Das Thema Wireless LAN haben mittlerweile die meisten IT-Organisationen auf ihrer Agenda, verspricht doch die drahtlose Vernetzung in den verschiedensten Anwendungsbereichen enorme Vorteile. So können etwa Knowledge-Worker von beliebigen Orten aus mit dem Laptop auf das Firmennetz oder das Internet zugreifen; außerdem lassen sich auf diese Weise einfacher flexible Arbeitsplätze einrichten. In Produktions- und Lagerstätten wird zunehmend WLAN-Datenfunk zur Datenerfassung im Bereich Supply-Chain und Logistik eingesetzt. Doch nach wie vor birgt die Drahtlostechnik Tücken, so etwa durch die mangelhaften Sicherheitsfunktionen.
Im Wesentlichen existieren nach den seit 1999 gültigen WLAN-Standards drei Sicherheitsmechanismen: die Verschlüsselung mittels eines WPA (Wireless Protected Access)- oder WEP (Wireless Encryption Protocol)-Schlüssels, ferner die Beschränkung auf registrierte Clients anhand der MAC (Media Access Control)-Adresse sowie das Verbergen des Zugriffspunktnamens. Alle drei Mechanismen können mittlerweile aber von versierten Hackern ausgehebelt werden. Bereits seit 2001 ist bekannt, dass sich WEP leicht knacken lässt, deshalb wurde WPA als Nachfolger mit stärkerer Verschlüsselung eingeführt.
Am fehlerhaften Grundkonzept ändert das nichts: Bei beiden Verfahren kann der Schlüssel abgehört und mit etwas Rechenaufwand geknackt werden. Auch eine MAC-basierende Benutzerliste lässt sich mittels Spoofing (Benutzung eines falschen E-Mail-Absenders) aushebeln. Um Daten und Netzwerke auf Basis der bisherigen Spezifikationen des Institute of Electrical and Electronic Engineers (IEEE) 802.11b, g und a wirksam zu schützen, war daher der Einsatz von VPNs (Virtual Private Networks) unabdingbar. Der Nachteil hierbei ist, dass am Client spezielle VPN-Software eingesetzt werden muss - hinzu kommen die aufwändige Konfiguration und Administration von Access-Points.
Sechs neue Standards rücken nach
Mit einer Reihe neuer IEEE-Spezifikationen sollen nun aber die Sicherheitsprobleme ein für alle Mal passé sein. Die derzeit wichtigste Neuerung verbirgt sich hinter dem Kürzel 802.11i. Damit stehen seit der Verabschiedung im Juli unter der Bezeichnung WPA2 neue Verschlüsselungsmechanismen zur Verfügung, die vom Sicherheitsniveau mit VPNs vergleichbar sind. Der Gefahr des Schlüsselklaus wird dabei auf Basis des Advanced Encryption Standards (AES) mit automatisch wechselnden 128-Bit-Schlüsseln begegnet.
Selbst wenn ein Schlüssel abgehört werden sollte, kann ihn ein Hacker nach einer eventuellen Entschlüsselung nicht mehr anwenden. Die Kunden müssen hier aber aufpassen: Viele Hersteller haben bisher damit geworben, dass ihre 802.11a/g-Hardware nachträglich per Flash-Update auf i aktualisiert werden könne. Doch erweist sich mittlerweile der überwiegende Teil der alten Hardware als zu schwachbrüstig für die neuen, rechenintensiven Verschlüsselungsalgorithmen.
Ganz andere Anforderungen an die Infrastruktur stellt die Telefonie im WLAN. Zunächst erfordert Sprache eine relativ hohe Datenrate. Außerdem darf der Datenstrom während eines Gesprächs nicht abreißen, da es sonst abgehackt beim Gegenüber ankommt. Eine Lösung bietet die in Arbeit befindliche Spezifikation 802.1e. Darin wird erstmals ein Quality-of-Service-Standard definiert, der eine priorisierte Übertragung von Sprach- und Videodaten ermöglicht - solche Pakete werden gegenüber herkömmlichen Datenpaketen bevorzugt weitergeleitet.
Da auf diesem Gebiet noch keine offizielle Spezifikation existiert, haben Anbieter wie Avaya, Cisco, Nortel Networks, Symbol, Siemens oder Samsung jeweils proprietäre Lösungen im Programm, eine Update-Fähigkeit wird zumeist aber versprochen.
