Gemeinschaftlicher Schutz – wie wir unser Netzwerk absichern

Netzwerksicherheit ist ein Thema, mit dem wir uns in unseren Häusern regelmäßig befassen. Die Bedrohungslage im Internet verschärft sich von Jahr zu Jahr – und sie betrifft längst nicht mehr nur Banken und Konzerne. Laut dem Bundesamt für Sicherheit in der Informationstechnik ist der am stärksten angegriffene Sektor in Deutschland ausgerechnet der Bildungsbereich. Bildungseinrichtungen verzeichnen mehr als doppelt so viele Angriffsversuche pro Woche wie der nationale Durchschnitt. In einem Studentenwohnheim, in dem Dutzende Bewohner mit ihren Geräten ein gemeinsames Netzwerk nutzen, ist das Thema deshalb alles andere als abstrakt. Wir haben unseren Schutz vor kurzem deutlich verstärkt – und dabei auf ein Prinzip gesetzt, das mir besonders gut gefällt.

Eine Nachbarschaft, die aufeinander aufpasst

Stellen Sie sich eine Nachbarschaft vor, in der jeder Haushalt eine Überwachungskamera an der Haustür hat. Wenn ein verdächtiger Einbrecher bei Ihrem Nachbarn auftaucht, wird nicht nur Ihr Nachbar gewarnt – die Information wird mit der ganzen Nachbarschaft geteilt. Jeder weiß sofort Bescheid und kann seine Tür verriegeln, bevor der Einbrecher überhaupt bei ihm ankommt.

Genau so funktioniert das System, das wir seit kurzem auf unseren Routern einsetzen. Nur dass die „Nachbarschaft“ weltweit ist und die „Einbrecher“ automatisierte Schadprogramme sind, die rund um die Uhr das Internet nach offenen Türen absuchen.

In jedem der angeschlossenen Häuser steht ein leistungsfähiger Router, der den gesamten Internetverkehr verwaltet. Auf diesen Routern haben wir eine zusätzliche Sicherheitssoftware installiert, die den eingehenden Datenverkehr überwacht und verdächtige Muster erkennt – etwa wenn eine unbekannte Adresse massenhaft versucht, sich Zugang zu verschaffen, oder wenn bekannte Angriffsmuster auftauchen. Für die Informatiker unter Ihnen: wir sprechen von CrowdSec auf OpnSense Routern.

Wird ein solcher Angriff erkannt, passieren zwei Dinge gleichzeitig:

Erstens wird der Angreifer für unser Netzwerk gesperrt. Er kommt nicht rein.

Zweitens wird die Information über diesen Angreifer anonymisiert an eine weltweite Gemeinschaft weitergegeben. Tausende andere Betreiber auf der ganzen Welt tun dasselbe. Aus all diesen Meldungen entsteht eine ständig aktualisierte Liste bekannter Angreifer – und diese Liste bekommen auch wir zurück. Das bedeutet: Unser Netzwerk ist bereits gegen Angreifer geschützt, die bei uns noch gar nicht aufgetaucht sind, aber anderswo aufgefallen sind. Je mehr Teilnehmer mitmachen, desto besser wird der Schutz für alle.

Erste Erfahrungen – eine Überraschung

Neben unseren beiden Wohnheimen versorgen wir auch ein Mehrfamilienhaus mit Internet, in dem ausschließlich Studenten-WGs untergebracht sind. Auch dort läuft das neue System. Und dort hat es uns überrascht: Die Zahl der Angriffsversuche, die vom System erkannt und blockiert wurden, war erheblich – und deutlich höher, als wir es vermutet hätten. In der Vergangenheit hätten wir den Großteil dieser Angriffe schlicht nicht bemerkt. Sie wären unerkannt durch unser Netzwerk gelaufen, hätten an Türen gerüttelt und nach Schwachstellen gesucht.

Das ist kein Grund zur Panik. Die meisten dieser automatisierten Angriffe sind nicht gezielt gegen unsere Bewohner gerichtet. Es sind Bots – Schadprogramme, die systematisch das gesamte Internet abgrasen, auf der Suche nach schlecht gesicherten Geräten, offenen Diensten oder veralteter Software. Aber es zeigt eindrücklich, wie viel im Hintergrund passiert, das man normalerweise nicht mitbekommt. Und es zeigt, warum es sinnvoll ist, sich aktiv zu schützen, statt darauf zu vertrauen, dass man zu klein oder zu unwichtig sei, um ins Visier zu geraten.

