# taz.de -- Forscher finden Sicherheitslücke: WLAN-Verschlüsselung mangelhaft | |
> Belgische Sicherheitsforscher haben eine Sicherheitslücke im | |
> Verschlüsselungsprotokoll WPA2 entdeckt. Es gebe keinen Anlass für | |
> Hysterie, beschwichtigen Experten. | |
Bild: Es bringt nichts, sein WLAN-Passwort zu ändern, da das nicht vor der Att… | |
LÖWEN/BERLIN dpa | Der Appell des Bundesamtes für Sicherheit in der | |
Informationstechnik, wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 | |
keine Bankgeschäfte mehr über ein drahtloses Netzwerk zu tätigen, ist bei | |
Experten auf Kritik gestoßen. | |
„KrackAttack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der | |
sofortige Untergang unserer WLAN-Welt“, erklärte Security-Experte Rüdiger | |
Trost von IT-Sicherheitsunternehmens F-Secure. Man dürfe nicht den Eindruck | |
entstehen lassen, als ab sofort jedermann alle Verschlüsselungen aushebeln | |
und Daten mitlesen könnte. | |
Auch der Branchenverband Bitkom relativierte die BSI-Warnmeldung: „Man kann | |
das Internet (über WLAN) schon noch nutzen, auch für sensible | |
Transaktionen“, sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Man | |
müsse allerdings darauf achten, dass die Verbindung dabei durch eine | |
zusätzliche Verschlüsselungssicht geschützt sei. Es gebe keinen Anlass für | |
eine „Hysterie“. | |
Sicherheitsforscher der Katholischen Universität Löwen hatten gravierende | |
Sicherheitslücken in dem Verschlüsselungsprotokoll WPA2 entdeckt, mit dem | |
WLAN-Hotspots abgesichert werden. Mit der „Krack“ getauften Attacke können | |
demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und | |
manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. | |
Das Computer Emergency Response Team (CERT) der USA warnte einem Bericht | |
von „ArsTechnica“ zufolge bereits vor den Folgen der entdeckten Lücken. | |
Über die Konsequenzen aus der „Krack“-Attacke waren sich Experten am Montag | |
nicht einig: Fachleute der Wifi Alliance verwiesen darauf, dass zusätzliche | |
Verschlüsselungs-Schichten wie HTTPS (beispielsweise beim Online-Banking) | |
oder virtuelle private Netzwerke (VPN) durch die Krack-Attacke nicht | |
ausgehebelt werden. Daher seien auch Online-Banking oder die Kommunikation | |
mit WhatsApp über WLAN weiterhin sicher. | |
## BSI: Kein Banking, kein Shopping | |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dagegen | |
warnte am Montagabend davor, bis zur Verfügbarkeit auf Online-Banking in | |
einem mit WPA2 gesicherten WLAN zu verzichten. Auch vom Einkaufen im Netz | |
via WLAN riet das BSI ab, obwohl quasi alle Online-Händler einen | |
verschlüsselten Übertragungsweg anbieten, der nicht von dem WPA2-Standard | |
des WLANs abhängt. Das kabelgebundene Surfen dagegen sei sicher. | |
Sicherheitsexperte Tim Berghoff von der Firma G-data betonte, die entdeckte | |
Sicherheitslücke sei im Moment lediglich ein „Proof of Concept“, also eine | |
Machbarkeitsstudie. „Die Schwachstelle wird derzeit nicht zu kriminellen | |
Zwecken ausgenutzt.“ Er riet den Anwendern, eine „VPN-Software einzusetzen, | |
die den gesamten Datenverkehr mit einer SSL-Verschlüsselung sichert und so | |
vor fremden Zugriffen schützt“. | |
Auch der Sprecher des Chaos Computer Clubs, Linus Neumann, verwies auf | |
Schutzmöglichkeiten durch eine zusätzliche Verschlüsselungsschicht: „In der | |
Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die | |
Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was | |
alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. | |
Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten | |
Vorsichtsmaßnahme.“ | |
Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der | |
Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, | |
dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müsse. | |
Außerdem müsse er in der Lage sein, eine technisch aufwendige | |
„Man-in-the-middle“-Attacke auszuführen. Es gebe auch keine Hinweise | |
darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden | |
sei. | |
## SIT: Banken verschlüsseln eh zweimal | |
Prof. Michael Waidner vom Fraunhofer-Institut SIT (Security in Information | |
Technology) in Darmstadt sagte, die WLAN-Sicherheitslücke sei durchaus | |
ernst zu nehmen. Allerdings könne damit kein massenhafte Attacke gestartet | |
werden, da der Angreifer sich in der Nähe des WLANs aufhalten müsse. „Ich | |
denke, dass man die Lücke auch relativ einfach schließen kann und bin | |
optimistisch, dass die Hersteller auch schnell reagieren werden.“ | |
Die Warnung des BSI nannte Waidner „völlig okay“, da man schon die Anwender | |
darauf hinweisen sollte, dass sie ihr mit WPA2 geschütztes WLAN zunächst so | |
behandeln müsse wie ein offenes WLAN im Café oder am Flughafen. | |
„Man sollte in einem öffentlichen WLAN gewisse Dinge nicht tun“, betonte | |
Waidner. Der Forscher verwies aber auch darauf, dass quasi alle Banken beim | |
Online-Banking eine zweite Verschlüsselungsschicht verwenden. Wenn das | |
richtig aufgesetzt sei, könne man auch in einem öffentlichen WLAN | |
Homebanking machen. Die Anwender sollten sich bewusst darüber sein, das | |
derzeit im heimischen WLAN der Grundschutz, von dem man sonst ausgehe, | |
nicht vorhanden sei. | |
WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eines WLANs, das | |
bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor | |
Jahren als nicht mehr sicher ausgemustert. Die Forscher in Löwen entdeckten | |
nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit | |
dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN | |
ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals | |
gesendet werden. Diese Sicherheitslücke habe ermöglicht, die | |
Verschlüsselung zu knacken. | |
Mit WPA2 soll zum einen dafür gesorgt werden, dass sich nur berechtigte | |
Nutzer in ein WLAN einloggen können. Das Verschlüsselungsverfahren soll | |
aber auch verhindern, dass die drahtlos übertragenen Daten von Unbefugten | |
mitgeschnitten werden können. Außerdem verhindert die Verschlüsselung, dass | |
Daten auf dem Übertragungsweg manipuliert werden. Bislang gibt es nach | |
Auskunft des Branchenverbandes WiFi Alliance keine Anzeichen dafür, dass | |
die von den Forschern entdeckten Sicherheitslücken in WPA2 bereits von | |
Computerkriminellen ausgenutzt werden. | |
## Erste Anbieter haben reagiert | |
Der belgische Sicherheitsforscher Vanhoef hatte erklärt, es bringe jetzt | |
nichts, sein WLAN-Passwort zu ändern, da dies nicht vor der Attacke | |
schütze. Vermutlich seien Geräte aller Hersteller von den Fehlern | |
betroffen. Die Lücken könnten allerdings durch ein Software-Update | |
geschlossen werden. Die Branche müsse dabei nicht auf einen neuen Standard | |
WPA3 warten. | |
Der Forscher räumte ein, dass manche entdeckte Angriffsszenarien schwierig | |
umzusetzen seien. „Das sollte aber nicht zur Fehleinschätzung führen, dass | |
die Attacken in der Praxis nicht zu einem Missbrauch führen können.“ | |
Anwender sollten sich nun bei den Herstellern ihrer WLAN-Geräte nach einem | |
„Patch“ erkundigen. Die US-amerikanischen Netzwerkausrüster Aruba und | |
Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner | |
Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, | |
