WiWo App 1 Monat für nur 0,99 €
Anzeigen

IT-Sicherheit So schließen Sie die gefährliche WLAN-Lücke

Eine brisante Lücke in der WLAN-Verschlüsselung ermöglicht es Hackern, auch in vermeintlich sicheren Funkverbindungen Passwörter und andere sensible Daten mitzulesen. Was Sie jetzt wissen müssen und wie Sie sich schützen.

  • Artikel teilen per:
  • Artikel teilen per:

Eigentlich hat das Verschlüsselungsverfahren WPA2 einen exzellenten Ruf, wenn es darum geht, Computer, Smartphones oder vernetzte Büro- und Hausgeräte sicher mit schnurlosen WLAN-Basisstationen zu verbinden und gegen Mitlesen durch Unbefugte zu schützen. Nun aber haben Mathy Vanhoef und Frank Piessens, zwei belgische IT-Sicherheitsforscher der Universität Leuven, eine schwere Schwachstelle in der Verschlüsselung entdeckt (die technischen Details haben sie hier publiziert).

Danach sind Hacker selbst bei korrekt verschlüsselten Funknetzen in der Lage, sich in die Verbindung einzuklinken und beispielsweise Anmeldedaten, Nutzernamen und Passworte im Datenstrom mitzulesen. Die Lücke ist so brisant, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die offizielle Warnung veröffentlicht hat, "WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online-Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen". Zwar gibt es nach Angaben des WLAN-Herstellerverbandes Wi-Fi Alliance bisher keine Anzeichen, dass die Lücke bereits von Angreifern ausgenutzt wurde. Doch das ist zunächst einmal nur eine erste, vorläufige Einschätzung.

Wer ist betroffen?

Gefährdet ist so gut wie jeder Nutzer eines Smartphones, Laptops oder sonstigen Gerätes, das via WLAN aufs Internet zugreift oder vernetzt ist. Die KRACK genannte Sicherheitslücke (für Key Re-use AttaCK) ist deshalb so brisant, weil sie ausnahmslos alle aktuellen Betriebssysteme betrifft - also Android, iOS, Linux, MacOS und Windows. Und sie existiert bei Smartphones und Basisstationen gleichermaßen, weil sie quasi technischer Bestandteil einer Basisfunktion des Verschlüsselungsverfahrens WPA2 ist.

Zwar ist es üblich, dass Sicherheitsforscher beim Entdecken von Lücken die IT-Hersteller vorab über ihre Erkenntnisse informieren. Gerade bei besonders brisanten Schwachstellen (insbesondere, wenn das Risiko besteht, dass sie möglicherweise durch Hacker bereits ausgenutzt werden) ist der zeitliche Vorlauf zwischen Warnung der Industrie und Veröffentlichung der Information über die Lücke aber häufig sehr kurz. Dann haben die Hardwarehersteller nicht unmittelbar eine Reparatursoftware - einen sogenannten Sicherheits-Patch - parat. So ist es aktuell auch bei KRACK.

Anwender müssen sich also erst einmal selbst schützen. Mehr dazu lesen Sie auf Seite zwei.

Wo liegt das Problem?

Was KRACK so brisant macht ist, dass das Problem nicht - wie sonst oft - durch einen Programmfehler in einzelnen Geräten ausgelöst wird. Vielmehr liegt die Lücke im Konzept des Verschlüsselungsverfahrens selbst. Die belgischen Forscher nutzen nämlich eine Kernfunktion von WPA2 aus. Die soll eigentlich ermöglichen, dass die Verbindung zu einem zuvor bereits genutztem WLAN-Zugang auch bei schwachem, wackeligem Netz rasch wieder aufgebaut werden kann. Möglich macht das eine Funktion, die in den WLAN-Standards 802.11r und 802.11s definiert und in vielen Routern und Endgeräten aktiviert ist.

Weil dabei Basisstation und Endgerät teils mehrfach einen temporären Code austauschen, ist es möglich, dass sich Hacker in diesen Schlüsselaustausch einklinken. Gegenüber dem Endgerät tun sie dabei so, als seien sie die Basisstation, gegenüber der Basisstation geben sie sich als Endgerät aus. Dieses Angriffsmodell ist als "Man-in-the-Middle-Attack" bekannt; ein Angriff mit dem Feind in der Mitte zwischen den ahnungslosen Beteiligten.

