HOME

WPA 2-Sicherheitslücke: Das sollten Sie bei Ihrem Wlan-Netzwerk jetzt beachten

Nachdem belgische Sicherheitsforscher gravierende Sicherheitslücken im Verschlüsselungsprotokoll WPA2 entdeckt haben, ist die Aufregung erstmal groß. Denn betroffen sind theoretisch alle modernen Router. Aber was bedeutet das für Sie zu Hause? IT-Sicherheitsexperte Tobias Schrödel hat es ganz einfach erklärt.

Bislang galt WPA 2 als sicherer Verschlüsselungsstandard für Wlan-Netze. Und die meisten von uns schützen ihr Wlan damit vor fremden Zugriffen. Belgische Forscher haben nun herausgefunden, dass die Technik über eine Schwachstelle, die sie "Krack" nannten, angreifbar ist. Prinzipiell sind die Router aller Hersteller von dem potenziellen Sicherheitsleck betroffen. Theoretisch könnten Unbefugte sich darüber Zugang zu jedem Wlan verschaffen und darüber Daten wie Passwörter und E-Mail-Adressen abgreifen. Allerdings wäre Panikmache jetzt unangebracht, sagt IT-Sicherheitsexperte Tobias Schrödel. "In der Regel die WPA 2-Verschlüsselung zwar bei jedem Router inzwischen standardmäßig aktiviert. Allerdings: Fritzboxen sollen nach Aussage der Hersteller-Firma AVM nicht betroffen sein." Eine FRITZ!Box am Breitbandanschluss ist nach aktuellem Stand nicht von der 'Krack' genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet, heißt es von Seiten des Unternehmens.

Können WLAN-Nutzer trotzdem etwas tun, um ihr Netzwerk sicherer zu machen?

Tobias Schrödel: Ja. Zum einen werden die Hersteller jetzt aktiv und schnellstmöglich ein Update anbieten. Sicherheitsforscher Mathy Vanhoef begann bereits am 14. Juli 2017 damit, wichtige Hersteller über die Sicherheitslücke zu informieren. Ab dem 28. August wurden alle relevanten Hersteller durch CERT.org angeschrieben. Sobald ein Update für den Router vorliegt, sollte man es umgehend installieren. Microsoft und einige andere haben bereits Updates bereitgestellt. Idealerweise installiert man sowohl auf dem Router, als auch auf allen Empfangsgeräten wie Handys und Tablets, die sich per Wlan mit dem Router verbinden, ein Update. Grund: Verschlüsselung per WPA 2 findet während der Kommunikation zwischen Router und Endgerät statt, die Sicherheitslücke Krack befindet sich dazwischen. Deshalb sollte die Lücke beider Kommunikatoren (beider Geräte) geschlossen werden. Problematisch kann das vor allem bei Android-Geräten wie dem Samsung S4 werden, wenn es dafür keine Updates mehr gibt.

Nur das Passwort zu ändern bringt übrigens nichts. Auch ein Zurücksetzen auf ältere Sicherheitsverbindung, wie WPA oder WEP ist sinnlos, da diese alten Verbindungen unsicher und schon längst ausgemustert sind.

Ob es bereits ein Update gibt oder in nächster Zeit dort eingestellt wird, können Sie auf den Seiten Ihres Router-Herstellers nachschauen: AVM (Fritzbox), Linksys, Netgear, Telekom, Vodafone

Eine umfangreichere Übersicht des Update-Status der wichtigsten Hersteller wie auch Windows, Andriod etc.  finden Sie hier beim PC-Magazin.

Darf ich bis zum Update im Wlan nicht mehr surfen?

Doch. Geräte, die per Kabel mit dem Router verbunden sind, sind sowieso nicht betroffen. Die Sicherheitslücke bei der WPA2- Verschlüsselung betrifft ausschließlich Wlan-Verbindungen ins Internet. Zudem können auf Seiten, die den Sicherheitsstandard https nutzen, keine Daten abgegriffen werden. In der Regel ist das bei Bankingseiten, Webmailern, Sozialen Netzwerken wie Facebook oder Instagram und bei vielen Online-Shops der Fall. Darauf sollte man achten, bevor man sensible Daten im Internet preisgibt. Wer zu 100 Prozent sicher gehen will, sollte sein Surfverhalten hinsichtlich sensibler Daten einschränken, bis ein Update auf den Router aufgespielt wurde. 