Warum Open Source?

Bei der eingesetzten Software handelt es sich um eine Open-Source-Lösung. Das bedeutet: Der Programmcode ist frei einsehbar, die Software wird von einer aktiven Gemeinschaft gepflegt und weiterentwickelt, und es gibt keine Abhängigkeit von einem einzelnen Anbieter. Kein Abo-Modell, keine Hintertüren, keine fremde Cloud, der wir unsere Daten anvertrauen müssten.

Das entspricht genau unserer Philosophie. Die gesamte Netzwerkinfrastruktur in unseren Häusern – von den Routern über die WLAN-Versorgung bis hin zu den LAN-Anschlüssen in jedem Zimmer – wird von uns selbst betrieben und verwaltet. Wir setzen grundsätzlich keine Dienste ein, bei denen wir die Kontrolle über unsere Technik an Dritte abgeben. Das ist etwas mehr Arbeit, als einfach eine Fertiglösung einzukaufen. Aber es bedeutet, dass wir wissen, was in unserem Netzwerk passiert – und dass niemand sonst mitliest.

Was bedeutet das für Sie?

Sie müssen nichts tun. Der Schutz läuft im Hintergrund auf unseren Routern und erfordert keine Einrichtung oder Konfiguration auf Ihren Geräten. Sie werden ihn im Alltag nicht bemerken – er arbeitet still und zuverlässig.

Allerdings: Kein System der Welt ersetzt Ihre eigene Vorsicht. Der beste Netzwerkschutz hilft nichts, wenn Sie auf einen überzeugenden Phishing-Link in einer E-Mail klicken oder wenn Ihr Passwort „123456″ lautet. Deshalb zum Schluss noch drei einfache Empfehlungen, die mehr bewirken als jede Technik:

Drei Dinge, die Sie selbst tun können:

1. Gesundes Misstrauen bei E-Mails und Nachrichten. Wenn Ihnen jemand schreibt, Sie müssten dringend Ihr Passwort ändern oder Ihre Kontodaten bestätigen – klicken Sie nicht auf den Link. Gehen Sie stattdessen direkt auf die Website des betreffenden Dienstes und prüfen Sie dort, ob tatsächlich etwas vorliegt.

2. Unterschiedliche Passwörter für unterschiedliche Dienste. Ein Passwort-Manager wie Bitwarden (kostenlos, Open Source) nimmt Ihnen die Arbeit ab, sich Dutzende verschiedener Passwörter merken zu müssen. Die Einrichtung dauert einen Abend – der Gewinn an Sicherheit ist enorm.

3. Updates nicht aufschieben. Sicherheitsupdates für Ihr Betriebssystem, Ihren Browser und Ihre Apps schließen bekannte Schwachstellen. Je länger Sie warten, desto größer das Fenster, durch das ein Angreifer einsteigen könnte.

Sicherheit ist kein Zustand, sondern ein Prozess

Absolute Sicherheit gibt es nicht. Was es gibt, ist die Entscheidung, ob man die Augen verschließt oder ob man aktiv etwas tut. Wir haben uns für Letzteres entschieden – mit Werkzeugen, die wir verstehen und kontrollieren.

Die Idee, dass sich eine Gemeinschaft zusammentut, um sich gegenseitig zu schützen, gefällt mir dabei besonders. Sie passt zu dem, was wir hier im Kleinen versuchen: ein Wohnumfeld zu schaffen, in dem man aufeinander achtet – online wie offline.

Zusammengefasst: Auf den Routern unserer Häuser läuft seit kurzem ein gemeinschaftsbasiertes Abwehrsystem, das automatisierte Angriffe aus dem Internet erkennt und blockiert – und dabei von einer weltweiten Gemeinschaft profitiert, die sich gegenseitig schützt. Der Schutz läuft im Hintergrund und erfordert von Ihnen keinerlei Einrichtung. Der wichtigste Beitrag, den Sie selbst leisten können, bleibt ein gesundes Misstrauen gegenüber verdächtigen E-Mails und ein sorgfältiger Umgang mit Ihren Passwörtern.