Das WPA2-Verfahren lässt es nun zu, dass - zumindest, wenn das Endgerät schon einmal korrekt mit der WLAN-Basisstation verbunden war - Funkverbindungen aufgebaut werden, ohne dass noch einmal der geheime Netzzugangsschlüssel selbst zwischen Endgerät und Basisstation ausgetauscht wird. Der Angreifer muss ihn also gar nicht kennen, um sich in die Verbindung einzuschalten. Stattdessen reicht es, einen temporären Code abzugleichen, der im Normalfall nur einmal gültig ist.

Vanhoef und Piessens ist es aber gelungen, diesen Code sozusagen zu recyceln; daher der Name Key Re-Use Attack. Dieser Fehler im Sicherheitskonzept von WPA2 muss nun von allen Herstellern behoben werden.

Was machen die Smartphone- und Tablet-Hersteller?

Im Fall von Android-Geräten sprechen die belgischen Sicherheitsforscher von einer "besonders verheerenden Variante" des Angriffs, die den Zugriff auf die sensiblen Daten besonders einfach mache. Als besonders gefährdet gilt dabei gilt die ältere Android-Version 6.0, die Schätzungen zufolge noch auf gut 40 Prozent der mobilen Geräte läuft. Google hat die grundsätzliche Anfälligkeit seiner Android-Software in einer Stellungnahme gegenüber Cnet.com bestätigt und angekündigt, für "die betroffenen Geräte in den nächsten Wochen" Reparaturprogramme bereitzustellen.

Angesichts der potenziellen Masse betroffener Android-Systeme klingt das allerdings überraschend geruhsam.

Problematisch ist zudem, dass - selbst wenn Google im Rahmen seiner monatlichen Sicherheits-Updates auch einen Schutz gegen KRACK veröffentlicht - diese Updates nur für neuere Android-Versionen verfügbar sind. Und zudem verteilt auch längst nicht jeder Smartphone-Hersteller diese Updates zeitnah an Nutzer seiner Telefone weiter. Laut einer Auswertung des Magazins Connect sind nur wenige Hersteller so schnell wie Google selbst, manche patchen nur zweimonatlich, andere - speziell viele Billighersteller - reichen die Updates gar nicht weiter. Und wer ein Android-Handy besitzt, das älter als zwei Jahre ist, bekommt meist ohnehin keinerlei Aktualisierung mehr.

Welcher Sicherheits-Patch auf dem privaten Android-Telefon installiert ist, zeigt sich, wenn der Nutzer die Einstellungen öffnet und den Unterpunkt "Über das Telefon" (oder eine ähnliche Bezeichnung) aufruft. Dort findet sich unter "Android Sicherheitspatch" dessen Veröffentlichungsdatum. Grundsätzlich gilt: Je jünger, desto besser. Auch der Patch vom 1. Oktober aber behebt die KRACK-Lücke noch nicht.

Apples neues Betriebssystem iOS 11 gilt Sicherheitsforschern zufolge schon aktuell als recht angriffsresistent gegen die neuen WLAN-Angriffe. "Krack ist zwar eine denkbare aber eher uninteressante Bedrohung", schreibt etwa der Sicherheitsexperte Kevin Beaumont. Online-Berichten zufolge testet Apple aktuell aber noch zusätzliche Reparaturprogramme für die aktuellen Versionen seiner Betriebssysteme iOS, watchOS, tvOS und macOS. Anders sieht es aus bei Nutzern älterer iOS-Versionen. Wer dort sicher gehen will, dass niemand mitliest, muss über die Einstellungen-App auf iOS 11 aktualisieren. Besitzer älterer Geräte (wie das iPhone 5, 5c und den iPads der vierten Generation), für die Apple kein iOS 11 mehr anbietet, gehen vorerst leer aus.

Statt auf Hilfe vom Hersteller zu hoffen, bleibt auch da nur der Selbstschutz - siehe Seite zwei.

Wie Sie sich vor Schnüfflern schützen

Wie ist die Lage bei Laptops oder Desktop-PCs

Die Microsoft hat bereits vor wenigen Tagen einen Patch veröffentlicht, der die Sicherheitslücke schließt, dies aber zunächst nicht kommuniziert. Ob die Reparatursoftware beim nächsten turnusmäßigen Update für den Rechner auch automatisch installiert wird, hängt davon ab, ob die PC-Nutzer diese Option aktiviert haben. Andernfalls müssen sie das Update manuell auslösen, indem sie im Windows-Suchfeld in der Fußleiste "Windows Update" eingeben, das entsprechende Steuerungsmenü aufrufen und dann die Aktualisierung bestätigen.

Auch für Apples PC-Betriebssystem MacOS gilt, dass Apple an einem Update zur Absicherung arbeitet. Aktuell befindet sich die Software aber wohl noch im Beta-Test-Stadium, ein Erscheinungstermin offen. Ob und wann es Sicherheits-Updates auch für ältere Besitzer macOS-Versionen geben wird, ist derzeit ebenfalls unklar.

