VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

WPA2 705692500 160

Und es hat KRACK gemacht: Der bislang als sicher angepriesene WPA2-Standard für die Verschlüsselung von WLAN-Datenverkehr ist unter Beschuss geraten. Die Folgen sind sowohl für Privatanwender als auch die IT-Security in Unternehmen spürbar, aber nicht unbedingt dramatisch – und Abhilfe ist bereits auf dem Weg.

Das Problem

Mathy Vanhoef ist der Entdecker der Schwachstelle und auch der Erfinder des Namens steht für Key Reinstallation AttaCK und bezeichnet ein Verfahren, mit dem Angreifer ungeschützte Daten in einer Wireless Umgebung mitlesen können. WLAN-fähige Geräte aller Art sind betroffen. Der Fehler in der 2. Version des Protokolls WPA führt dazu, dass ein Schlüssel wiederverwendet werden kann – was weitreichende Folgen vor allem für die Datensicherheit in Unternehmen bedeuten könnte.

Schwierige Zeiten für WLAN

WPA2 dient dazu, die Kommunikation zwischen WLAN-Geräten zu verschlüsseln – dieselben Geräte, die Sie auch zu Hause verwenden, also etwa einen Router, Notebooks, Smartphones, Konsolen und so weiter. Laienhaft ausgedrückt können sich Angreifer durch KRACK zwischen zwei Geräte schummeln (also beispielsweise ein Notebook und einen Netzwerk-Router) und den Datenverkehr dann abhören und manipulieren. Gerade letztere Möglichkeit sorgt für Kopfschmerzen. Immerhin: Momentan funktioniert dies nur bei Datenverkehr, der nicht verschlüsselt ist.

Das bedeutet, dass etwa beim Zugriff auf eine https-Webseite (mit TLS-Verschlüsselung) keine Gefahr besteht. Online-Banking beispielsweise ist also in keiner Weise bedroht. Eine zusätzliche Sicherheitsebene verhindert hier, dass durch den Angriff irgendetwas ausgelesen werden kann. Auch VPN-Verbindungen sind nach wie vor sicher, genauso wie Programme mit Ende-zu-Ende-Verschlüsselung. Im Alltag der meisten Anwender sind das etwa Messenger wie WhatsApp oder Signal.

Ein weiteres kleines Hindernis steht Angreifern durch die Distanz zum Ziel im Weg: Um KRACK zu verwenden, müssen sich Angreifer direkt am Access Point (etwa einem Router) oder WLAN-Hotspot befinden. Daher sollte im privaten Bereich eher selten etwas passieren. Das macht diese Lücke aber nicht ungefährlicher. Dies haben auch einige grosse Unternehmen erkannt und bereits Abhilfe geschaffen oder in Aussicht gestellt.

Microsoft sichert sich ab

Microsoft schreibt IT-Security in diesen Tagen gross und hat bereits eine Behebung des Fehlers für Windows 7 und Windows 10 an alle Nutzer ausgeliefert. Sofern Sie sich auf einem aktuellen Patch-Stand befinden, ist also alles in Ordnung. Auch Apple hat mit der neuesten Version ihres Betriebssystems, die Lücke bereits geschlossen. Das Google Betriebssystem Android 6.0.1 ist z.B. noch „offen“ und damit gefährdet. Falls verfügbar, sollten Sie daher unbedingt Sicherheitsupdates einspielen.

Schwieriger wird es vielleicht bei Geräten ausserhalb der Reichweite von Microsoft, Google und Apple: Router, Konsolen, AV-Receiver, NAS-Server und andere Geräte brauchen die Absicherung ebenfalls. Informieren Sie sich daher am besten auf den jeweiligen Herstellerseiten über Updates.

Bis es soweit ist, rät etwa das Bundesamt für Sicherheit in der Informationstechnik in Deutschland dazu, jede Verbindung, die mit WPA2 verschlüsselt ist, vorsichtig einzusetzen. Dazu gibt es auch gleich ein paar Tipps:

  • Kabelverbindungen sind absolut sicher. Falls es auf IT-Security ankommt, ist daher der Griff zum Ethernet-Kabel nicht verkehrt.
  • Wenn es ohne Wireless nicht geht, sollten Verbindungen am besten über sichere VPN-Netzwerke aufgebaut werden.
  • Daten lassen sich auch über UMTS und LTE übertragen und sind dort sicher. Eine gute Alternative, wenn das Datenvolumen mitspielt.
  • Daten sollten möglichst immer verschlüsselt versendet werden, wenn es unbedingt über WLAN gehen muss.
  • Mit diesen einfachen Tipps haben Sie sich schon relativ gut abgesichert. Unternehmen sollten zusätzlich schauen, ob das Risiko durch den Einsatz unsicherer Endgeräte tragbar ist oder nicht.

Tipps für den Umgang mit KRACK

Vergewissern Sie sich, dass beide Kommunikationspartner – etwa ein Netzwerk-Router und ein Tablet – mit einem Sicherheitsupdate versehen sind. Wird ein Update nur für eines der Geräte installiert, besteht nach wie vor kein Schutz und der Schlüssel kann ausgelesen und wiederverwendet werden. Weiterhin sollten Sie davon absehen, Ihr Passwort für das WLAN zu ändern. Denn: Mit dem Passwort hat diese Attacke leider gar nichts zu tun.

Leider bieten auch fortgeschrittene Verschlüsselungen keinen besseren Schutz, solange die Methode im Kern auf WPA2 basiert. WPA2-AES, AES-CCMP oder GCMP beispielsweise sind ebenso betroffen. Sie würden also keinen Erfolg erzielen, indem Sie einfach die Verschlüsselungsmethode ändern. Es ist übrigens sehr wahrscheinlich, dass Sie gerade an einem Gerät sitzen, das diesen Fehler hat. Fragen Sie daher ruhig beim Hersteller nach, ob es Updates gibt.

Die Zukunft des Protokolls

Eine wirkliche Unsicherheit ist für WPA2 auch nach KRACK nicht gegeben. Der Fehler fällt zwar recht kritisch aus, er lässt sich gleichzeitig aber auch recht einfach durch Softwareupdates beheben. Ob wirklich eine Aktualisierung des eigentlich sicheren WPA2-Protokolls ansteht, ist daher schwer zu sagen. Wir empfehlen, sicherheitshalber alle Geräte zu aktualisieren, um dadurch Angreifern von aussen keinen Spielraum zu lassen.

Autor: Manojlo Mitrovic, System Engineer, BIson IT Services AG, www.bison-its.ch

GRID LIST
Fußball WM Pokal

Cyberbedrohung zur Fussball WM

Alle vier Jahre steht sie wieder an, die Fußball-Weltmeisterschaft und viele sind bereits…
Malware Hacker

Malware und kriminelles Netzwerk für Online-Werbebetrug identifiziert

Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv…
Karsten Glied

Botnetze: Gefährliche Sicherheitslücken in Routern offengelegt

Fälschlicherweise gehen viele davon aus, dass das Schließen von Sicherheitslücken Aufgabe…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Jedes Unternehmen kann betroffen sein

Wie bekannt wurde, warnt das Bundesamt für Sicherheit in der Informationstechnologie…
Tb W190 H80 Crop Int 97be3dc65976ed6114c76ebb824e349e

Zip Slip bedroht tausende Programmbibliotheken

Eine neue Sicherheitslücke ermöglicht es Hackern, Dateien in Archiven zu kompromittieren…
Hacker E-Mail Login

Identitätsdiebstahl über ehemalige E-Mail-Adressen

Haben Sie einen genauen Überblick darüber, wie viele E-Mail-Adressen auf Ihren Namen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security