KRACK-Attacke auf WPA2, das klingt für Laien zunächst ziemlich rätselhaft. Dahinter steckt eine neu entdeckte Sicherheitslücke, über die verschlüsselte Wlan-Verbindungen unter bestimmten Umständen abgehört werden können. Die wichtigsten Fragen und Antworten dazu.Sicherheitsforscher haben eine Lücke entdeckt, über die verschlüsselte Wlan-Verbindungen ausgespäht werden können. Die wichtigsten Fragen und Antworten dazu.
Was ist genau passiert?
Der belgische Sicherheitsforscher Mathy Vanhoef hat eine Schwachstelle im Verschlüsselungsprotokoll WPA2 gefunden. Mit diesem Protokoll werden normalerweise Wlan-Verbindungen zwischen einem Hotspot und einem Endgerät – etwa einem Handy – gesichert. Über die „KRACK“ (das ist die Abkürzung für „Key Reinstallation Attack“) genannte Lücke könnten Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und so zum Beispiel Daten stehlen.
KRACK: Welche Geräte sind betroffen?
KRACK betrifft den Verschlüsselungs-Standard WPA2, der momentan gängig ist. Deshalb sind praktisch alle Geräte betroffen, die über Wlan kommunizieren.
Wie gefährlich ist die Sicherheitslücke in der Praxis?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet am Montagabend dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online Banking und Online-Shopping oder zur Übertragung anderer sensibler Daten zu verwenden. „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel“, sagte Arne Schönbohm, Präsident des BSI.
Tatsächlich ist die Gefahr durch diese Sicherheitslücke aber eher theoretisch. Zum einen muss ein Angreifer vor Ort sein und auf ein Wlan-Netz zugreifen können, um Opfer darin über KRACK auszuspähen. Massenhafte Cyber-Attacken auf tausende Rechner gleichzeitig, wie wir sie aus der Vergangenheit kennen, sind damit also nicht möglich. Zum zweiten kann über die Lücke zwar die Wlan-Verschlüsselung ausgehebelt werden; viele Internetverbindungen an sich sind aber zusätzlich verschlüsselt, zum Beispiel durch den Standard Https. Das kann über KRACK nicht ausgehebelt werden. Und zum dritten kann die Sicherheitslücke durch ein einfaches Update geschlossen werden.
Anwender sollten beim Browser Erweiterungen wie HTTPS Everywhere (https://www.eff.org/https-everywhere) verwenden, damit beim Surfen möglichst oft eine verschlüsselte Datenübertragung via HTTPS erfolge, empfahl der renommierte Sicherheitsforscher Brian Krebs.
Mehrere Fachleute erklärten gegenüber der Deutschen Presse-Agentur: Der Appell des Bundesamtes für Sicherheit in der Informationstechnik, keine Bankgeschäfte oder Einkäufe mehr über ein drahtloses Netzwerk zu tätigen, gehe zu weit. Man könne das Internet über WLAN schon noch nutzen, auch für sensible Transaktionen, sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Es gebe keinen Anlass für eine "Hysterie".
KRACK gefährdet WPA2: Updates für Wlan-Geräte
Was sollte ich jetzt tun?
Die Lücke in WPA2 kann geschlossen werden, indem man auf seinen Wlan-Geräten – Routern ebenso wie zum Beispiel auf Smartphones - ein entsprechendes Update aufspielt. Viele Hersteller bieten ein solches Update bereits an oder haben es für die nahe Zukunft angekündigt.
- Microsoft hat die Lücke bereits mit seinen Sicherheits-Updates vom 10. Oktober geschlossen. Wer auf seinem Rechner die automatischen Updates aktiviert hat, sollte also bereits sicher sein.
- Google: Betroffen sind Geräte ab Android-Version 6.0. Nutzer müssen sich aber noch in Geduld üben. Google hat erst zum 6. November ein Update in Aussicht gestellt. Hersteller anderer Android-Versionen werden danach folgen.
- Apple hat die Lücke in seinen aktuellen Testversionen bereits bestopft. Ein offizielles Update soll demnächst erfolgen, das genaue Datum ist noch nicht bekannt.
- Linux bietet bereits Updates an, ebenso Debian und Ubuntu.
- Netgear bietet für viele seiner Router bereits Updates an.
- AVM: Der Hersteller der weit verbreiteten FritzBox erklärte, „falls notwendig“ werde man ein Update bereitstellen.
Sollte ich jetzt mein Wlan-Passwort zu ändern?
Nein, das bringt in diesem Fall nichts.
Ist das Internetsurfen per Kabel weiter sicher?
Ja, das kabelgebundene Surfen ist weiterhin sicher.
Betrifft die Sicherheitslücke auch private Netzwerke (VPN) oder UMTS?
Beides ist laut Bundesamt für Sicherheit in der Informationstechnik nicht betroffen.
Hilft es, in meinem Router eine andere Verschlüsselung einzustellen, zum Beispiel WPA?
Auf keinen Fall. WPA2 ist der gängige und aktuell sicherste Standard.
Wo gibt es weitere Informationen zu KRACK?
Die Sicherheitsforscher haben zu der Lücke eine eigene Webseite eingerichtet. Hier gibt es weitere Informationen. AZ, dpa, bo