Was CISOs über Wi-Fi 6E wissen müssen

Wi-Fi 6E ist der sicherste drahtlose Standard aller Zeiten, aber falsche Implementierungsentscheidungen oder ein mangelndes Verständnis der Risiken können diesen Vorteil zunichte machen. [...]

(c) pixabay.com

Wi-Fi 6E ist eine technische Erweiterung des Wi-Fi 6-Standards, die eine verbesserte Wi-Fi-Kapazität, weniger Interferenzen und einen höheren Durchsatz ermöglicht. Das im Januar 2021 von der Wi-Fi Alliance eingeführte Wi-Fi 6E ermöglicht ein erweitertes Frequenzband von 6 GHz, das im Vergleich zu Wi-Fi 6 bis zu 1.200 MHz an zusätzlichem Spektrum bietet.

Im April 2020 stimmte die FCC dafür, 6 GHz für die unlizenzierte Nutzung zu öffnen, was bedeutet, dass elektrische Verbraucherprodukte wie Handys, Tablets, Laptops und Router von der verbesserten Wi-Fi-Leistung profitieren könnten. Der FCC-Vorsitzende Ajit Pai sagte im vergangenen Jahr: „Ich erwarte, dass unlizenzierte 6-GHz-Geräte zum Alltag der Verbraucher gehören werden. Und ich sage voraus, dass die Regeln, die wir heute verabschieden, eine wichtige Rolle beim Wachstum des Internets der Dinge spielen werden, das Geräte, Maschinen, Zähler, Wearables, intelligente Fernsehgeräte und andere Unterhaltungselektronik sowie industrielle Sensoren für die Fertigung miteinander verbindet.“

„Diese Änderung in der Funktionsweise von Wi-Fi wird wahrscheinlich die Art und Weise verändern, wie Menschen Wi-Fi-Netzwerke nutzen, da 6E es mehr Geräten ermöglicht, sich mit höherer Geschwindigkeit zu verbinden“, sagt Paul Holland, leitender Forschungsanalyst beim Information Security Forum (ISF). „Bisher gab es Beschränkungen für einige der schwereren netzwerkbezogenen Geräte, wie z. B. Virtual Reality, aber mit mehr Konnektivität wird eine ganze Reihe neuer Geräte auf den Markt kommen, da die Hersteller versuchen, mit dieser neuen Fähigkeit Geld zu verdienen.

Da die Wi-Fi-Nutzung zunimmt, müssen sich CISOs der Vorteile und Herausforderungen dieser Technologie bewusst sein. Dies sind im Moment die wichtigsten:

Wi-Fi 6E ist sicherer als frühere Versionen

Im Gespräch mit CSO fügt David Coleman, Director of Wireless Networking bei Extreme Networks, hinzu, dass Wi-Fi 6E in mehrfacher Hinsicht sicherer sein wird als frühere Wi-Fi-Generationen, da die Wi-Fi Alliance für alle Wi-Fi 6E-Geräte eine WPA3-Sicherheitszertifizierung vorschreibt und keine Abwärtskompatibilität für WPA2-Sicherheit unterstützt. „Dies bedeutet, dass Management Frame Protection (MFP) im 6-GHz-Band erforderlich ist und Simultaneous Authentication of Equals (SAE) die Pre-Shared Key (PSK)-Sicherheit ersetzt. Dies ist eine wichtige Verbesserung, denn SAE ist resistent gegen Offline-Wörterbuchangriffe, die die PSK-Authentifizierung beeinträchtigen können.

Die Wi-Fi Alliance verlangt auch die Unterstützung der Enhanced Open-Zertifizierung und wird die Unterstützung von Opportunistic Wireless Encryption (OWE) in 6 GHz vorschreiben. „Das bedeutet, dass es keine ‚offenen‘ Netze mehr geben wird und dass zum Schutz der Nutzerdaten immer Verschlüsselung eingesetzt wird“, so Coleman.

