Wi-Fi Sense: Ein Grund gegen Windows 10 im Unternehmen

by , on
last update by Peter Ludikovsky, on

Mit der neuen Version von Windows, die seit letzter Woche langsam auf PCs verteilt wird, bringt Microsoft auch eine neue „Social“ Funktion: Wi-Fi Sense. Diese neue Funktion, die natürlich per Standard aktiviert ist, erlaubt es, den Zugang zum eigenen WLAN-Netzwerk automatisch mit den Kontakten auf Outlook.com, Skype, und Facebook zu teilen. Nach dem Debakel mit der immer aktiven Kinekt in der aktuellen Xbox One hat Microsoft immerhin dazu gelernt und man kann die Funktion deaktivieren, allerdings muss man erst mal wissen

  • dass es die Funktion gibt und
  • wie man sie deaktivieren kann.

Warum Wi-Fi Sense ein Problem ist

Um diese Frage zu beantworten werde ich ein paar Szenarien beschreiben, die auftreten könnten.

Privatpersonen

Fangen wir mit den typischen Netzwerken im privaten Umfeld an. Heutzutage haben viele Haushalte ein WLAN Netz, egal ob selbst aufgebaut, oder einfach als bequeme Funktion im Provider-Router*. Mit Wi-Fi Sense wird der Zugang zu diesem Netzwerk mit allen Kontakten geteilt, egal ob oder wie gut man diese kennt. Und seien wir uns ehrlich, wie viele Facebook-Kontakte hat jeder von uns, die man in der Realität noch nie getroffen hat. Dabei bleibt die Verteilung allerdings nicht auf die eigenen Kontakte beschränkt. Die Schwester, die mit ihrem Laptop ein Update auf die neue Windows Version gemacht hat, verteilt jetzt den Zugang an ihre Kontakte, genauso wie jeder andere Freund, Bekannte, oder Verwandte, der

  1. Schon mal eingebucht war
  2. Seither den Laptop nicht neu aufgesetzt hat
  3. Das Update auf Windows 10 gemacht hat und
  4. Euer Netzwerk nicht von Wi-Fi Sense ausgenommen hat.

Interessant wird das ganze dann, wenn einer dieser Dritten beginnt, über das Netzwerk zivil- und strafrechtlich relevante Daten zu übertragen. In diesem Fall werden die zuständigen Behörden zuerst beim Besitzer der Zugangs anklopfen. Offene WLANs werden zwar nach Einschätzung der WKO nach §13 ECG vor Haftung geschützt, allerdings stellt sich die Frage inwieweit das noch bei gesicherten WLANs gilt. Außerdem gilt der Schutz nur für die Haftung, aber nicht für eine mögliche Unterlassungsklage, die gerade für Private schnell sehr teuer wird.

Selbstständige

Für Selbstständige gilt im großen und ganzen das gleiche, wie für Privatpersonen, besonders da (selten) zwischen privater und geschäftlicher Nutzung unterschieden wird. Hier wird das Problem jedoch dadurch erweitert, dass die meisten ihre (potentiellen) Geschäftskontakte oft ebenfalls in den Kontakten haben, und jeder vergangene Kunde oder Partner den Zugang potentiell weitergeben kann. Eine Unterlassungsklage kann in diesem Fall schnell das Ende bedeuten, nicht nur für die Geschäftstätigkeit.

Viel interessanter ist allerdings der Fall, wenn ein Mitbewerber ebenfalls in den eigenen Kontakten ist, oder über andere den Zugang bekommt. In diesem Fall ist dieser sofort im WLAN, und kann potentiell auf alle Daten zugreifen, sofern keine weitere interne Absicherung erfolgt ist. In den meisten Fällen heißt das, dass Bewerbungen für Aus­schrei­bun­gen, Angebote, Kunden- und Lieferantendaten, … für den Mitbewerber zugänglich sind. Falls es ein eigener Kontakt ist, oder der eines Partners, kann es sogar passieren, dass die Änderung des WLAN-Zugangs keine Wirkung hat, da die Information über die Änderung automatisch wieder weitergegeben wird.

KMUs

Die meisten KMUs in Österreich werden sich vermutlich keine dedizierte IT-Abteilung leisten, und werden mit ziemlicher Sicherheit auch keine dauerhafte Unterstützung von einem Dienstleister einkaufen. Genauso wird auch meist die private Verwendung von Dienstgeräten oder BYOD nicht besonders geregelt sein. Sobald nun private Geräte ins interne Netz eingebunden werden, oder Firmengeräte mit dem privaten Facebook-Konto verknüpft, werden die Informationen über die WLAN Anbindung automatisch an alle Kontakte weitergegeben, mit allen oben geschilderten Konsequenzen.

Zusätzlich kommt allerdings eine „Bedrohung” aus dem wahrscheinlich vertrauensvollen Umgang miteinander. Finanzdaten, Kundendaten, … sind nicht besonders abgesichert, da im Zweifelsfall jeder an alle Daten können muss, um den Kunden bestmöglich bedienen zu können, und man vertraut sich gegenseitig, da man sich gegenseitig gut kennt. Das bedeutet allerdings auch, dass es im Zweifelsfalle nicht möglich ist festzustellen, ob nun die Daten von einem Mitarbeiter weitergegeben wurden, oder durch einen Angreifer, welcher Dank Wi-Fi Sense frei im Netz agieren konnte.

