HOME

WPA2-Sicherheitslücke "Krack": BSI warnt vor Online-Banking und Shopping über Wlan-Netze

Nachdem Sicherheitsforscher der Katholischen Universität Löwen gravierende Sicherheitslücken im Verschlüsselungsprotokoll WPA2 entdeckt haben, warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik. Sein Passwort zu ändern, bringt übrigens nichts.

wpa2 wlan

Ein Schild mit einem Wlan-Logo. Im Verschlüsselungsstandard WPA2 wurden gravierende Sicherheitsmängel entdeckt.

Bislang galt WPA2 als sicherer Verschlüsselungsstandard für Wlan-Netze. Belgische Forscher fanden jedoch heraus, dass die Technik über Schwachstellen verwundbar ist. Nun rät das Bundesamt  für Sicherheit in der Informationstechnik dazu, Wlan-Netzwerke bis zu einer Verfügbarkeit von Sicherheits-Updates nicht für sensible Daten-Transaktionen wie etwa Online-Banking oder Shopping zu nutzen.

Von dem Sicherheitsrisiko sind derzeit alle Wlan-fähigen Endgeräte in unterschiedlichen Ausprägungen betroffen, also etwa Router, Smartphones und Rechner. Insbesondere Geräte mit Linus- oder Android-Betriebssystem sind gefährdet. Apple und Windows-Systeme sind nur eingeschränkt betroffen, da die Schwachstelle dort derzeit nicht vollumfänglich ausgenutzt werden kann. Sicherheitsforscher der Katholischen Universität Löwen hatten die WPA2-Schwachstelle entdeckt. 

"Krack"-Angreifer können mitlesen und manipulieren - einfach ist es aber nicht

Mit der "Krack" getauften Attacke können demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. Die Lücke ermöglicht Angreifern das Mitlesen und auch Manipulieren von Datenpaketen. Damit ist nun auch der WPA2-Nimbus der Sicherheit erst einmal Geschichte. 

Die Forscher in Löwen entdeckten nach eigenen Angaben den Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken. Nun muss man zum Glück keine Angst vor einer millionenfach ausgeführten Attacke über das Netz haben, wie dies bei anderen Sicherheitslücken, etwa "Heartbleed"  geschehen ist. Der Angreifer muss sich für eine "Krack"-Attacke nämlich physisch im entsprechenden Wlan-Netz aufhalten. 

Vanhoef räumte ein, dass manche entdeckte Angriffsszenarien schwierig umzusetzen seien. "Das sollte aber nicht zur Fehleinschätzung führen, dass die Attacken in der Praxis nicht zu einem Missbrauch führen können." Anwender sollten sich nun bei den Herstellern ihrer Wlan-Geräte nach einem "Patch" erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde "falls notwendig wie gewohnt ein Update bereitstellen".

Nutzlos: Passwort ändern und auf alte Standards vor WPA2 wechseln

"Nutzen Sie Ihr Wlan-Netzwerk so, als würden Sie sich in ein öffentliches Wlan-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher", erklärt Arne Schönbohm, Präsident des BSI.

Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11. Darum bringt es auch nichts, sein Passwort zu ändern. Und keinesfalls sollte man auf ältere verfügbare Sicherheitsstandards wie WEP oder WPA als Alternative für den Schutz des heimischen Wlan-Netzes zurückgreifen. Diese wurden schon vor Jahren als unsicher ausgemustert, es sind auch keine Patches für sie zu erwarten.

Experten verwiesen darauf, dass zusätzliche Verschlüsselungs-Ebenen wie HTTPS oder virtuelle private Netzwerke (VPN) durch die Krack-Attacke nicht ausgehebelt werden.

rös/dpa

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.