Wi-Fi 6E-Risiken: Eilige Markteinführung könnte Schwachstellen mit sich bringen

Wie jede neue Technologie kann auch die Einführung von Wi-Fi 6E neue Risiken für die Cybersicherheit mit sich bringen. „In der Eile, 6E-fähige Geräte zu entwickeln, könnten Hersteller die Sicherheit zugunsten einer schnellen Markteinführung vernachlässigen und Schwachstellen einführen, wenn keine Sicherheitsmechanismen enthalten sind oder wenn es keinen Weg gibt, die neuen 6E-fähigen Geräte zu aktualisieren“, warnt Holland. „Unternehmen müssen sich der potenziellen Risiken bewusst sein, die mit der Freigabe von Wi-Fi 6E und der Implementierung von Geräten, die Teil dieser Aktualisierung der Netzwerkinfrastruktur sind, verbunden sind. Die Tatsache, dass Unternehmen in der Vergangenheit von Wi-Fi, 4G und 5G überrumpelt wurden, zeigt, dass die Lektionen nicht gelernt wurden und das Bewusstsein noch nicht da ist, wo es sein sollte.“

CISOs müssen daher die organisatorischen Cybersicherheitsrisiken, die von Wi-Fi 6E ausgehen, erkennen, kommunizieren und entschärfen. Was sollte den Sicherheitsverantwortlichen am meisten Sorgen bereiten? Im Folgenden werden drei Sicherheitsbedrohungen genannt, die im Vordergrund stehen sollten.

1. Neue abtrünnige 6-GHz-Geräte

Das Schlagwort der Wi-Fi-Sicherheit war schon immer der „Rogue Access Point“ (AP), ein offenes und ungesichertes Gateway, das unbeabsichtigt Zugang zur kabelgebundenen Infrastruktur eines Unternehmens bietet, sagt Coleman. „Ein drahtloses Rogue-Gerät kann für Datendiebstahl, Datenzerstörung, den Verlust von Diensten und andere Angriffe genutzt werden. In der Regel sind nicht Hacker für die Installation von Rogue-APs verantwortlich. Meistens sind es wohlmeinende Mitarbeiter, die sich der Konsequenzen ihres Handelns nicht bewusst sind.“

Da immer wieder neue Wi-Fi 6E-APs und -Router für den Endverbraucher auf den Markt kommen, sind sie ideale Kandidaten für Rogue-Devices, da die heutigen Wireless Intrusion Prevention System (WIPS)-Lösungen in erster Linie auf die Überwachung und den Schutz vor 802.11-basierten drahtlosen Angriffen und Bedrohungen im 2,4-GHz- und 5-GHz-Frequenzband ausgerichtet sind – nicht im 6-GHz-Band. „Anbieter, die APs mit Trifrequenz-Sensorfunktionen anbieten, werden bei der Erkennung von Schurken im 6-GHz-Band die Führung übernehmen“, so Coleman weiter.

2. Wi-Fi 6E ist nicht rückwärtskompatibel mit WPA2

Bestehende Wi-Fi-Clients werden nie in der Lage sein, sich mit 6 GHz zu verbinden. Daher müssen Unternehmen verschiedene Sicherheitsstufen für verschiedene Frequenzbänder implementieren, was wahrscheinlich zu erheblichen administrativen Herausforderungen führen wird. „WPA3 wird in 6-GHz-Bändern verwendet werden, aber WPA2 wird in den 2,4-GHz- und 5-GHz-Bändern noch lange Zeit vorherrschen“, sagt Coleman.

