News vom 01.11.2017

WLAN-Sicherheitslücke Krack

Ein Artikel von , veröffentlicht am 17.10.2017, bearbeitet am01.11.2017

Im Protokoll, das WLAN verschlüsselt, wurde eine Schwachstelle entdeckt. Über die „Krack“-Lücke lässt sich Datenverkehr mitlesen und verändern. Besonders heikel: sowohl Router als auch Gerät brauchen ein Update. Wir erklären, wer betroffen ist und was Sie jetzt tun können.

Wenn Sie ein Passwort eingeben müssen, bevor Sie ein WLAN nutzen können, so ist dieses verschlüsselt. Das heißt, die Kommunikation zwischen Endgerät und Router ist für Dritte nicht lesbar.

Die Regeln, nach denen diese Verschlüsselung funktioniert, folgen fast überall dem sogenannten WPA2-Standard - der bislang als sicher galt. In diesem Standard hat nun der Forscher Mathy Vanhoef von der Katholischen Universität Löwen (Belgien) eine Sicherheitslücke entdeckt, die er Krack (für Key Re-Use Attack) getauft hat.

Wer ist betroffen?

Endgeräte sind in unterschiedlichem Maße gefährdet. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) können die Schwachstellen bei Geräten mit Apple- und Windows-Betriebssystem nur eingeschränkt ausgenutzt werden. Deutlich gefährdeter sind dagegen Geräte mit Android- und Linux-Betriebssystemen.

Betroffen sind nach Aussage der Forscher alle Geräte mit Android-Version 6.0 oder höher. Bei rund 50 Prozent aller Android-Geräte sei somit eine „besonders verheerende“ Version des Angriffsszenarios möglich. Aber auch die meisten Router brauchen ein Update.

So funktioniert die Schwachstelle

Die Lücke ist tückisch: WPA2 ist der gängige Sicherheitsstandard von WLAN-Netzwerken, seien es öffentliche Netzwerke oder die von heimischen Routern.

Der Standard sieht vor, dass Endgerät und WLAN-Router in einem mehrstufigen Verfahren Schlüssel miteinander austauschen. Dabei ist es auch möglich, dass ein bereits ausgetauschter Schlüssel wiederholt gesendet wird. Der Modellangriff zeigte, dass es durch eine Manipulation der Prozesse an diesem Punkt faktisch möglich ist, die Verschlüsselung auszuhebeln.

Allerdings muss sich der Angreifer dafür in Reichweite des jeweiligen WLAN-Netzes befinden, wobei sich mithilfe von Spezialantennen der mögliche Zugriffs-Radius erweitern lässt. Nach bisherigen Erkenntnissen sind keine Fälle von tatsächlichen WPA2-Attacken durch Cyberkriminelle bekannt. Dennoch schätzen IT-Experten aus aller Welt die Sicherheitslücke als sehr ernst ein.

Das können Sie tun

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) riet in seinem Statement zu großer Vorsicht: Man sollte das heimische WLAN-Netzwerk bis zur Verfügbarkeit von Sicherheits-Updates so nutzen, als würde man sich in ein offenes Netz einwählen. Man solle also davon ausgehen, dass der gesamte Datenverkehr unverschlüsselt ist.

Dies gilt natürlich nur eingeschränkt. Denn an vielen Stellen gibt es bereits zusätzliche Verschlüsselung. Wenn Sie zum Beispiel eine Webseite aufrufen, bei der Sie in der Adresszeile HTTPS und ein Schlosssymbol sehen, so ist der Datenverkehr zwischen Ihrem Gerät und dieser Seite für Dritte nicht lesbar - auch wenn das WLAN unsicher ist. Und https ist gängige Praxis bei vielen Web-Angeboten mit sensiblem Datenverkehr, wie etwa Shops oder Banking-Seiten.

Auch E-Mail-Verkehr ist bei praktisch allen Providern TLS-Verschlüsselt, wäre also auch bei offenem WLAN nicht lesbar.

Zusätzlich können Sie Ihren Datenverkehr auch mit einem VPN-Dienst absichern. Dabei wird Datenverkehr nicht direkt vom Nutzer zur Ziel-Webseite oder -App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter. Auch VPN-Verbindungen sind Ende-zu-Ende-verschlüsselt.

Und, fast schon vergessen, aber immer noch brauchbar: Nutzen Sie falls möglich das gute alte LAN-Kabel statt des WLAN-Netzes.

