kommunizieren dann sicher über einen verschlüsselten „Tunnel“ mit Ihrem Server. Viele Router verfügen bereits über diese Funktionalität.
WPS nur kurzfristig aktivieren
Das Koppeln neuer Geräte geht mit WPS schnell von der Hand – man drückt am Router und am Client eine Taste und schon tauschen die beiden ein Passwort aus und verbinden sich miteinander. Aber jeder, der physischen Zugriff auf Ihren Router hat, kann sich damit per Klick verbinden.
- Also WPS deaktivieren
- UPnP deaktivieren, nachdem alle Geräte wie Kopierer, Drucker, Smartphones, usw. verbunden sind. Sonst kann Malware Ihre Firewall leicht umgehen. Letztere bieten ohnehin kaum Sicherheit! Notfalls beschränken Si e diese Funktion auf Hosts, die es benötigen.
Konfiguration speichern
Auch ein Router hat nur eine gewisse Lebensdauer – selbst die hochwertigsten haben bei uns oft nur drei Jahre gehalten. Für eine Kanzlei, deren Zugang zum Internet existentiell wichtig ist empfehle ich folgendes:
- Speichern Sie die Konfiguration des Routers in der Cloud ab, damit sie nicht alles wieder neu einstellen müssen, wenn ein Gerät defekt ist.
- Legen Sie sich ein identisches Ersatzgerät ins Lager und spielen Sie dann ggf. die o.g. Datei ein.
- Besorgen unbedingt auch ein Ersatznetzteil dazu – diese gehen mittlerweile regelmäßig kaputt – China-Schrott eben.
Die o.g. Tipps basieren alle auf eigener Erfahrung in einer Firma mit bis zu 40 Mitarbeitern.