WLAN-Sicherheit noch nicht in trockenen Tüchern
Technikwechsel im Schatten der Krise
Längst ist die Wirtschaftskrise auch bei den WLANs angekommen. Seit dem vierten Quartal 2008 gehen die Umsätze sowohl im Unternehmens- als auch im Provider-Sektor zurück. Allein die WLANs für kleine Büros und Home-Offices (SOHO) konnten noch einmal um zwei Prozent zulegen. Gleichzeitig übernimmt die "Generation n" trotz erneut verschobener Verabschiedung des Standards das Ruder. Im Unternehmenssektor klaffen unterdessen noch bedrohliche Sicherheitslücken.
In der Gesamtjahresbilanz für 2008 steht WLAN sehr gut da – mit 5 Milliarden Dollar lag der
Umsatz um mehr als neun Prozent über dem von 2007 und damit auf einem Rekordhoch. Verglichen auf
Quartalsebene wird der Abwärtstrend jedoch bereits deutlich. Ein Rückgang von drei Prozent, der
sich im vierten Quartal gegenüber dem dritten trotz wachsenden SOHO-Umsätzen ergibt, klingt zwar
noch nicht sonderlich dramatisch. Aber die Dell´Oro Group, die diese Zahlen kürzlich in ihrem "
Wireless LAN Report 2008" veröffentlicht hat, beobachtet auch zu Beginn des Jahres 2009 eine
deutliche Zurückhaltung bei den WLAN-Investitionen. In ihrer Prognose für das gesamte Jahr 2009
haben die Marktforscher ihre Umsatzerwartung nun auf 4,6 Milliarden Dollar zurückgeschraubt, was
einem Rückgang um sieben Prozent im Vergleich zu 2008 entspricht.
Mit knapp 2,68 Milliarden Dollar war auch 2008 der SOHO-Markt der bei weitem umsatzstärkste
WLAN-Sektor. Die Umsätze bei den Unternehmens-WLANs stiegen zwar wie schon in den vergangenen
Jahren um ähnliche Beträge wie beim SOHO-Sektor, summierten sich 2008 aber letztlich "nur" auf gut
1,93 Milliarden Dollar. Das Marktvolumen im Provider-Sektor (öffentliche WLAN-Hotspots und
Flächeninfrastruktur-WLANs beispielsweise für Stadtgebiete) fällt interessanterweise im
Gesamtvolumen kaum ins Gewicht – nach 116 Millionen Dollar im Jahr 2007 waren es 2008 sogar nur
noch 92,4 Millionen Dollar. Die noch auf das Gesamtvolumen von 5 Milliarden Dollar fehlenden 537
Millionen stammen aus IT-fremden WLAN-Einsatzgebieten – etwa in Form von Videokameras und
drahtlosen Audiosystemen.
Bei den Unternehmens-WLANs leitete das vierte Quartal 2008 zwei bemerkenswerte Entwicklungen
ein: Zum einen hob der 802.11n-Markt mit zweistelligem Wachstum ab, zum anderen brach der
traditionelle Markt mit 802.11g- beziehungsweise -a/g -Equipment so massiv ein, wie noch in keinem
einzigen Quartal seit der Einführung im Jahr 2002. Unter dem Strich ergab sich ein sechsprozentiges
Minus im Vergleich zum dritten Quartal. Und für 2009 erwarten die Auguren auch für
Unternehmens-WLANs keine Entspannung: Allein der dort mit 60 Prozent Marktanteil international
führende Player Cisco berichtete, dass die Auftragseingänge diesen Januar im Vergleich zum
Vorjahresmonat um 20 Prozent zurückgegangen seien. Ähnliches ließ auch die Nummer zwei, Aruba (8,8
Prozent Marktanteil), verlauten. Im Ranking hat sich Motorola durch die Übernahme von Airdefense
letztes Jahr den dritten Platz gesichert, HP Procurve konnte trotz Colubris-Übernahme weder dem
reinen WLAN-Unternehmen Meru dessen vierten, noch Alcatel-Lucent dessen fünften Platz streitig
machen und bleibt laut Dell´Oro-Report an sechster Stelle. Zu den weiteren bedeutenden Playern
gehören demnach nur noch 3Com/H3C und Trapeze (jetzt unter dem Dach von Belden). Alle anderen
Hersteller konnten im Sektor der Unternehmens-WLANs lediglich einstellige Millionen-Dollar-Beträge
umsetzen.
Generationswechsel im Gange
802.11n soll laut aktuellem Plan im Januar 2010 endgültig standardisiert werden. Obwohl mit
vorzeitigen Implementierungen (verfügbare n-Lösungen basieren alle auf dem seit Frühjahr 2007
definierten "Draft 2"-Vorstandard) immer ein "Restrisiko" hinsichtlich etwaiger
Kompatibilitätsprobleme mit dem finalen Standard bleibt, empfehlen einschlägige Analysten wie etwa
die Burton Group seit Mitte letzten Jahres, bevorzugt auf die neue Technik zu setzen. Ein
effizienteres WLAN-Design und die Fähigkeit, auch künftige Applikationen nutzen zu können, seien
die entscheidenden Gründe. Zudem sorge die Wi-Fi-Organisation für die reibungslose Zusammenarbeit
aller auf Draft 2 basierenden n-Produkte. Mit ihrer stärkeren Nähe zu den Erfordernissen des
Marktes habe sie sich inzwischen von dem für die Standardisierung zuständigen IEEE-Gremium
emanzipiert. Und wie die Marktzahlen belegen, genießt die Wi-Fi-Allianz offenbar auch bei den
Anwendern hohes Vertrauen. Das Industriebündnis hofft, dieses auch auf andere Bereiche übertragen
zu können. So hat die Wi-Fi im Sommer letzten Jahres ein allgemeines "Voice-Programm" eingeführt.
Schwerpunkt dabei ist die Optimierung der WLAN-Technik für Sprachübertragungen. "Das kostengünstige
Mobiltelefonieren per WLAN-Handy über einen beliebigen Hotspot rund um den Globus wird damit bald
zum Alltag werden", so Edgar Figueroa, Executive Director der Wi-Fi-Alliance. "Mit Verabschiedung
des 802.11n-Standards werden wir jedoch auch ein unternehmensgerechtes Voice-Programm auflegen."
Letzteres wird somit wohl noch bis nächstes Jahr warten müssen.
Während die permanenten Terminverschiebungen in der 802.11n-Arbeitsgruppe des IEEE inzwischen
groteske Züge annehmen, entsteht dort parallel bereits die übernächste WLAN-Generation. Im
September letzten Jahres hat die Arbeitsgruppe 802.11ac ihren Normierungsauftrag erhalten, und
dieser zielt auf das "Gigabit-WLAN" beziehungsweise "Very High Throughput", wie es im IEEE-Jargon
heißt. Sehr viele Informationen lässt die Gruppe allerdings bislang nicht heraus – fest zu stehen
scheint, dass nur noch das 5-GHz-Band zum Einsatz kommen soll und nicht mehr, wie noch mit 802.11n,
auch das 2,4-GHz-Band. Bis November 2011 will die Gruppe eine Art "Draft 2" für 802.11ac entwickelt
haben. Wann der finale Standard kommt, lässt sich nach den Erfahrungen bei 802.11n leider nicht
seriös prognostizieren – im IEEE-Planungskalender steht derzeit Dezember 2012. Möglicherweise wird
es aber 1-GBit/s-WLANs schon weit vorher geben – auf der Basis von 802.11n-Technik. So hat
Quantennas im Februar eine Reihe von Highspeed-Chips (QHS) vorgestellt, die durch den Einsatz von
n-Verfahren wie 4×4-MIMO (Multiple Input/Multiple Output) und Beamforming-Signaltechnik bereits auf
diese Übertragungsrate kommen sollen.
Security jetzt ein prozessorientiertes Problem
Spätestens seit Verabschiedung der Security-Standards WPA2 (Wi-Fi) beziehungsweise 802.11i
(IEEE) gelten die technischen Sicherheitsprobleme, mit denen WLANs früherer Generationen noch zu
kämpfen hatten, als gelöst. Die Verfügbarkeit sicherer Techniken ist jedoch noch lange kein Garant
dafür, dass entsprechende Installationen auch wirklich sicher sind. Eine alarmierende Analyse dazu
veröffentlichte kürzlich Motorola Enterprise Mobility Business (EMB) in Zusammenarbeit mit dem
Marktforschungsunternehmen Vanson Bourne. Nach dessen Untersuchung bei europäischen Unternehmen
vernachlässigen 64 Prozent ihre WLAN-Sicherheit. Mehr als die Hälfte der befragten Unternehmen
nutzen für kabellose Netzwerke keinerlei WLAN-spezifische Sicherheitsmaßnahmen. Lediglich 47
Prozent aller Unternehmen schützen ihre drahtlosen Netzwerke mit WLAN-Verschlüsselungsmethoden,
darunter jedoch auch viele, die lediglich das völlig veraltete und als unzureichend erwiesene WEP
(Wired Equivalent Privacy) einsetzen. "Es überrascht, wenn Unternehmen heute keine drahtlosen
Verschlüsselungsstandards wie WPA2 verwenden", so Amit Sinha, Fellow und Chief Technologist von
Motorola Enterprise Wireless LAN. "Jede Datenverletzung kostet ein Unternehmen zwischen 150 und 230
Euro pro beeinträchtigtem Datensatz. Diese Größenordnung übersteigt deutlich die Gesamtkosten für
Sicherheitstechniken, mit denen sich solche Gefährdungen vermeiden ließen." Hinzu kämen der Studie
zufolge zunehmend prozessorientierte Herausforderungen wie die Durchsetzung von
Unternehmensrichtlinien und die Sicherung einer immer mobiler agierenden Belegschaft.
