Bislang galt WPA2 als sicherer Verschlüsselungsstandard für Wlan-Netze. Belgische Forscher fanden jedoch heraus, dass die Technik über Schwachstellen verwundbar ist. Nun rät das Bundesamt für Sicherheit in der Informationstechnik dazu, Wlan-Netzwerke bis zu einer Verfügbarkeit von Sicherheits-Updates nicht für sensible Daten-Transaktionen wie etwa Online-Banking oder Shopping zu nutzen.
Von dem Sicherheitsrisiko sind derzeit alle Wlan-fähigen Endgeräte in unterschiedlichen Ausprägungen betroffen, also etwa Router, Smartphones und Rechner. Insbesondere Geräte mit Linus- oder Android-Betriebssystem sind gefährdet. Apple und Windows-Systeme sind nur eingeschränkt betroffen, da die Schwachstelle dort derzeit nicht vollumfänglich ausgenutzt werden kann. Sicherheitsforscher der Katholischen Universität Löwen hatten die WPA2-Schwachstelle entdeckt.
"Krack"-Angreifer können mitlesen und manipulieren - einfach ist es aber nicht
Mit der "Krack" getauften Attacke können demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. Die Lücke ermöglicht Angreifern das Mitlesen und auch Manipulieren von Datenpaketen. Damit ist nun auch der WPA2-Nimbus der Sicherheit erst einmal Geschichte.
Die Forscher in Löwen entdeckten nach eigenen Angaben den Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem Wlan ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken. Nun muss man zum Glück keine Angst vor einer millionenfach ausgeführten Attacke über das Netz haben, wie dies bei anderen Sicherheitslücken, etwa "Heartbleed" geschehen ist. Der Angreifer muss sich für eine "Krack"-Attacke nämlich physisch im entsprechenden Wlan-Netz aufhalten.
Vanhoef räumte ein, dass manche entdeckte Angriffsszenarien schwierig umzusetzen seien. "Das sollte aber nicht zur Fehleinschätzung führen, dass die Attacken in der Praxis nicht zu einem Missbrauch führen können." Anwender sollten sich nun bei den Herstellern ihrer Wlan-Geräte nach einem "Patch" erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde "falls notwendig wie gewohnt ein Update bereitstellen".
Nutzlos: Passwort ändern und auf alte Standards vor WPA2 wechseln
"Nutzen Sie Ihr Wlan-Netzwerk so, als würden Sie sich in ein öffentliches Wlan-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher", erklärt Arne Schönbohm, Präsident des BSI.
Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11. Darum bringt es auch nichts, sein Passwort zu ändern. Und keinesfalls sollte man auf ältere verfügbare Sicherheitsstandards wie WEP oder WPA als Alternative für den Schutz des heimischen Wlan-Netzes zurückgreifen. Diese wurden schon vor Jahren als unsicher ausgemustert, es sind auch keine Patches für sie zu erwarten.
Experten verwiesen darauf, dass zusätzliche Verschlüsselungs-Ebenen wie HTTPS oder virtuelle private Netzwerke (VPN) durch die Krack-Attacke nicht ausgehebelt werden.
