News vom 01.11.2017

WLAN-Sicherheitslücke Krack

Ein Artikel von , veröffentlicht am 17.10.2017, bearbeitet am01.11.2017

Im Protokoll, das WLAN verschlüsselt, wurde eine Schwachstelle entdeckt. Über die „Krack“-Lücke lässt sich Datenverkehr mitlesen und verändern. Besonders heikel: sowohl Router als auch Gerät brauchen ein Update. Wir erklären, wer betroffen ist und was Sie jetzt tun können.

Wenn Sie ein Passwort eingeben müssen, bevor Sie ein WLAN nutzen können, so ist dieses verschlüsselt. Das heißt, die Kommunikation zwischen Endgerät und Router ist für Dritte nicht lesbar.

Die Regeln, nach denen diese Verschlüsselung funktioniert, folgen fast überall dem sogenannten WPA2-Standard - der bislang als sicher galt. In diesem Standard hat nun der Forscher Mathy Vanhoef von der Katholischen Universität Löwen (Belgien) eine Sicherheitslücke entdeckt, die er Krack (für Key Re-Use Attack) getauft hat.

Wer ist betroffen?

Endgeräte sind in unterschiedlichem Maße gefährdet. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) können die Schwachstellen bei Geräten mit Apple- und Windows-Betriebssystem nur eingeschränkt ausgenutzt werden. Deutlich gefährdeter sind dagegen Geräte mit Android- und Linux-Betriebssystemen.

Betroffen sind nach Aussage der Forscher alle Geräte mit Android-Version 6.0 oder höher. Bei rund 50 Prozent aller Android-Geräte sei somit eine „besonders verheerende“ Version des Angriffsszenarios möglich. Aber auch die meisten Router brauchen ein Update.

So funktioniert die Schwachstelle

Die Lücke ist tückisch: WPA2 ist der gängige Sicherheitsstandard von WLAN-Netzwerken, seien es öffentliche Netzwerke oder die von heimischen Routern.

Der Standard sieht vor, dass Endgerät und WLAN-Router in einem mehrstufigen Verfahren Schlüssel miteinander austauschen. Dabei ist es auch möglich, dass ein bereits ausgetauschter Schlüssel wiederholt gesendet wird. Der Modellangriff zeigte, dass es durch eine Manipulation der Prozesse an diesem Punkt faktisch möglich ist, die Verschlüsselung auszuhebeln.

Allerdings muss sich der Angreifer dafür in Reichweite des jeweiligen WLAN-Netzes befinden, wobei sich mithilfe von Spezialantennen der mögliche Zugriffs-Radius erweitern lässt. Nach bisherigen Erkenntnissen sind keine Fälle von tatsächlichen WPA2-Attacken durch Cyberkriminelle bekannt. Dennoch schätzen IT-Experten aus aller Welt die Sicherheitslücke als sehr ernst ein.

Das können Sie tun

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) riet in seinem Statement zu großer Vorsicht: Man sollte das heimische WLAN-Netzwerk bis zur Verfügbarkeit von Sicherheits-Updates so nutzen, als würde man sich in ein offenes Netz einwählen. Man solle also davon ausgehen, dass der gesamte Datenverkehr unverschlüsselt ist.

Dies gilt natürlich nur eingeschränkt. Denn an vielen Stellen gibt es bereits zusätzliche Verschlüsselung. Wenn Sie zum Beispiel eine Webseite aufrufen, bei der Sie in der Adresszeile HTTPS und ein Schlosssymbol sehen, so ist der Datenverkehr zwischen Ihrem Gerät und dieser Seite für Dritte nicht lesbar - auch wenn das WLAN unsicher ist. Und https ist gängige Praxis bei vielen Web-Angeboten mit sensiblem Datenverkehr, wie etwa Shops oder Banking-Seiten.

Auch E-Mail-Verkehr ist bei praktisch allen Providern TLS-Verschlüsselt, wäre also auch bei offenem WLAN nicht lesbar.

Zusätzlich können Sie Ihren Datenverkehr auch mit einem VPN-Dienst absichern. Dabei wird Datenverkehr nicht direkt vom Nutzer zur Ziel-Webseite oder -App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter. Auch VPN-Verbindungen sind Ende-zu-Ende-verschlüsselt.

Und, fast schon vergessen, aber immer noch brauchbar: Nutzen Sie falls möglich das gute alte LAN-Kabel statt des WLAN-Netzes.

Was ein VPN-Dienst ist und wie Sie ihn mit dem Mobilgerät nutzen können, erfahren Sie im Beitrag Mehr Privatsphäre mit VPN.

