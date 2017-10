Angreifer, die sich in Reichweite des WLAN-Netzwerks befinden, könnten darüber theoretisch Informationen abgreifen, wie die Experten in einem Blogeintrag warnen. Zudem sei es möglich, Nutzern schädlichen Programmcode unterzuschieben, etwa einen Verschlüsselungstrojaner. Davon ist ein Großteil der Internetnutzer betroffen. „Jedes Gerät, das WLAN nutzt, ist wahrscheinlich verwundbar“, schreibt der Forscher Mathy Vanhoef .

Auch Millionen von Routern, Smartphones und PCs in Deutschland haben damit gravierende Sicherheitslücken – die Forscher fassen diese unter dem griffigen Namen „Krack“ zusammen, eine Abkürzung für „Key Reinstallation Attacks“. Nutzer und Unternehmen müssen aber trotzdem nicht in Panik verfallen, wenn sie ein paar Sicherheitsregeln beherzigen.

Die Forscher entdeckten Schwachstellen im Standard WPA2. Es handelt sich um ein Verfahren zur Verschlüsselung von WLAN-Netzwerken, das bislang – im Gegensatz zu älteren Standards wie WPA und WEP – als relativ sicher gegolten hat. Es soll zum einen gewährleisten, dass nur berechtigte Nutzer den Internetzugang verwenden, zum anderen, dass der Datenverkehr vertraulich bleibt.

Bislang sind keine Fälle bekannt, in denen Angreifer die Schwachstelle ausgenutzt hätten. Das zumindest berichtet die Wi-Fi Alliance, ein Industriekonsortium, das sich um die Entwicklung des WLAN-Standards kümmert. Sicherheitsforscher haben auch noch keine schädliche Software entdeckt, die auf Krack abzielt. Dennoch raten die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Vorsicht – das gilt sowohl für Privatnutzer als auch für Unternehmen.

Kabel statt Funk

Kriminelle können sich nicht aus der Ferne Zugriff auf den Router oder das Smartphone verschaffen, anders als beispielweise bei einer Sicherheitslücke wie Heartbleed, die ebenfalls einen Verschlüsselungsstandard betraf. Das heißt: Wollen sie Daten stehlen, müssen sie zumindest in Funkreichweite sein. Doch das Signal durchdringt auch Hauswände, wie sich in Großstädten auf jeder Straße anhand der verfügbaren Netzwerke sehen lässt.

Das BSI empfiehlt daher bis auf weiteres, keine sensiblen Informationen über WLAN-Netzwerk zu übertragen. Online-Banking ist demnach also tabu. „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof“, erklärte BSI-Präsident Arne Schönbohm. Ohne zusätzlichen Schutz verzichte man besser darauf, sensible Daten zu versenden.

Es gibt allerdings Alternativen. Wer mit einem Notebook online geht, kann es per Kabel an den Router anschließen. Auf dem Smartphone bietet die klassische Mobilfunkverbindung Sicherheit. Zudem verschlüsseln VPN-Dienste die gesamte Kommunikation schon auf dem Gerät und gewährleisten damit Vertraulichkeit.



Viele Websites sind verschlüsselt



Das BSI geht auf Nummer sicher. Allerdings dürften viele Websites auch so geschützt sein: Sie nutzen verschlüsselte Übertragungsverfahren, zu erkennen am https vor der Web-Adresse und dem Schlüssel in der Browser-Leiste. Praktisch alle Banken und E-Mail-Anbieter, aber auch große Portale wie Facebook und Google setzen derartige Standards ein. Inzwischen ist mehr als 60 Prozent des Datenverkehrs im Internet verschlüsselt, wie der Browser-Hersteller Mozilla berichtet.

Dieses Verfahren bietet jedoch nur Schutz, wenn es richtig eingesetzt wird. Die Forscher aus Belgien demonstrierten anhand des Dating-Portals Match.com, dass sich der Mechanismus bei falscher Verwendung aushebeln lässt. Bei Smartphones-Apps können Verbraucher ohnehin kaum nachvollziehen, ob diese Daten verschlüsseln und wenn ja, wie. Eine Untersuchung im Frühjahr 2016 ergab, dass auch die Hersteller vieler beliebter Anwendungen schlampen.

Versierte Angreifer dürften zudem in der Lage sein, aus den WLAN-Daten einige sensible Informationen zu gewinnen. Einerseits können sie die MAC-Adressen von Geräten abfischen, die eindeutig sind; andererseits bekommen sie einen Einblick in das Nutzungsverhalten, inklusive der besuchten Websites und den Nutzungszeiten. Wer also auf Nummer sicher gehen will, beherzigt die Tipps des BSI.

Das Problem ist weitreichend, aber glücklicherweise lösbar: Mit einem Update können die Gerätehersteller die Sicherheitslücken schließen, wie die Wi-Fi Alliance betont. Die belgischen Forscher haben viele Unternehmen bereits vorab informiert. Daher bietet Microsoft bereits einen Patch – also einen Sicherheitsflicken – für alle Windows-Versionen an, die noch Unterstützung erhalten. Das Update vom 10. Oktober enthalte ihn bereits, erklärte der Konzern dem Technikportal „The Verge“.

Auch Apple arbeitet daran, die Sicherheitslücke zu schließen, ein Patch ist bislang in einer Beta-Version der Betriebssysteme für Smartphones, Tablets, Fernsehboxen und Smartwatches enthalten und soll in einigen Wochen allen Nutzern zur Verfügung stehen. Google kündigte ebenfalls an, ein Update für Android zu entwickeln. Allerdings ist offen, wie lange es dauert, bis die Gerätehersteller dieses den Nutzern zur Verfügung stellen – oder ob überhaupt.

Gewarnt sind auch die Telekommunikationsanbieter. „Unsere Experten analysieren die Informationen und werden alle weiteren Details umfassend bewerten“, erklärte etwa Vodafone. Falls die Gerätehersteller ein Software-Update bereitstellen, werde dies „umgehend“ eingesetzt – „wie in solchen Fällen üblich“.