Von 11 MBit/s auf 108 MBit/s in fünf Jahren
Ein neuer Trend zeichnet sich bei den WLAN-Architekturen ab - Switch-basierende Lösungen sollen nach dem Willen einiger Hersteller die herkömmlichen Basisstationen ablösen. Die Grundidee dabei ist, dass die Logik von den Funkstationen in einen zentralen Switch wandert, um das Management zu vereinfachen. Access-Points müssen bisher individuell konfiguriert werden. Weitere Vorteile von Switch-Lösungen sind zentrale Updates sowie leichter zu überwachende Sicherheitseinstellungen.
Wichtig ist auch noch der Punkt Datenübertragungsrate: Bei 802.11b beträgt die Bandbreite bescheidene 11 MBit/s - aufgrund der enthaltenen Protokollinformationen sinkt der Umfang der Nettodaten dabei noch einmal um bis zu 50 Prozent. Kompatibel dazu ist das ebenfalls im 2,4-GHz-Spektrum sendende 802.11g, das 54 MBit/s übertragen kann. Im dazu nicht-kompatiblen 5-GHz-Wellenbereich funkt 802.11a mit ebenfalls 54 MBit/s. Was den Vergleich mit kabelgebundenen 100-MBit-LANs erschwert, ist der Umstand, dass sich im WLAN alle an der Basisstation eingeloggten Nutzer die Nennbandbreite teilen.
Maximal akzeptable Zahl an Nutzern pro Acces-Point
Wo hier die maximal akzeptable Zahl an Nutzern pro Acces-Point liegt, ist schwer zu sagen, da die Art der eingesetzten Software einen Einfluss auf die durchschnittliche Datenrate pro Nutzer hat. Gut überlegen sollten sich Firmen den Einsatz neuer "Turbo"-Access-Points. Diese bieten zwar 108 MBit/s oder mehr an, bewegen sich aber außerhalb der offiziellen Spezifikationen.
Angesichts dieser Dynamik im WLAN-Markt agieren derzeit noch viele Unternehmen vorsichtig, so etwa auch die August Koehler AG in Oberkirch: "Wir testen schon seit einiger Zeit sehr intensiv, rechnen aber erst mit einem großflächigen Rollout, wenn die WLANTelefonie zuverlässig funktioniert", erklärt beispielsweise Alexander Fischer, Leiter IT Basis beim badischen Papierhersteller. Fischer und seine IT-Mitarbeiter experimentieren bereits seit einiger Zeit mit der drahtlosen Netztechnik. In der ersten Testphase hat Fischer E-Mail und PIM auf WLAN-fähigen Pocket PCs ausprobiert. Aktuell wird die Integration von Laptops geprüft, wobei mittlerweile auch das Zielszenario feststeht: "Wir wollen zukünftig auf jeden Fall flächendeckend VoIP-Telefonie über WLAN nutzen; außerdem sollen die Außendienstmitarbeiter mit WLAN-Laptops ausgestattet werden", so Fischer.
Bei der WLAN-Infrastruktur setzt Fischer auf AccessPoints von der Stange: "Nach wie vor gibt es Unsicherheiten bei den Spezifikationen, und der von manchen Herstellern versprochenen Upgrade-Fähigkeit traue ich nicht. Verglichen mit einer Switch-Lösung kommen wir billiger weg, wenn wir beispielsweise 20 Access-Points von Zyxel kaufen und diese beim nächsten Evolutionsschritt austauschen."
Als sehr kritischen Punkt erachtet auch Fischer das Thema Sicherheit. Selbst beim Einsatz von VPN-Technik sei es leicht möglich, sich etwa in einem Hotel-WLAN durch einen Bedienungsfehler einen Virus oder Trojaner einzufangen - seinem Außendienst wollte der Koehler-Mann deshalb WLAN-Laptos bisher nicht zumuten. Allerdings habe sich diese Situation mit Service Pack 2 für Windows XP grundlegend geändert, sodass nun auch die mobilen Mitarbeiter sorglos in externen Funknetzen surfen können.
Als die wichtigste Aufgabe bis zu einem flächendeckenden WLAN-Einsatz in allen Standorten des Papierkonzerns sieht Fischer die Sicherstellung der Stabilität - denn nach wie vor habe man beim Thema Zuverlässigkeit noch mit etlichen Problemen zu kämpfen.