Koenzens Netzauge

Das KRACK-Dilemma

"Millionen WLANs unsicher", lauteten die ersten Meldungen. Auch wenn es bei genauerem Hinsehen zuletzt weit schlimmere Sicherheitslücken gab, offenbart KRACK: Wir brauchen eine gesetzlich geregelte Update-Pflicht.

Sicherheitslücke KRACK auf einem Monitor Quelle: dpa

Erinnern Sie sich noch an Mirai? Vor einigen Monaten war bekannt geworden, dass Millionen von Routern ohne Kenntnis ihrer Besitzer in ein Botnet eingebunden und zu scharfen Angriffswerkzeugen im Cyber-Crime umfunktioniert worden waren. Das Ziel? Unternehmen auf der ganzen Welt, die unter Androhung schmerzlicher Denial-of-Service-Attacken erpresst werden sollten.

Oder WannaCry. Auch bei uns in Deutschland sorgte die Erpressungssoftware im Mai dieses Jahres für Aufsehen und legte nicht nur die Systeme der Deutschen Bahn lahm. Auch hier: Massenhafte Angriffe aus der Ferne, Erpressungsversuche im großen Stil, die Schäden enorm. Hunderttausende Systeme waren Experten zufolge betroffen.

Eine andere Nummer

Da kann KRACK nicht mithalten. Die Lücke ist sehr kompliziert auszunutzen und etwas für echte Profis. Auch muss sich ein Angreifer vor Ort in physischer Reichweite des WLAN befinden und gezielt versuchen, den Lauschangriff zu starten. Weltweite Massenangriffe aus dem sicheren Off sehen anders aus. Kein Wunder, dass Experten davon ausgehen, dass die Schwachstelle bislang nicht ausgenutzt wurde. Dass es bislang kein einziges Opfer gab.

Dennoch: KRACK ist eine ernstzunehmende Lücke, die man nicht ignorieren darf. Besonders Unternehmen sind gut beraten, umgehend verfügbare Sicherheits-Updates zu installieren. Und auch Privatanwender sollten ihre Smartphones, Router und Co. schnellstmöglich aktualisieren, um sich auch zukünftig vor ungewolltem Mitlesen zu schützen.

Das Dilemma

Doch genau hier offenbart sich das Dilemma. Während nämlich bei WannaCry Uraltsysteme betroffen waren, die nach gesundem Menschenverstand eigentlich gar nicht mehr hätten eingesetzt werden dürfen, betrifft KRACK so ziemlich jedes – auch noch so aktuelle – WLAN-Gerät auf der Welt. Hier ist also nicht der Anwender in der Pflicht, sondern vor allem die Hersteller.

Und da geht die Schere ganz weit auseinander. Während viele Hersteller vorbildlich schnell KRACK Sicherheits-Updates lieferten, bleiben Millionen von Usern besonders von Android-Smartphones vermutlich auf der Lücke sitzen. Dasselbe gilt für unzählige Billig-Router und WLAN-fähige Smart-Home-Geräte, für die es schlichtweg keine Updates geben wird. Patch-Management seitens der Hersteller? Ein Glücksspiel.

Die Update-Pflicht muss her

Das Problem ist nicht neu und eine Lösung längst überfällig. Dennoch warten Verbraucher und Unternehmen bis heute vergeblich darauf, dass Sicherheits-Updates keine freiwillige Leistung mehr sind.

Klar ist: Hier muss die Politik Gas geben. Wir brauchen eine gesetzlich verankerte Update-Pflicht bei Sicherheitslücken – und zwar besser heute, als morgen. Es kann nicht sein, dass am Ende der Anwender im Regen stehen bleibt und keine andere Wahl hat, als seine Geräte im unsicheren Zustand weiter zu betreiben oder zu Elektroschrott zu deklarieren.   

Bis es allerdings soweit ist, sind alle gut beraten, beim Kauf zweimal nachzufragen: wie sieht die Update-Politik des Herstellers aus? Ist er in der Vergangenheit positiv oder negativ aufgefallen, gibt es gar schriftliche Update-Garantien? Alles andere wäre angesichts der stets wachsenden Bedrohungen aus dem Cyber-Raum schlicht fahrlässig. Denn dass KRACK, Mirai und WannaCry nicht die letzten ihrer Art gewesen sein dürften, muss jedem klar sein.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%