Was ein VPN-Dienst ist und wie Sie ihn mit dem Mobilgerät nutzen können, erfahren Sie im Beitrag Mehr Privatsphäre mit VPN.

Updates können das Problem lösen

Microsoft hat die Lücke nach Erkenntnissen des Onlinemagazins „The Verge“ bereits durch eine kürzlich veröffentliche Aktualisierung bereits Mitte 2017 geschlossen. Apple hat sie in einer Beta-Version seiner Betriebssysteme geschlossen. Seit 31. Oktober ist mit iOS 11.1 ein reguläres Update für die letzte Version des mobilen Betriebssystems verfügbar, eigentlich für alle iPhones ab Version 5s und Apple-Tablets ab Version iPad Air. Die Krack-Lücke wird in diesem Update nach Firmenangaben allerdings nur für iPhones 7 und höher sowie iPad iPad Pro 9.7 ab Baujahr behoben, ohne dass Apple diesen Umstand erläutert.

Google will laut The Verge Updates für betroffene Android-Geräte „in den kommenden Wochen“ liefern. Den Beginn macht die Unternehmens-eigene Pixel-Marke, für sie soll es ab 06. November eine Aktualisierung geben. Noch nicht abzusehen ist jedoch, wann und ob überhaupt Updates bei Android-Geräten anderer Hersteller ankommen.

Auch Router brauchen ein Update

Die Update-Pflicht betrifft diesmal nicht nur PC und Smartphone, sondern auch den heimischen Router. Beide Seiten der WLAN-Kommunikation müssen ein Update bekommen. Wenn beispielsweise das Smartphone bereits über aktualisierte Software verfügt, der Router aber nocht nicht, ist die Lücke nicht geschlossen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber Mobilsicher bestätigt: „Nein, ein Update nur eines Geräts reicht nicht.“

Und bei Routern ist die Situation kritischer als bei Endgeräten, wie das Sicherheitsunternehmen F-Secure laut Presseberichten anmerkt. Router seien oft schlecht gesichert und mit veralteter Firmware ausgestattet. Wenn man vom Anbieter keine aktuellen Updates für den Router erhalte, sollte man sich vielleicht gar überlegen, ein neues Gerät zu kaufen.

AVM, der Hersteller der weit verbreiten WLAN-Routers "Fritzbox", hat mittlerweile mitgeteilt, dass diese Router-Marke nicht von der Lücke betroffen ist, da die Geräte eine technische Norm verwenden, die nicht von Krack betroffen sei. Updates bereitgestellt hat das Unternehmen allerdings für WLAN-Repeater, mit denen sich ein Netzwerk verstärken lässt, sowie für Produkte der Powerline-Marke, das WLAN über die Steckdose liefert. Ein Router-Update müssen Nutzer über das jeweilige Router-Menü selbst abrufen und installieren. Auch andere Hersteller wie Cisco oder Intel veröffentlichten bereits erste Sicherheits-Updates.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

App-Test 

App-Test: Mit Apples Safari ins Internet (iOS)

Safari ist ein Webbrowser von Apple, der bereits zum Lieferumfang von iOS gehört. Unser Test zeigt: In der Standardeinstellung sendet der Browser sensible Informationen an Apple. Mit den richtigen Einstellungen lässt sich das aber unterbinden.

Mehr
App-Test 

Viber: Telefonie- und Messenger-App

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

Mehr
Soziale Netzwerke 

Mastodon – das bessere Twitter?

Mastodon funktioniert ähnlich wie der Kurznachrichtendienst Twitter, gehört aber keiner Firma. Stattdessen gibt es viele unabhängige Mastodon-Server, die meist von Einzelpersonen betrieben werden. Nutzer*innen verschiedener Server können problemlos miteinander kommunizieren. Wir erklären, wie Mastodon funktioniert und zeigen Ihnen die ersten Schritte.

Mehr
Browser und Suchmaschinen 

Das Tor-Netzwerk: Mit dem Smartphone anonym ins Internet

Wer sich im Internet bewegt, ist nicht anonym. Bei jedem Webseiten-Besuch fallen Verbindungsdaten an, die im Bedarfsfall realen Internetanschlüssen zugeordnet werden können. Anonym sein ist im Internet nur über Umwege möglich. Eine Lösung ist das Tor-Netzwerk.

Mehr