erklärte, man werde „falls notwendig wie gewohnt ein Update bereitstellen“. | |
Inzwischen haben erste Anbieter von Geräten und Software die Schwachstelle | |
gestopft. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, | |
Netgear und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei | |
Microsoft wurde die Sicherheitslücke bereits in den frisch veröffentlichten | |
Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den | |
aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst für alle | |
verfügbar sein sollten. | |
Ob die „Patches“ auch für ältere Versionen der Betriebssysteme kommen | |
werden, ist bislang unklar. Experten gehen insbesondere beim | |
Google-Betriebssystem Android davon aus, dass etliche Gerätehersteller nur | |
mit großer zeitlicher Verzögerung oder gar nicht ein Update liefern werden. | |
17 Oct 2017 | |
## TAGS | |
Wlan | |
Hotspot | |
Datenschutz | |
Sicherheitslücken | |
Internet | |
IT-Sicherheit | |
Internet der Dinge | |
Bildung | |
mobiles Internet | |
Störerhaftung | |
Wlan | |
Störerhaftung | |
Freies WLAN | |
Freies WLAN | |
Freies WLAN | |
Internet | |
evangelische Kirche | |
## ARTIKEL ZUM THEMA | |
Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet | |
Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen | |
können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht | |
werden. | |
Gegenangriffe zu Cyberattacken: Innenminister will zurückhacken | |
Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren. | |
Innenminister de Maizière möchte auch Gegenangriffe starten können. | |
Kommentar Google-Software in der Schule: Klassenzimmer unter Konzerneinfluss | |
Deutschland hinkt bei der Digitalisierung auch in der Bildung hinterher. | |
Dass jetzt Google ein großer Sponsor wird, schafft Abhängigkeiten. | |
Internet-Hotspots in Berlin: Sind wir schon drin? | |
Der Bundestag hat die Störerhaftung für WLAN-Betreiber abgeschafft. Schon | |
jetzt gibt es viele kostenlose Hotspots in der Hauptstadt. | |
Bundestag beschließt WLAN-Gesetz: Netzsperren statt Störerhaftung | |
Das neue WLAN-Gesetz soll mehr Schwung in die Verbreitung von Hotspots in | |
Städten und Gemeinden bringen. Doch Kritik bleibt. | |
Kostenloses WLAN im Regionalzug: Die Bahn sucht den Anschluss | |
Brandenburg ist voller Funklöcher. Die Bahn will jetzt testen, ob trotzdem | |
in Regionalzügen WLAN angeboten werden kann. | |
Störerhaftung bei WLAN: Immer noch nicht abgeschafft | |
Das Wirtschaftsministerium reformiert die Haftung für WLAN-Betreiber | |
erneut. Das Ergebnis ist so umstritten wie die bisherigen Versuche. | |
Kostenloses W-Lan bei Berlins BVG: Surfen, bis die U-Bahn kommt | |
An insgesamt 26 Bahnhöfen können Kunden der Berliner U-Bahn inzwischen auf | |
kostenloses W-Lan zugreifen – ohne Registrierung und werbefrei. | |
Free-WiFi in Berlin: Digitale Hauptstadt Deutschlands? | |
Anfang Juni kündigte die Stadt Berlin die Ära des öffentlichen und frei | |
zugänglichen Internets an. Ganz rund läuft es damit noch nicht. Ein Test. | |
Kostenloses öffentliches WLAN in Berlin: Acht Jahre Einwählzeit | |
Berlin bekommt endlich sein WLAN-Netz: Seit Mittwoch sind die ersten 100 | |
Zugangspunkte freigeschaltet. Bis Ende des Sommers sollen es 650 sein. | |
WLAN-Störerhaftung: Rechtssicherheit geht anders | |
Die Bundesregierung will Hotspot-Betreiber von der Haftung befreien. Aber | |
steht das auch wirklich so im Gesetzentwurf? | |
Evangelische Gratis-Hotspots: Kirche lässt freies WLAN auferstehen | |
Bald gibt es kostenloses Internet in Kirchtürmen. Die sogenannten | |
„Godspots“ sollen Netzneutralität und Missionierung verbinden. |