Größere Firmen

Größere Firmen sind eher bereit, sich eine permanente IT-Abteilung zu leisten, und haben daher wahrscheinlich auch eine bessere interne Absicherung. Dazu gehören ordentliche Policies, in denen die private Nutzung von Geräten geregelt ist, sowie eine technisch an­spruchs­vol­le­re Zugriffssteuerung für interne Daten. Vor allem aber wird es ein eigenes Netz geben, in dem sich Gäste und private Geräte bewegen dürfen, welches von dem internen Netz komplett getrennt läuft.

Mögliche Gegenmaßnahmen

Was kann man jetzt tun, um sich gegen Probleme im Zusammenhang mit Wi-Fi Sense abzusichern? Je nach technischen, organisatorischen, und finanziellen Möglichkeiten bieten sich verschiedene Ansätze an:

  • Umbenennen des Netzwerks:

    Microsoft bietet die Möglichkeit, per Opt-Out die Teilnahme an Wi-Fi Sense zu beenden, indem in der WLAN-Kennung die Zeichenkette _optout erscheint. Meiner Meinung nach eine zwar vorhandene, und schnell umgesetzte Möglichkeit, allerdings sollte es nur eine von mehreren sein.

  • Wi-Fi Sense per Policy abschalten (lassen):

    Diese Möglichkeit gibt es vor allem in größeren Firmen, in denen die Funktion per Group Policies deaktiviert werden kann, und in KMUs, in denen ein entsprechendes, verpflichtendes Dokument erstellt werden kann.

  • Separates Netzwerk aufbauen:

    Sicherlich eine der besseren und auf Dauer simpleren Möglichkeiten. Viele moderne Access Points erlauben bereits die Einrichtung eines separaten Gäste-Netzwerks, von dem aus nur noch ein Internet-Zugriff möglich ist. Falls nur ein Provider-Gerät vorhanden ist, wie wahrscheinlich bei den meisten Privatanwendern, lässt sich schon für gut €30 ein kleines Gerät kaufen, plus etwas Anerkennung für den Bekannten fürs einrichten.

  • Zugriffskontrollen auf interne Dateien:

    Eine weitere einfach & effektive Möglichkeit das interne Netz abzusichern, egal in welchen Umständen, ist es den Zugriff auf Dateien nur noch für au­then­ti­fi­zierte Benutzer zuzulassen. Dabei reicht es schon, jedem Benutzer auf dem lokalen (Windows)-PC ein Passwort zu setzten, und selbiges auch auf dem Dateiserver einzurichten.

  • Zugriffskontrollen auf das Netzwerk:

    Viele Benutzer richten auf ihren Access Points eine Liste mit Netzwerk-Adressen ein, und beschränken den Zugriff auf diese. Das Ergebnis ist allerdings kein wirklicher Sicherheitsgewinn, da sich diese Adressen leicht fälschen lassen, und bringt auf Dauer nur Frust bei neuen Geräten. Besser, allerdings technisch sehr anspruchsvoll, ist eine Absicherung per 802.1X. Dabei bekommt jedes berechtigte Gerät ein Zertifikat zugewiesen, ähnlich wie bei HTTPS. Nur Geräte mit einem solchen werden im Netz erlaubt, der Rest wird gesperrt.

  • Wechsel zu Alternativen:

    Meiner Meinung nach gibt bei 99% der typischen Tätigkeiten in einem Büro keinen Zwang Windows einzusetzen. Gerade so allgemeine Dinge wie

    • Briefe oder Angebote schreiben
    • Budget und/oder Lagerverwaltung mit der Tabellenkalkulation
    • E-Mails lesen & schreiben

    lassen sich einfach & schnell unter Linux erledigen, zu einem Bruchteil der Lizenz- und Supportkosten. Bei Spezialsoftware wird es schon aufwendiger, da vieles nicht unter Linux direkt verfügbar ist. So wird man kein Photoshop, AutoCAD, oder Office 365 finden, dafür aber gleichwertige Alternativen, in die man sich aber eben erst einarbeiten muss.

    Schwieriger wird es derzeit noch, zumindest meines Wissens nach, beim Onlinebanking. Die meisten Kartenleser und TAN-Generatoren sollten zwar mit Linux arbeiten, allerdings gibt es von Seite der Banken noch gar keine bis wenig Support.

Wi-Fi Sense deaktivieren

Wie kann man jetzt diese Funktion deaktivieren? Für den Client gibt es mehrere Möglichkeiten, von der Ausnahme einzelner Netzwerke bis zum kompletten deaktivieren der Funktion. Details findet man am Ende der FAQ.

Und auf Seite der Netzwerk-Betreiber: Hier gibt es nur eine Möglichkeit, und zwar den Netzwerk-Namen zu ändern & den Text _optout hinzuzufügen. Das erinnert an die einzige Art, mit der Netzwerke aus der Erfassung für die Google Standortdienste entfernt werden können, indem das Suffix _nomap hinzugefügt wird.