Sind auch offene Wlan betroffen?

Offene Wlan sind per se nicht verschlüsselt. Da Krack aber die Verschlüsselung angreift, kommt das dort natürlich nicht vor: Offene Wlan sind aber quasi identisch mit durch Krack gehackte – die Vorsicht beim Shoppen und Banking ist in offenen Wlans immer angebracht.

Wurde diese neu entdeckte Sicherheitslücke denn von Betrügern schon ausgenutzt?

Was wir nicht wissen ist, wie lange beispielsweise Geheimdienste die Lücke schon kennen und nutzen. Bisher hat niemand öffentlich gemacht, dass es diese Lücke gibt. Der Forscher Mathy Vanhoef hat das geschickt gemacht: Er hat zunächst das "Cyber Emergency and Respond"-Team informiert, die solche Informationen koordinieren und an die betroffenen Hersteller weitergeben. Sind vier Wochen vergangen, dürfen Forscher ihre Entdeckung auch öffentlich machen. Das hat er getan. Jetzt gehe ich davon aus, dass andere Programmierer diese Lücke nutzen werden. Denn ohne Spuren war die Arbeit des Sicherheitsforschers Mathy Vanhoef nicht, und mit Hilfe dieser Spuren lässt sich ein Angriff auf WPA 2-geschützte Wlans rekonstruieren.

Wird es künftig WPA 3 geben?

Die Sicherheitslücke kann durch Updates geschlossen werden. Da eine Kommunikation zwischen aktualisierten und nicht aktualisierten Geräten weiter möglich ist, muss das Protokoll selbst nicht angepasst werden.