Probleme mit der Rückwärtsfähigkeit werden den CISOs wahrscheinlich Kopfzerbrechen bereiten, stimmt Holland zu. „Die neue Technologie wird dazu führen, dass die Hersteller ältere Wi-Fi-Geräte nicht mehr aktualisieren, wenn Schwachstellen entdeckt werden, so dass sie keine Patches mehr erhalten. Dies wird dazu führen, dass einige Internet-of-Things-Geräte von den Herstellern und vielleicht sogar von den Unternehmen selbst vergessen werden, wodurch die Gefahr besteht, dass Geräte in Unternehmensnetzwerken nicht überwacht und nicht gepatcht werden.“

3. OWE Wi-Fi 6E Sicherheitslücken

„Viele Unternehmen werden sich für die Verwendung von OWE im 6-GHz-Bereich entscheiden, obwohl die Enhanced Open-Zertifizierung nur die Hälfte der Anforderungen an eine umfassende Wi-Fi-Sicherheit erfüllt“, so Coleman. „OWE bietet Verschlüsselung und Datenschutz, aber es gibt keinerlei Authentifizierung, was die Möglichkeit von Hijacking- und Impersonation-Angriffen schafft. WPA3-Personal oder WPA3-Enterprise sind bessere Optionen, da eine Authentifizierung vorgeschrieben ist.“

Umgang mit Wi-Fi 6E-Bedrohungen der Cybersicherheit

Unternehmen müssen sich im Hinblick auf die Einführung von Wi-Fi 6E mit ihren Sicherheitsteams auseinandersetzen. Coleman und Holland nennen fünf wichtige Schritte, die Unternehmen unternehmen müssen, um die Risiken zu minimieren:

  1. Rüsten Sie WIPS-Lösungen auf volle 6-GHz-Überwachungsfunktionen auf, auch wenn Sie Wi-Fi 6E noch nicht einsetzen. Suchen Sie nach WIPS-Sensoren, die über 6-GHz-Funkgeräte verfügen und das Scannen von drei Frequenzbändern über ein einziges Funkgerät ermöglichen.
  2. Vermeiden Sie OWE im 6-GHz-Band und verwenden Sie WPA3-Personal (SAE) oder WPA3-Enterprise (802.1X).
  3. Sorgen Sie dafür, dass Sicherheitsverantwortliche und IT-Teams über dieses Thema aufgeklärt werden und es ernst nehmen. „Lassen Sie sich nicht auf dem falschen Fuß erwischen“, sagt Coleman.
  4. Nutzen Sie die Netzwerksegmentierung, um sicherzustellen, dass 6E-fähige Router und Geräte im gesamten Unternehmen sicher implementiert sind. „Dies kann bedeuten, dass nur Geräte mit einem anerkannten Supportvertrag (für Patches und Probleme) gekauft werden und dass neue Geräte alle Due-Diligence-Prozesse durchlaufen, die Teil des Beschaffungslebenszyklus sind“, sagt Holland. „Dadurch wird sichergestellt, dass jeder Hersteller oder Anbieter mit dem Lieferkettenmanagement eines Unternehmens verbunden ist.
  5. Ziehen Sie eine Null-Vertrauens-Strategie in Betracht, da sie zum Schutz jedes Geräts durch Schutzoberflächen beitragen kann und durch die Unterstützung von starken Autorisierungs-/Authentifizierungsprotokollen die seitliche Bewegung nach einem Einbruch in ein 6E-Gerät einschränkt.

Wi-Fi 6E ist das Aufregendste, was Wi-Fi seit fast 20 Jahren erlebt hat“, sagt Coleman. „Auch wenn die Menschen die praktischen Realitäten und Herausforderungen bei der Implementierung dieser Technologie übersehen, wird 2021 wahrscheinlich ein bahnbrechendes Jahr für Wi-Fi 6E im Unternehmen sein, das in den nächsten Monaten zu einem der Hauptschwerpunkte für IT-Teams wird.“

*Michael Hill ist der britische Redakteur von CSO Online. In den letzten mehr als fünf Jahren hat er über verschiedene Aspekte der Cybersicherheitsbranche berichtet, mit besonderem Interesse an der sich ständig weiterentwickelnden Rolle der mit dem Menschen verbundenen Elemente der Informationssicherheit.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*