Wenn Sie ein Passwort eingeben müssen, bevor Sie ein WLAN nutzen können, so ist dieses verschlüsselt. Das heißt, die Kommunikation zwischen Endgerät und Router ist für Dritte nicht lesbar.
Die Regeln, nach denen diese Verschlüsselung funktioniert, folgen fast überall dem sogenannten WPA2-Standard - der bislang als sicher galt. In diesem Standard hat nun der Forscher Mathy Vanhoef von der Katholischen Universität Löwen (Belgien) eine Sicherheitslücke entdeckt, die er Krack (für Key Re-Use Attack) getauft hat.
Wer ist betroffen?
Endgeräte sind in unterschiedlichem Maße gefährdet. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) können die Schwachstellen bei Geräten mit Apple- und Windows-Betriebssystem nur eingeschränkt ausgenutzt werden. Deutlich gefährdeter sind dagegen Geräte mit Android- und Linux-Betriebssystemen.
Betroffen sind nach Aussage der Forscher alle Geräte mit Android-Version 6.0 oder höher. Bei rund 50 Prozent aller Android-Geräte sei somit eine „besonders verheerende“ Version des Angriffsszenarios möglich. Aber auch die meisten Router brauchen ein Update.
So funktioniert die Schwachstelle
Die Lücke ist tückisch: WPA2 ist der gängige Sicherheitsstandard von WLAN-Netzwerken, seien es öffentliche Netzwerke oder die von heimischen Routern.
Der Standard sieht vor, dass Endgerät und WLAN-Router in einem mehrstufigen Verfahren Schlüssel miteinander austauschen. Dabei ist es auch möglich, dass ein bereits ausgetauschter Schlüssel wiederholt gesendet wird. Der Modellangriff zeigte, dass es durch eine Manipulation der Prozesse an diesem Punkt faktisch möglich ist, die Verschlüsselung auszuhebeln.
Allerdings muss sich der Angreifer dafür in Reichweite des jeweiligen WLAN-Netzes befinden, wobei sich mithilfe von Spezialantennen der mögliche Zugriffs-Radius erweitern lässt. Nach bisherigen Erkenntnissen sind keine Fälle von tatsächlichen WPA2-Attacken durch Cyberkriminelle bekannt. Dennoch schätzen IT-Experten aus aller Welt die Sicherheitslücke als sehr ernst ein.
Das können Sie tun
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) riet in seinem Statement zu großer Vorsicht: Man sollte das heimische WLAN-Netzwerk bis zur Verfügbarkeit von Sicherheits-Updates so nutzen, als würde man sich in ein offenes Netz einwählen. Man solle also davon ausgehen, dass der gesamte Datenverkehr unverschlüsselt ist.
Dies gilt natürlich nur eingeschränkt. Denn an vielen Stellen gibt es bereits zusätzliche Verschlüsselung. Wenn Sie zum Beispiel eine Webseite aufrufen, bei der Sie in der Adresszeile HTTPS und ein Schlosssymbol sehen, so ist der Datenverkehr zwischen Ihrem Gerät und dieser Seite für Dritte nicht lesbar - auch wenn das WLAN unsicher ist. Und https ist gängige Praxis bei vielen Web-Angeboten mit sensiblem Datenverkehr, wie etwa Shops oder Banking-Seiten.
Auch E-Mail-Verkehr ist bei praktisch allen Providern TLS-Verschlüsselt, wäre also auch bei offenem WLAN nicht lesbar.
Zusätzlich können Sie Ihren Datenverkehr auch mit einem VPN-Dienst absichern. Dabei wird Datenverkehr nicht direkt vom Nutzer zur Ziel-Webseite oder -App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter. Auch VPN-Verbindungen sind Ende-zu-Ende-verschlüsselt.
Und, fast schon vergessen, aber immer noch brauchbar: Nutzen Sie falls möglich das gute alte LAN-Kabel statt des WLAN-Netzes.
Updates können das Problem lösen
Microsoft hat die Lücke nach Erkenntnissen des Onlinemagazins „The Verge“ bereits durch eine kürzlich veröffentliche Aktualisierung bereits Mitte 2017 geschlossen. Apple hat sie in einer Beta-Version seiner Betriebssysteme geschlossen. Seit 31. Oktober ist mit iOS 11.1 ein reguläres Update für die letzte Version des mobilen Betriebssystems verfügbar, eigentlich für alle iPhones ab Version 5s und Apple-Tablets ab Version iPad Air. Die Krack-Lücke wird in diesem Update nach Firmenangaben allerdings nur für iPhones 7 und höher sowie iPad iPad Pro 9.7 ab Baujahr behoben, ohne dass Apple diesen Umstand erläutert.
Google will laut The Verge Updates für betroffene Android-Geräte „in den kommenden Wochen“ liefern. Den Beginn macht die Unternehmens-eigene Pixel-Marke, für sie soll es ab 06. November eine Aktualisierung geben. Noch nicht abzusehen ist jedoch, wann und ob überhaupt Updates bei Android-Geräten anderer Hersteller ankommen.
Auch Router brauchen ein Update
Die Update-Pflicht betrifft diesmal nicht nur PC und Smartphone, sondern auch den heimischen Router. Beide Seiten der WLAN-Kommunikation müssen ein Update bekommen. Wenn beispielsweise das Smartphone bereits über aktualisierte Software verfügt, der Router aber nocht nicht, ist die Lücke nicht geschlossen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber Mobilsicher bestätigt: „Nein, ein Update nur eines Geräts reicht nicht.“
Und bei Routern ist die Situation kritischer als bei Endgeräten, wie das Sicherheitsunternehmen F-Secure laut Presseberichten anmerkt. Router seien oft schlecht gesichert und mit veralteter Firmware ausgestattet. Wenn man vom Anbieter keine aktuellen Updates für den Router erhalte, sollte man sich vielleicht gar überlegen, ein neues Gerät zu kaufen.
AVM, der Hersteller der weit verbreiten WLAN-Routers "Fritzbox", hat mittlerweile mitgeteilt, dass diese Router-Marke nicht von der Lücke betroffen ist, da die Geräte eine technische Norm verwenden, die nicht von Krack betroffen sei. Updates bereitgestellt hat das Unternehmen allerdings für WLAN-Repeater, mit denen sich ein Netzwerk verstärken lässt, sowie für Produkte der Powerline-Marke, das WLAN über die Steckdose liefert. Ein Router-Update müssen Nutzer über das jeweilige Router-Menü selbst abrufen und installieren. Auch andere Hersteller wie Cisco oder Intel veröffentlichten bereits erste Sicherheits-Updates.
- Was sind Updates, wozu braucht man sie, und wie sind sie zu bekommen? Das erklären wir im Hintergrund-Artikel „Wieso Updates?“.
- Was Virtual Private Networks (VPN) sind und wie sie Anonymität herstellen, erläutert der Beitrag „Mehr Privatsphäre durch VPNs“.
- Wie Transportverschlüsselung auch beim mobilen Internet funktioniert, schreiben wir in „Wie sicher sind Internetverbindungen von Apps?“.