Oldtimer gekauft - bei Instandsetzung Unfallschäden entdeckt
Hallo, ich habe mir vor ein paar Wochen einen amerikanischen Oldtimer gekauft - ein Import aus den Staaten, bekam hier eine Vollabnahme und H-Gutachten. Aufgrund der Entfernung konnte ich den Wagen jedoch lediglich auf Fotomaterial besichtigen und auf den Fotos sah er aber sehr gut aus - hatte wenig Laufleistung und wurde auch beim Gespräch mit dem Verkäufer am Telefon mit einem guten Zustand beworben. Nach der Lieferung fielen mir dann sofort 2 Roststellen auf, wo ich mir noch sagte "Hey - das Auto ist 40 Jahre alt - darf es haben, also reparierst du es einfach". Bei der Reparatur stellen sich dann jedoch weitere Roststellen heraus, die sogar zur Demontage der Innenverkleidungen, Kotflügel und Windschutzscheibe führten. Aber Ok - altes Auto. Der Wagen ging daraufhin zum Lackierer und wurde dort weiter behandelt. Dabei kamen dann weitere Mängel zum Vorschein: Die Beifahrertüre wurde bereits im unteren Bereich dick mit Spachtel überzogen - die Unterkante wurde ausgetauscht und von innen nicht versiegelt - das Blech rostete durch. Jedoch war das gesamte untere Türdrittel komplett verbeult - dazu braucht es schon einen recht großen Hammer. Ca. 8mm dicke Spachtelbrocken musste ich abschlagen. An einer Stelle wurde das Blech der Seitenwand bereits ausgetauscht. Durch die schlechte Arbeit waren Blechteile vollständig durchrostet. Auf der anderen Seitenwand hatte der Wagen einen weiteren Treffer kassiert - das Blech war eingedrückt und wurde mit massig Spachtel übergetüncht. Von außen nur anhand sehr schlechtem Lackbildes zu sehen und von innen sind deutlich Schweißpunkte vom Blechzughammer erkennbar. Auch die Seitenscheiben waren stümperhaft montiert. Diese wurden nicht mit Scheibenkleber, sondern einer kaugummiartigen Substanz montiert und fielen bei der Demontage der Zierleisten dem Lackierer bereits entgegen. Laut Verkäufer wurden die Seitenwände zwar überlackiert (was man auch sehen konnte), ein Grund wurde jedoch nicht genannt - angeblich schlechter Lack oder Kratzer. Nun meine Frage: Im Kaufvertrag ist der Wagen wie folgt beschrieben: "Keine Unfallschäden laut Vorbesitzer" "Dem Verkäufer sind auf andere Weise keine Unfallschäden bekannt" Weitere Regelungen gibt es im Kaufvertrag nicht. Durch die Beseitigung der Durchrostungen an den unfachmännisch ausgeführten Blech- und Spachtelarbeiten ist der Preis für die Lackierung deutlich gestiegen. Kann man beim Verkäufer hierfür mitunter Schadensersatz geltend machen? Gekauft wurde das Fahrzeug Mitte Dezember 2018, geliefert in der 2ten KW im Januar. Danke im Voraus für eure Antworten.
Oldtimer gekauft - bei Instandsetzung Unfallschäden entdeckt
Hallo, ich habe mir vor ein paar Wochen einen amerikanischen Oldtimer gekauft - ein Import aus den Staaten, bekam hier eine Vollabnahme und H-Gutachten. Aufgrund der Entfernung konnte ich den Wagen jedoch lediglich auf Fotomaterial besichtigen und auf den Fotos sah er aber sehr gut aus - hatte wenig Laufleistung und wurde auch beim Gespräch mit dem Verkäufer am Telefon mit einem guten Zustand beworben. Nach der Lieferung fielen mir dann sofort 2 Roststellen auf, wo ich mir noch sagte "Hey - das Auto ist 40 Jahre alt - darf es haben, also reparierst du es einfach". Bei der Reparatur stellen sich dann jedoch weitere Roststellen heraus, die sogar zur Demontage der Innenverkleidungen, Kotflügel und Windschutzscheibe führten. Aber Ok - altes Auto. Der Wagen ging daraufhin zum Lackierer und wurde dort weiter behandelt. Dabei kamen dann weitere Mängel zum Vorschein: Die Beifahrertüre wurde bereits im unteren Bereich dick mit Spachtel überzogen - die Unterkante wurde ausgetauscht und von innen nicht versiegelt - das Blech rostete durch. Jedoch war das gesamte untere Türdrittel komplett verbeult - dazu braucht es schon einen recht großen Hammer. Ca. 8mm dicke Spachtelbrocken musste ich abschlagen. An einer Stelle wurde das Blech der Seitenwand bereits ausgetauscht. Durch die schlechte Arbeit waren Blechteile vollständig durchrostet. Auf der anderen Seitenwand hatte der Wagen einen weiteren Treffer kassiert - das Blech war eingedrückt und wurde mit massig Spachtel übergetüncht. Von außen nur anhand sehr schlechtem Lackbildes zu sehen und von innen sind deutlich Schweißpunkte vom Blechzughammer erkennbar. Auch die Seitenscheiben waren stümperhaft montiert. Diese wurden nicht mit Scheibenkleber, sondern einer kaugummiartigen Substanz montiert und fielen bei der Demontage der Zierleisten dem Lackierer bereits entgegen. Laut Verkäufer wurden die Seitenwände zwar überlackiert (was man auch sehen konnte), ein Grund wurde jedoch nicht genannt - angeblich schlechter Lack oder Kratzer. Nun meine Frage: Im Kaufvertrag ist der Wagen wie folgt beschrieben: "Keine Unfallschäden laut Vorbesitzer" "Dem Verkäufer sind auf andere Weise keine Unfallschäden bekannt" Weitere Regelungen gibt es im Kaufvertrag nicht. Durch die Beseitigung der Durchrostungen an den unfachmännisch ausgeführten Blech- und Spachtelarbeiten ist der Preis für die Lackierung deutlich gestiegen. Kann man beim Verkäufer hierfür mitunter Schadensersatz geltend machen? Gekauft wurde das Fahrzeug Mitte Dezember 2018, geliefert in der 2ten KW im Januar. Danke im Voraus für eure Antworten.