Was man zur WPA2-Sicherheitslücke wissen muss
17. Oktober 2017Worum geht es?
Experten für IT-Sicherheit haben gravierende Sicherheitslücken in dem Verschlüsselungsprotokoll WPA2 entdeckt. WPA steht für "Wifi Protected Access" und ist ein Verschlüsselungsverfahren zur Absicherung einer drahtlosen Internetverbindung, auch als WLAN (Wireless Local Area Network) bekannt. Das WPA2-Verfahren galt bislang als sicher, ältere Standards wie der Vorgänger WPA wurden dagegen vor Jahren als nicht mehr sicher ausgemustert.
Was für ein Problem gibt es mit WPA2?
Sicherheitsforscher der Katholischen Universität Löwen in Belgien konnten mit einer simulierten Attacke namens "KRACK" (Key Reinstallation Attack) demonstrieren, dass es Angreifern möglich ist, diese WPA2-Verschlüsselung aufzubrechen. Die belgischen Forscher entdeckten nach eigenen Angaben einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe es ermöglicht, die Verschlüsselung zu knacken.
Warum ist diese Sicherheitslücke gefährlich?
Mit WPA2 soll zum einen dafür gesorgt werden, dass sich nur berechtigte Nutzer in ein WLAN einloggen können. Das Verschlüsselungsverfahren soll aber auch verhindern, dass die drahtlos übertragenen Daten von Unbefugten mitgeschnitten werden können. Außerdem verhindert die Verschlüsselung, dass Daten auf dem Übertragungsweg manipuliert werden. Die Sicherheitslücke gefährdet all diese Vorsichtsmaßnahmen.
Was bedeutet diese Sicherheitslücke für Nutzer?
Über die Konsequenzen aus der "KRACK"-Attacke sind sich Sicherheitsexperten noch nicht einig: Bislang gibt es nach Auskunft des Branchenverbandes WiFi Alliance keine Anzeichen dafür, dass die entdeckte Sicherheitslücke bereits von Computerkriminellen ausgenutzt wird. Fachleute der Wifi Alliance verwiesen darauf, dass zusätzliche Verschlüsselungs-Mechanismen wie HTTPS, beispielsweise beim Online-Banking, oder virtuelle private Netzwerke (VPN) durch die Attacke nicht ausgehebelt werden können. Daher seien Online-Banking oder die Kommunikation mit WhatsApp über WLAN weiterhin sicher. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hält dagegen: Seine Experten raten, vorerst auf Online-Banking in einem mit WPA2 gesicherten WLAN zu verzichten.
Worauf müssen Internetnutzer jetzt achten?
Den Forschern aus Löwen zufolge bringe es jetzt nichts, das eigene WLAN-Passwort zu ändern. Ihrer Einschätzung zufolge sind Geräte aller Hersteller betroffen. Der Chaos Computer Club sieht bei VPN-Verbindungen hingegen kein Problem. Viele Internetnutzer verwenden diese Sicherheitsstandards allerdings nicht. Das BSI rät vom Einkaufen im Netz via WLAN ab, auch wenn fast alle Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht von dem WPA2-Standard des WLANs abhängt. Das kabelgebundene Surfen sei dagegen sicher. Ansonsten sind die Experten zuversichtlich: Angreifer können mit der "KRACK"- Methode ihre Attacken nicht millionenfach über das Netz ausführen, sondern müssen sich jeweils in der räumlichen Nähe des WLAN-Hotspots aufhalten.
Kann die Sicherheitslücke geschlossen werden?
Die Lücke kann durch ein Software-Update geschlossen werden. Verbraucher müssen also nicht auf einen neuen Sicherheitsstandard warten, auch wenn in der Branche bereits an einem WPA3-Konzept gearbeitet wird. Anwender sollten sich nun bei den Herstellern ihrer WLAN-Geräte nach einer Softwareaktualisierung erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits solche Sicherheitsupdates zur Verfügung. Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde "falls notwendig wie gewohnt ein Update bereitstellen".