13720 mal gelesen
Stellen Sie sich vor: Jeder Ihrer Facebook-Freunde und „Freundes-Freunde“, jeder, der Ihnen irgendwann einmal eine EMail geschrieben hat, und jeder, mit dem Sie schon auf Skype verbunden waren, bekommt Ihre WLAN-Passwörter. Alle WLAN-Passwörter. Jeder Kontakt.
Absurd? Idiotisch? Katastrophal? Auf jeden Fall.
Und dennoch macht Windows 10 genau das. In Windows Phone 8.1 ist das Feature übrigens schon länger aktiv.
Die Technologie heißt „Wi-Fi Sense“ oder zu deutsch „WLAN-Optimierung“. Zu finden sind die Einstellungen unter Startmenü – Einstellungen – Netzwerk und Internet – WLAN – WLAN-Einstellungen verwalten“.
Sinn der Sache ist es, bei „Freunden“ ohne jeglichen Aufwand online gehen zu können. Offensichtlich gibt es bei Microsoft niemanden, der ein Gerät auch beruflich verwendet, sonst wäre den Verantwortlichen wohl aufgefallen, dass unbefugte Dritte so auf einfachstem Weg in Firmen-WLANs eindringen können.
Ein Beispiel: An einer Schule haben die Lehrer Internetzugang über das WLAN, die Schüler jedoch nicht (Stichwort: Filesharing). Ein Schüler schickt seinem Lehrer eine EMail, z. B. mit einer Hausaufgabe oder einem Referat – ein völlig normaler Vorgang. Beide nutzen Outlook. Der Schüler wird also ins Adressbuch des Lehrers eingetragen und bekommt automatisch den geheimen WLAN-Schlüssel der Schule – ungefragt und ohne dass Lehrer oder Schüler etwas davon mitbekommen.
Nur ein Beispiel für die daraus resultierenden Probleme sind umfangreich: Der Schüler beginnt den Download eines Torrents zuhause, nimmt den Laptop aber für das Referat in die Schule mit. Die Schule bekommt die Abmahnung, der Schüler könnte deshalb von der Schule fliegen.
Was tun? Als Normal-User deaktiviert man die Funktion einfach bei der Windows 10-Installation.
Admins haben jedoch ein Riesenproblem, falls den Kollegen der WLAN-Key bekannt ist; wieder ein Beispiel-Szenario: Kollege X hat Windows 7 mit dem Schul-WLAN-Passwort auf seinem Laptop installiert. Er macht in den Ferien ein Upgrade auf Windows 10; viele Einstellungen, wahrscheinlich auch die WLAN-Keys, werden dabei übernommen. Windows 10 synchronisiert die Keys mit Outlook, Skype und Facebook, auch außerhalb der Schule. Der Admin hat keine Möglichkeit, das zu unterbinden.
Es bieten sich m. E. folgende Lösungsansätze für Netze, deren Keys den Nutzern bekannt sind:
- Microsoft gibt an, dass Wi-Fi Sense alle Netze ignoriert, deren SSIDs die Endung „_optout“ haben. Als Admin kann man sich nun die Mühe machen, alle Access Points und alle Endgeräte umzukonfigurieren. Na toll, danke!
- Man könnte statt eines verschlüsselten WLANs auf Nutzerauthentifizierung mittels Radius-Server umsteigen. Genauso toll.
- Auch die gute alte MAC-Adressen-Filterung kann unter Umständen hilfreich sein.
- „Pädagogische“ Maßnahmen: Man sollte alle Nutzer des WLANs auf die Problematik hinweisen und die Nutzung von Wi-Fi Sense per Anordnung verbieten. Da die Weitergabe der Keys nicht vollautomatisch, sondern nur bei Eingabe des Kennworts funktioniert, wäre die Weitergabe vorsätzlich. Den Benutzern muss dies aber bewusst gemacht werden.
Dass diese Methode technisch nicht ‚wasserdicht‘ ist, sollte aber jedem klar sein.
Schlussendlich hat Microsoft hier kapitalen Mist gebaut. WLANs gehören den Admins, nicht den Benutzern. Und was mir nicht gehört, darf ich nicht verschenken, ganz einfach. Ich hoffe, dass Microsoft möglichst bald eine fette Klage an den Hals bekommt.