zur Navigation springen

Verschlüsselung mit WPA2 : WLan-Sicherheitslücke „KRACK“: Was Nutzer jetzt wissen müssen

vom

WPA2 galt bisher als absolut sicher, doch Forscher bewiesen das Gegenteil. Ein Update soll die Lücke schließen.

shz.de von
erstellt am 17.Okt.2017 | 14:02 Uhr

Löwen | Sicherheitsforscher der Katholischen Universität Löwen in Belgien haben gravierende Sicherheitslücken in dem Verschlüsselungsprotokoll WPA2 entdeckt, mit dem WLan-Hotspots abgesichert werden. Mit der „KRACK“ getauften Attacke können Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef.

shz.de erklärt, wie Nutzer sich schützen können und was WPA2 überhaupt ist:

Was ist WPA2?

WPA2 (Wi-Fi Protected Access 2) ist ein Verschlüsselungsverfahren zur Absicherung eines WLans, das bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert.

Das Verfahren soll dafür sorgen, dass niemand unbefugt in das WLan-Netz hereinkommt und die Daten auf ihrem Weg zwischen Computer und Router nicht abgefangen und gelesen werden können.

Die Verschlüsselung von WPA basiert auf einem dynamisch generierten Schlüssel. Dieser wird durch den AES-Algorithmus (Advanced Encryption Standard) bestimmt. AES ersetzt, verwürfelt und transformiert Bytes in Datenblöcke, um sie außerhalb des Systems unlesbar zu machen. Dieser Vorgang wird mehrmals wiederholt, wobei in jeder dieser Runden ein individueller, aus dem Schlüssel berechneter Rundenschlüssel in die Berechnungen einfließt.

Dabei vergewissert sich das Programm quasi vier Mal durch verschiedene wechselnde Codes, ob der Empfänger auch der richtige ist und die Inhalte lesen darf.

Wo ist die Sicherheitslücke im WPA2?

Die Forscher in Löwen haben nach eigenen Angaben einen Fehler in dem Verfahren entdeckt, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLan ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken.

Im Gegensatz zu anderen kritischen Sicherheitslücken wie dem „Heartbleed“-Fehler können Angreifer bei „KRACK“ ihre Attacken jedoch nicht millionenfach über das Netz ausführen, sondern müssen sich jeweils in der räumlichen Nähe des WLan-Hotspots aufhalten.

Was sind die Folgen für Internetnutzer?

Über die Konsequenzen aus der „KRACK“-Attacke sind sich Experten nicht einig: Fachleute der Wifi Alliance verweisen darauf, dass zusätzliche Verschlüsselungs-Schichten wie HTTPS beispielsweise beim Online-Banking oder virtuelle private Netzwerke (VPN) durch die „KRACK“-Attacke nicht ausgehebelt werden.

Das BSI dagegen hatte am Montagabend öffentlich dazu aufgefordert, zunächst auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten. Auch vom Einkaufen im Netz via WLAN warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien derzeit sicher: „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof“, heißt es beim BSI.

Der Chaos Computer Clubs stimmt dem zu. „Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen, wenn die Kanäle jeweils selbst verschlüsselt sind“, sagt der Sprecher des Clubs, Linus Neumann.

Security-Experte Rüdiger Trost von IT-Sicherheitsunternehmens F-Secure: „KrackAttack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer WLAN-Welt.“ Man dürfe nicht den Eindruck entstehen lassen, als ab sofort jedermann alle Verschlüsselungen aushebeln und Daten mitlesen könnte.

Sicherheitsexperte Tim Berghoff von der Firma G-data betont, die entdeckte Sicherheitslücke sei im Moment lediglich ein „Proof of Concept“, also eine Machbarkeitsstudie. „Die Schwachstelle wird derzeit nicht zu kriminellen Zwecken ausgenutzt.“ Er rät den Anwendern, eine „VPN-Software einzusetzen, die den gesamten Datenverkehr mit einer SSL-Verschlüsselung sichert und so vor fremden Zugriffen schützt“.

Bringt es etwas sein WLAN-Passwort zu wechseln?

Nein, das kann das Eindringen ins Netzwerk mithilfe von „KRACK“ nicht verhindern.

Kann ein Router-Update die Sicherheitslücke schließen?

Ja, Anwender sollten sich nun bei den Herstellern ihrer WLan-Geräte nach einem „Patch“ erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärt, man werde „falls notwendig wie gewohnt ein Update bereitstellen“.

Was können Nutzer tun, deren Router zu alt für Updates sind?

Einige der älteren Router nutzen nicht den Vier-Wege-Handshake, um ihr Netzwerk zu sichern. Damit sind sie nicht betroffen. Die Experten empfehlen sich beim Hersteller zu erkundigen.

Wer sich weiterhin unsicher ist, sollte für sensible Aktionen wie Online-Banking auf ein Lan-Kabel zurückgreifen.

 

(mit dpa)

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen