 |
# taz.de -- Forscher finden Sicherheitslücke: WLAN-Verschlüsselung mangelhaft |
|
|
|
> Belgische Sicherheitsforscher haben eine Sicherheitslücke im |
|
> Verschlüsselungsprotokoll WPA2 entdeckt. Es gebe keinen Anlass für |
|
> Hysterie, beschwichtigen Experten. |
|
|
 |
Bild: Es bringt nichts, sein WLAN-Passwort zu ändern, da das nicht vor der Att… |
|
|
|
Löwen/Berlin dpa | Der Appell des Bundesamtes für Sicherheit in der |
|
Informationstechnik, wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 |
|
keine Bankgeschäfte mehr über ein drahtloses Netzwerk zu tätigen, ist bei |
|
Experten auf Kritik gestoßen. |
|
|
|
„KrackAttack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der |
|
sofortige Untergang unserer WLAN-Welt“, erklärte Security-Experte Rüdiger |
|
Trost von IT-Sicherheitsunternehmens F-Secure. Man dürfe nicht den Eindruck |
|
entstehen lassen, als ab sofort jedermann alle Verschlüsselungen aushebeln |
|
und Daten mitlesen könnte. |
|
|
|
Auch der Branchenverband Bitkom relativierte die BSI-Warnmeldung: „Man kann |
|
das Internet (über WLAN) schon noch nutzen, auch für sensible |
|
Transaktionen“, sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Man |
|
müsse allerdings darauf achten, dass die Verbindung dabei durch eine |
|
zusätzliche Verschlüsselungssicht geschützt sei. Es gebe keinen Anlass für |
|
eine „Hysterie“. |
|
|
|
Sicherheitsforscher der Katholischen Universität Löwen hatten gravierende |
|
Sicherheitslücken in dem Verschlüsselungsprotokoll WPA2 entdeckt, mit dem |
|
WLAN-Hotspots abgesichert werden. Mit der „Krack“ getauften Attacke können |
|
demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und |
|
manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. |
|
Das Computer Emergency Response Team (CERT) der USA warnte einem Bericht |
|
von „ArsTechnica“ zufolge bereits vor den Folgen der entdeckten Lücken. |
|
|
|
Über die Konsequenzen aus der „Krack“-Attacke waren sich Experten am Montag |
|
nicht einig: Fachleute der Wifi Alliance verwiesen darauf, dass zusätzliche |
|
Verschlüsselungs-Schichten wie HTTPS (beispielsweise beim Online-Banking) |
|
oder virtuelle private Netzwerke (VPN) durch die Krack-Attacke nicht |
|
ausgehebelt werden. Daher seien auch Online-Banking oder die Kommunikation |
|
mit WhatsApp über WLAN weiterhin sicher. |
|
|
|
## BSI: Kein Banking, kein Shopping |
|
|
|
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dagegen |
|
warnte am Montagabend davor, bis zur Verfügbarkeit auf Online-Banking in |
|
einem mit WPA2 gesicherten WLAN zu verzichten. Auch vom Einkaufen im Netz |
|
via WLAN riet das BSI ab, obwohl quasi alle Online-Händler einen |
|
verschlüsselten Übertragungsweg anbieten, der nicht von dem WPA2-Standard |
|
des WLANs abhängt. Das kabelgebundene Surfen dagegen sei sicher. |
|
|
|
Sicherheitsexperte Tim Berghoff von der Firma G-data betonte, die entdeckte |
|
Sicherheitslücke sei im Moment lediglich ein „Proof of Concept“, also eine |
|
Machbarkeitsstudie. „Die Schwachstelle wird derzeit nicht zu kriminellen |
|
Zwecken ausgenutzt.“ Er riet den Anwendern, eine „VPN-Software einzusetzen, |
|
die den gesamten Datenverkehr mit einer SSL-Verschlüsselung sichert und so |
|
vor fremden Zugriffen schützt“. |
|
|
|
Auch der Sprecher des Chaos Computer Clubs, Linus Neumann, verwies auf |
|
Schutzmöglichkeiten durch eine zusätzliche Verschlüsselungsschicht: „In der |
|
Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die |
|
Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was |
|
alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. |
|
Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten |
|
Vorsichtsmaßnahme.“ |
|
|
|
Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der |
|
Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, |
|
dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müsse. |
|
Außerdem müsse er in der Lage sein, eine technisch aufwendige |
|
„Man-in-the-middle“-Attacke auszuführen. Es gebe auch keine Hinweise |
|
darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden |
|
sei. |
|
|
|
## SIT: Banken verschlüsseln eh zweimal |
|
|
|
Prof. Michael Waidner vom Fraunhofer-Institut SIT (Security in Information |
|
Technology) in Darmstadt sagte, die WLAN-Sicherheitslücke sei durchaus |
|
ernst zu nehmen. Allerdings könne damit kein massenhafte Attacke gestartet |
|
werden, da der Angreifer sich in der Nähe des WLANs aufhalten müsse. „Ich |
|
denke, dass man die Lücke auch relativ einfach schließen kann und bin |
|
optimistisch, dass die Hersteller auch schnell reagieren werden.“ |
|
|
|
Die Warnung des BSI nannte Waidner „völlig okay“, da man schon die Anwender |
|
darauf hinweisen sollte, dass sie ihr mit WPA2 geschütztes WLAN zunächst so |
|
behandeln müsse wie ein offenes WLAN im Café oder am Flughafen. |
|
|
|
„Man sollte in einem öffentlichen WLAN gewisse Dinge nicht tun“, betonte |
|
Waidner. Der Forscher verwies aber auch darauf, dass quasi alle Banken beim |
|
Online-Banking eine zweite Verschlüsselungsschicht verwenden. Wenn das |
|
richtig aufgesetzt sei, könne man auch in einem öffentlichen WLAN |
|
Homebanking machen. Die Anwender sollten sich bewusst darüber sein, das |
|
derzeit im heimischen WLAN der Grundschutz, von dem man sonst ausgehe, |
|
nicht vorhanden sei. |
|
|
|
WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eines WLANs, das |
|
bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor |
|
Jahren als nicht mehr sicher ausgemustert. Die Forscher in Löwen entdeckten |
|
nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit |
|
dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN |
|
ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals |
|
gesendet werden. Diese Sicherheitslücke habe ermöglicht, die |
|
Verschlüsselung zu knacken. |
|
|
|
Mit WPA2 soll zum einen dafür gesorgt werden, dass sich nur berechtigte |
|
Nutzer in ein WLAN einloggen können. Das Verschlüsselungsverfahren soll |
|
aber auch verhindern, dass die drahtlos übertragenen Daten von Unbefugten |
|
mitgeschnitten werden können. Außerdem verhindert die Verschlüsselung, dass |
|
Daten auf dem Übertragungsweg manipuliert werden. Bislang gibt es nach |
|
Auskunft des Branchenverbandes WiFi Alliance keine Anzeichen dafür, dass |
|
die von den Forschern entdeckten Sicherheitslücken in WPA2 bereits von |
|
Computerkriminellen ausgenutzt werden. |
|
|
|
## Erste Anbieter haben reagiert |
|
|
|
Der belgische Sicherheitsforscher Vanhoef hatte erklärt, es bringe jetzt |
|
nichts, sein WLAN-Passwort zu ändern, da dies nicht vor der Attacke |
|
schütze. Vermutlich seien Geräte aller Hersteller von den Fehlern |
|
betroffen. Die Lücken könnten allerdings durch ein Software-Update |
|
geschlossen werden. Die Branche müsse dabei nicht auf einen neuen Standard |
|
WPA3 warten. |
|
|
|
Der Forscher räumte ein, dass manche entdeckte Angriffsszenarien schwierig |
|
umzusetzen seien. „Das sollte aber nicht zur Fehleinschätzung führen, dass |
|
die Attacken in der Praxis nicht zu einem Missbrauch führen können.“ |
|
Anwender sollten sich nun bei den Herstellern ihrer WLAN-Geräte nach einem |
|
„Patch“ erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und |
|
Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner |
|
Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, |
|
erklärte, man werde „falls notwendig wie gewohnt ein Update bereitstellen“. |
|
|
|
Inzwischen haben erste Anbieter von Geräten und Software die Schwachstelle |
|
gestopft. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, |
|
Netgear und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei |
|
Microsoft wurde die Sicherheitslücke bereits in den frisch veröffentlichten |
|
Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den |
|
aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst für alle |
|
verfügbar sein sollten. |
|
|
|
Ob die „Patches“ auch für ältere Versionen der Betriebssysteme kommen |
|
werden, ist bislang unklar. Experten gehen insbesondere beim |
|
Google-Betriebssystem Android davon aus, dass etliche Gerätehersteller nur |
|
mit großer zeitlicher Verzögerung oder gar nicht ein Update liefern werden. |
|
|
|
17 Oct 2017 |
|
|
|
## TAGS |
|
|
 |
Wlan |
|
Hotspot |
|
Datenschutz |
|
Sicherheitslücken |
|
Internet |
|
IT-Sicherheit |
|
Internet der Dinge |
|
Bildung |
|
mobiles Internet |
|
Störerhaftung |
|
Wlan |
|
Störerhaftung |
|
Freies WLAN |
|
Freies WLAN |
|
Freies WLAN |
|
Internet |
|
Evangelische Kirche |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet |
|
|
|
Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen |
|
können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht |
|
werden. |
|
|
|
Gegenangriffe zu Cyberattacken: Innenminister will zurückhacken |
|
|
|
Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren. |
|
Innenminister de Maizière möchte auch Gegenangriffe starten können. |
|
|
|
Kommentar Google-Software in der Schule: Klassenzimmer unter Konzerneinfluss |
|
|
|
Deutschland hinkt bei der Digitalisierung auch in der Bildung hinterher. |
|
Dass jetzt Google ein großer Sponsor wird, schafft Abhängigkeiten. |
|
|
|
Internet-Hotspots in Berlin: Sind wir schon drin? |
|
|
|
Der Bundestag hat die Störerhaftung für WLAN-Betreiber abgeschafft. Schon |
|
jetzt gibt es viele kostenlose Hotspots in der Hauptstadt. |
|
|
|
Bundestag beschließt WLAN-Gesetz: Netzsperren statt Störerhaftung |
|
|
|
Das neue WLAN-Gesetz soll mehr Schwung in die Verbreitung von Hotspots in |
|
Städten und Gemeinden bringen. Doch Kritik bleibt. |
|
|
|
Kostenloses WLAN im Regionalzug: Die Bahn sucht den Anschluss |
|
|
|
Brandenburg ist voller Funklöcher. Die Bahn will jetzt testen, ob trotzdem |
|
in Regionalzügen WLAN angeboten werden kann. |
|
|
|
Störerhaftung bei WLAN: Immer noch nicht abgeschafft |
|
|
|
Das Wirtschaftsministerium reformiert die Haftung für WLAN-Betreiber |
|
erneut. Das Ergebnis ist so umstritten wie die bisherigen Versuche. |
|
|
|
Kostenloses W-Lan bei Berlins BVG: Surfen, bis die U-Bahn kommt |
|
|
|
An insgesamt 26 Bahnhöfen können Kunden der Berliner U-Bahn inzwischen auf |
|
kostenloses W-Lan zugreifen – ohne Registrierung und werbefrei. |
|
|
|
Free-WiFi in Berlin: Digitale Hauptstadt Deutschlands? |
|
|
|
Anfang Juni kündigte die Stadt Berlin die Ära des öffentlichen und frei |
|
zugänglichen Internets an. Ganz rund läuft es damit noch nicht. Ein Test. |
|
|
|
Kostenloses öffentliches WLAN in Berlin: Acht Jahre Einwählzeit |
|
|
|
Berlin bekommt endlich sein WLAN-Netz: Seit Mittwoch sind die ersten 100 |
|
Zugangspunkte freigeschaltet. Bis Ende des Sommers sollen es 650 sein. |
|
|
|
WLAN-Störerhaftung: Rechtssicherheit geht anders |
|
|
|
Die Bundesregierung will Hotspot-Betreiber von der Haftung befreien. Aber |
|
steht das auch wirklich so im Gesetzentwurf? |
|
|
|
Evangelische Gratis-Hotspots: Kirche lässt freies WLAN auferstehen |
|
|
|
Bald gibt es kostenloses Internet in Kirchtürmen. Die sogenannten |
|
„Godspots“ sollen Netzneutralität und Missionierung verbinden. |