Alle im Unternehmensbereich führenden WLAN-Hersteller fordern seit langem, unbedingt einen
ganzheitlichen Security-Ansatz zu verfolgen. Dazu zählen nicht nur Authentifizierung und
Verschlüsselung, sondern auch Aspekte wie Client-Management und Network Access Control (NAC),
Netzwerk-Firewall und Wireless Intrusion Detection/Protection Systems (WIDS/IPS), Security
Reporting und Sicherheits-Ereignis-Management (SEM), physikalische Gerätesicherheit und
Datenspeicherung sowie Compliance. Wie die junge WLAN-Schmiede Aerohive, die im vergangenen Jahr
mit ihren virtuellen WLAN-Controller-Lösungen für Aufsehen sorgte, in einem neuen
Security-Whitepaper ausführt, existieren in vielen Unternehmen zudem noch gravierende
Missverständnisse darüber, wie die verschiedenen Sicherheitsmechanismen im WLAN funktionieren. So
arbeite beispielsweise ein WIDS von Grund auf anders als ein traditionelles IDS für verkabelte
Netze. Letztere Lösungen suchen dem Papier zufolge an bestimmten neuralgischen Punkten des
Netzwerks (zwischen Subnetzen, vor Servern oder am Internet-Gateway) nach spezifischen Angriffen
über das Kabel. Eine drahtlose IDS-Lösung hingegen blickt nicht tief in die Inhalte der Daten, die
über das Netzwerk fließen. Stattdessen beobachtet sie die Wi-Fi-Nachrichten, die Clients und Access
Points (APs) in die Luft schicken – und dies selbst dann, wenn solche Geräte nicht mit dem eigenen
drahtlosen Unternehmensnetzwerk verbunden sind. Dadurch sind WIDS-Lösungen in der Lage, das
Verhalten feindseliger APs und Clients ebenso zu erkennen, wie falsch konfigurierte oder falsch
reagierende Clients und APs.
Ein anderes Beispiel für sicherheitsrelevante Missverständnisse im WLAN ist die physische
Gerätesicherheit. Im Hinblick auf die Speicherung von geheimen Informationen wie RADIUS-Schlüssel,
PSKs (Pre-Shared Keys) und anderen Netzwerk-Zugangscodes gibt es endlose Diskussionen darüber, ob "
schlanke" oder "fette" APs die bessere Wahl sind. Traditionell gewinnen dann meist die schlanken
APs, weil diese angeblich nichts lokal speichern und daher auch nicht gehackt werden können. Bei
den ersten Generationen schlanker APs war dies tatsächlich so. Die damit verbundenen
Einschränkungen beim Einsatz in vermaschten Netzen und bei der wechselseitigen Authentifizierung
haben jedoch dazu geführt, dass sich inzwischen nahezu unbemerkt auch bei den schlanken APs fast
überall Schlüssel und Konfigurationsdaten auf der Hardware einnisten. Gefordert sind hier die
Hersteller – der Anwender kann lediglich darauf achten, dass ein WLAN-Hersteller irgendeine Form
der sicheren Schlüsselspeicherung in Hardware (etwa über ein "Trusted Platform Module")
implementiert hat.
Die Stückzahlen verkaufter Endgeräte mit WLAN-Technik durchbrachen laut Wi-Fi-Organisation zum
Ende des letzten Jahres die Milliardenmarke – ein klares Indiz für die zunehmende Popularität
dieser Technik. Kurze Zeit später antwortete die Industrieallianz der Mobilfunker, GSMA, und
meldete auf dem Mobile World Congress in Barcelona vier Milliarden Geräte, die Mobilfunk
unterstützen. Dabei soll der Mobilfunk den WLANs künftig in Form so genannter Femtozellen auf einem
ihrer stärksten Einsatzfelder Konkurrenz machen: als Ersatz für den DSL-/WLAN-Router (siehe
separater Beitrag in dieser Ausgabe). Einen ernsthaften Rückschlag in der WLAN-Verbreitung und
-Entwicklung erwartet zwar niemand, aber der Gegenwind bläst künftig etwas schärfer.
Lesen Sie mehr zum Thema