Updates können das Problem lösen

Microsoft hat die Lücke nach Erkenntnissen des Onlinemagazins „The Verge“ bereits durch eine kürzlich veröffentliche Aktualisierung bereits Mitte 2017 geschlossen. Apple hat sie in einer Beta-Version seiner Betriebssysteme geschlossen. Seit 31. Oktober ist mit iOS 11.1 ein reguläres Update für die letzte Version des mobilen Betriebssystems verfügbar, eigentlich für alle iPhones ab Version 5s und Apple-Tablets ab Version iPad Air. Die Krack-Lücke wird in diesem Update nach Firmenangaben allerdings nur für iPhones 7 und höher sowie iPad iPad Pro 9.7 ab Baujahr behoben, ohne dass Apple diesen Umstand erläutert.

Google will laut The Verge Updates für betroffene Android-Geräte „in den kommenden Wochen“ liefern. Den Beginn macht die Unternehmens-eigene Pixel-Marke, für sie soll es ab 06. November eine Aktualisierung geben. Noch nicht abzusehen ist jedoch, wann und ob überhaupt Updates bei Android-Geräten anderer Hersteller ankommen.

Auch Router brauchen ein Update

Die Update-Pflicht betrifft diesmal nicht nur PC und Smartphone, sondern auch den heimischen Router. Beide Seiten der WLAN-Kommunikation müssen ein Update bekommen. Wenn beispielsweise das Smartphone bereits über aktualisierte Software verfügt, der Router aber nocht nicht, ist die Lücke nicht geschlossen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber Mobilsicher bestätigt: „Nein, ein Update nur eines Geräts reicht nicht.“

Und bei Routern ist die Situation kritischer als bei Endgeräten, wie das Sicherheitsunternehmen F-Secure laut Presseberichten anmerkt. Router seien oft schlecht gesichert und mit veralteter Firmware ausgestattet. Wenn man vom Anbieter keine aktuellen Updates für den Router erhalte, sollte man sich vielleicht gar überlegen, ein neues Gerät zu kaufen.

AVM, der Hersteller der weit verbreiten WLAN-Routers "Fritzbox", hat mittlerweile mitgeteilt, dass diese Router-Marke nicht von der Lücke betroffen ist, da die Geräte eine technische Norm verwenden, die nicht von Krack betroffen sei. Updates bereitgestellt hat das Unternehmen allerdings für WLAN-Repeater, mit denen sich ein Netzwerk verstärken lässt, sowie für Produkte der Powerline-Marke, das WLAN über die Steckdose liefert. Ein Router-Update müssen Nutzer über das jeweilige Router-Menü selbst abrufen und installieren. Auch andere Hersteller wie Cisco oder Intel veröffentlichten bereits erste Sicherheits-Updates.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Google-Dienste richtig einstellen: So geht’s!

Google ermöglicht Android-Nutzern eine ziemlich detaillierte Einstellung seiner Dienste, doch nicht jeder weiß, wo die Punkte im Handy und im verknüpften Google-Konto zu finden sind. Wir zeigen in diesem Video Schritt für Schritt, wie Sie alles richtig einstellen und dabei die Kontrolle über Ihre Daten behalten.

Ansehen
Kinder und Jugendliche 

Cyber-Grooming: Was tun bei sexuellen Übergriffen im Netz?

Wenn Erwachsene sich im Internet das Vertrauen von Kindern erschleichen, um sie sexuell auszunutzen, spricht man von Cyber-Grooming. Wie man Cyber-Grooming erkennt, sich davor schützt und was im Fall der Fälle zu tun ist, erfahren Sie hier.

Mehr
Ratgeber 

Android 9 (Pie): Das ist neu bei Sicherheit und Datenschutz

Im August 2018 hat Google die Android-Version Nummer 9.0 veröffentlicht: Android Pie. Sie bringt neben allerlei neuen Funktionen auch handfeste Verbesserungen für Privatsphäre und App-Sicherheit mit. Unter anderem können Apps nicht mehr aus dem Hintergrund auf Gerätesensoren zugreifen und unbemerkt den Standort über WLAN feststellen.

Mehr
Ratgeber 

App-Tipps: Mit dem Handy in den Frühling

Pflanzen am Wegrand bestimmen, erfolgreich Gemüse anbauen oder Vogelstimmen zuordnen – dabei helfen kostenlose Apps. Damit Sie den Frühlingsspaß nicht mit Ihren Daten bezahlen müssen, haben wir vier sichere Apps für Sie recherchiert.

Mehr