Auch für die verschiedenen Linux-Varianten haben die Distributoren bereits Updates angekündigt, oder sie haben wie der Unix-Ableger OpenBSD bereits ein Update erhalten. In allen Fällen gilt: Sofern der Nutzer keine automatische Aktualisierung eingestellt hat, muss dies manuell angestoßen werden.

Wie steht es bei Routern und anderer WLAN-Technik?

Aktuell prüfen alle Anbieter, ob und wie kurzfristig sie Updates bereitstellen müssen. AVM, der Hersteller der Fritz!Box, etwa hat ein Update versprochen "falls notwendig", was anzunehmen ist. Der deutsche Netzwerktechnik-Experte Lancom will "kurzfristig ein [...] Sicherheitsupdate für alle WLAN-Geräte herausbringen". Andere Router-Hersteller werden mit Sicherheit folgen.

Ob und wie Hersteller anderer WLAN-Geräte - von der Web-Cam über HiFi-Anlagen mit Web-Zugang bis zum vernetzten Fernseher - Updates für ihre Geräte anbieten, ist noch weitgehend unklar. Hier bleibt Anwendern nur die Möglichkeit, auf den Online-Support-Seiten der Firmen nachzusehen. Allerdings veröffentlichen Hersteller vernetzter Haustechnik grundsätzlich eher selten Aktualisierungen für ihre Technik, vielfach auch gar nicht.

Daher ist es umso wichtiger, die Basisstationen zu aktualisieren, damit die WLAN-Verbindung zumindest von dieser Seite aus geschützt und KRACK-Angriffe nicht möglich sind. Auch hier hilft der Blick auf die Support-Seiten der Hersteller weiter.

Welche Möglichkeiten gibt es sonst, sich zu schützen?

"Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof", rät BSI-Chef Arne Schönbohm in der aktuellen Warnung der Bonner Behörde. Und da hat er recht. Denn im Grunde funktioniert auch KRACK so, wie der Zugriff von Schnüfflern in öffentlichen, unverschlüsselten Netzen. Auch dort ist es ein Leichtes für Hacker, Man-in-the-Middle-Attacken zu fahren. Es sei denn, die Nutzer schützen sich selbst. Was allerdings noch immer die wenigsten Nutzer tun.

Den besten Schutz gegen Spione bietet der Weg ins Netz über eine sogenannte VPN-Verbindung; ein "virtuelles, privates Netz". Dabei bauen Handy, Tablet oder PC eine besonders abgesicherte Direktverbindung zu einem sicheren Zugangspunkt ins Internet auf. Das kann der Internetzugang am Arbeitsplatz, daheim oder bei einem speziellen Dienstleister sein. Dieser Netzzugang verläuft - auch in öffentlichen WLAN-Netzen oder bei einem KRACK-Angriff - nochmals extra codiert durch einen sogenannten "VPN-Tunnel".

Das gilt als Mittel der Wahl, um sensible Daten vor fremden Zugriffen oder heimlichen Mitlesern zu schützen. Kein Wunder, dass etwa die chinesische Regierung ihren Bürgern verbietet, VPN-Dienste zu nutzen und auch Ausländern den Zugriff auf VPN-Angebote zunehmend erschwert.

So praktisch VPNs zum Schutz der Verbindungen sind, leider ist die Konfiguration des sicheren Netzzuganges in der Regel nichts für technische Laien. Zwar gibt es in den App-Stores Programme verschiedener Dienstleister (hier etwa für Android, und hier für iOS) die es erleichtern, ein VPN einzurichten. Aber zum einen sind die Angebote teilweise kostenpflichtig, oder die Zugänge sind in der Geschwindigkeit oder im Datenvolumen gedrosselt. Zudem ist es auch eine Vertrauensfrage, ob der Nutzer seine sensiblen Daten über die Server eines fremden VPN-Anbieters verschicken will.

Eine interessante Alternative (zumindest für Android-Nutzer) bietet AVM mit seiner MyFritz-App. Die ist in der Lage, auf Wunsch vom Smartphone aus über fast beliebige Netzzugänge verschlüsselte VPN-Verbindungen zur heimischen FritzBox aufzubauen. Das klappt im freien WLAN des Internet-Cafés genauso wie im ICE, übers normale Mobilfunknetz und sogar daheim im eigenen WLAN.

In jedem Fall bleiben die Daten dann zusätzlich verschlüsselt, egal wer im drahtlosen Netz mitliest und egal, ob Smartphone oder Router schon gegen KRACK gesichert sind.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%