Sicherheitsstufe 1: Gast-WLAN einrichten

Stellen Sie sich vor, Sie haben ein Heimnetz mit einem normalen DSL-All-in-One-Router, bei dem es nur eine Tür (Router) gibt. In einem solchen Haus kann sich jeder Besucher frei bewegen und Gegenstände stehlen oder verschieben. Jeder einigermassen aktuelle Router bietet dazu auch eine Unterteilung in Gast-Zone und private Zone. In die private Zone würden Sie üblicherweise Geräte lassen, die auf gewisse private Daten in Ihrem Heimnetz zugreifen sollen. Also beispielsweise auf Ihr Heim-NAS, auf das Sie mit verschiedenen Streaming-Geräten über Netzwerkprotokolle (wie SMB, NFS, DLNA) zugreifen. In der Gästezone würden Sie logischerweise nur Geräte von Besuchern zulassen, die nicht einfach so auf einen Netzwerkordner zugreifen sollen. Denn ohne Gastzugang, indem Sie einfach Ihr WLAN-Passwort aushändigen, erhalten Besucher auch Zugang auf Ihr gesamtes Heimnetzwerk und somit z.B. auch auf Ihre private Fotosammlung.

Die meisten aktuellen WLAN-Router unterstützen diesen Gäste-Modus. Der Gastzugang spannt dabei ein eigenes WLAN auf, das nicht auf Ihr eigenes WLAN zugreift. Damit halten Sie Gäste von Ihrer privaten DLNA-Mediensammlung, der digitalen Steuererklärung und der Haussteuerung fern. Als Beispiel für die Nutzung soll eine Fritz!Box dienen.

Bei einer Fritz!Box halten Sie dazu im Webmenü Ausschau nach den Einstellungen unter WLAN/Gastzugang. Hier aktivieren Sie das WLAN für die Gäste. Definieren Sie Zugangsdaten bzw. ein Standardpasswort für Ihr Gäste-WLAN.

Wenn Sie sehr viele IoT-Geräte wie Pflanzensensoren im Einsatz haben, können Sie auf einem professionellen Access Point wie etwa dem VigorAP 900 von DrayTek gleich mehrere Subnetze einrichten. Da eignet sich etwa ein eigenes WLAN-Teilnetz für Sensorgeräte, die nur auf Internetverbindung angewiesen sind und nichts in den Medienordnern Ihres Heimnetzwerks zu suchen haben. Man kann sich das etwa so vorstellen, als würde man in einer Firma der Buchhaltungsabteilung nicht dieselben Netzwerk-Server zuweisen wie der Personalabteilung. Zwingend erforderlich ist diese Trennung aber nicht, wenn Sie ohnehin bestenfalls einen Smart-TV und eine Spielkonsole haben. Selbst Internet-of-Things-Geräten können Sie in einem aktuellen Router gewisse Zugriffsrechte im Heimnetz entziehen. Auch bei einem neueren Router wie etwa einer Fritz!Box stehen mit Gäste-WLAN und zwei Frequenzbändern in der Regel bis zu drei verschiedene SSIDs zur Verfügung.

Daher sollten Sie vielleicht schon einmal präventiv Geräte aussortieren, die keinen Internetzugriff benötigen. Geräte wie ein smarter Wasserkocher oder eine Waschmaschine benötigen natürlich Internetzugang, um funktionstüchtig zu sein. Bei einer IP-Kamera wollen Sie eventuell auch von extern auf das Gerät zugreifen. (Hier empfiehlt es sich vor allem, sparsam zu sein mit allfälligen Portweiterleitungen für den Fernzugriff.) Anders verhält es sich bei Druckern und Netzwerkgeräten. Diese sollten nur im internen Netzwerk erreichbar sein und benötigen keinen Internetzugriff.