Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

WPA2 705692500 160

Und es hat KRACK gemacht: Der bislang als sicher angepriesene WPA2-Standard für die Verschlüsselung von WLAN-Datenverkehr ist unter Beschuss geraten. Die Folgen sind sowohl für Privatanwender als auch die IT-Security in Unternehmen spürbar, aber nicht unbedingt dramatisch – und Abhilfe ist bereits auf dem Weg.

Das Problem

Mathy Vanhoef ist der Entdecker der Schwachstelle und auch der Erfinder des Namens steht für Key Reinstallation AttaCK und bezeichnet ein Verfahren, mit dem Angreifer ungeschützte Daten in einer Wireless Umgebung mitlesen können. WLAN-fähige Geräte aller Art sind betroffen. Der Fehler in der 2. Version des Protokolls WPA führt dazu, dass ein Schlüssel wiederverwendet werden kann – was weitreichende Folgen vor allem für die Datensicherheit in Unternehmen bedeuten könnte.

Schwierige Zeiten für WLAN

WPA2 dient dazu, die Kommunikation zwischen WLAN-Geräten zu verschlüsseln – dieselben Geräte, die Sie auch zu Hause verwenden, also etwa einen Router, Notebooks, Smartphones, Konsolen und so weiter. Laienhaft ausgedrückt können sich Angreifer durch KRACK zwischen zwei Geräte schummeln (also beispielsweise ein Notebook und einen Netzwerk-Router) und den Datenverkehr dann abhören und manipulieren. Gerade letztere Möglichkeit sorgt für Kopfschmerzen. Immerhin: Momentan funktioniert dies nur bei Datenverkehr, der nicht verschlüsselt ist.

Das bedeutet, dass etwa beim Zugriff auf eine https-Webseite (mit TLS-Verschlüsselung) keine Gefahr besteht. Online-Banking beispielsweise ist also in keiner Weise bedroht. Eine zusätzliche Sicherheitsebene verhindert hier, dass durch den Angriff irgendetwas ausgelesen werden kann. Auch VPN-Verbindungen sind nach wie vor sicher, genauso wie Programme mit Ende-zu-Ende-Verschlüsselung. Im Alltag der meisten Anwender sind das etwa Messenger wie WhatsApp oder Signal.

Ein weiteres kleines Hindernis steht Angreifern durch die Distanz zum Ziel im Weg: Um KRACK zu verwenden, müssen sich Angreifer direkt am Access Point (etwa einem Router) oder WLAN-Hotspot befinden. Daher sollte im privaten Bereich eher selten etwas passieren. Das macht diese Lücke aber nicht ungefährlicher. Dies haben auch einige grosse Unternehmen erkannt und bereits Abhilfe geschaffen oder in Aussicht gestellt.

Microsoft sichert sich ab

Microsoft schreibt IT-Security in diesen Tagen gross und hat bereits eine Behebung des Fehlers für Windows 7 und Windows 10 an alle Nutzer ausgeliefert. Sofern Sie sich auf einem aktuellen Patch-Stand befinden, ist also alles in Ordnung. Auch Apple hat mit der neuesten Version ihres Betriebssystems, die Lücke bereits geschlossen. Das Google Betriebssystem Android 6.0.1 ist z.B. noch „offen“ und damit gefährdet. Falls verfügbar, sollten Sie daher unbedingt Sicherheitsupdates einspielen.

Schwieriger wird es vielleicht bei Geräten ausserhalb der Reichweite von Microsoft, Google und Apple: Router, Konsolen, AV-Receiver, NAS-Server und andere Geräte brauchen die Absicherung ebenfalls. Informieren Sie sich daher am besten auf den jeweiligen Herstellerseiten über Updates.

Bis es soweit ist, rät etwa das Bundesamt für Sicherheit in der Informationstechnik in Deutschland dazu, jede Verbindung, die mit WPA2 verschlüsselt ist, vorsichtig einzusetzen. Dazu gibt es auch gleich ein paar Tipps:

  • Kabelverbindungen sind absolut sicher. Falls es auf IT-Security ankommt, ist daher der Griff zum Ethernet-Kabel nicht verkehrt.
  • Wenn es ohne Wireless nicht geht, sollten Verbindungen am besten über sichere VPN-Netzwerke aufgebaut werden.
  • Daten lassen sich auch über UMTS und LTE übertragen und sind dort sicher. Eine gute Alternative, wenn das Datenvolumen mitspielt.
  • Daten sollten möglichst immer verschlüsselt versendet werden, wenn es unbedingt über WLAN gehen muss.
  • Mit diesen einfachen Tipps haben Sie sich schon relativ gut abgesichert. Unternehmen sollten zusätzlich schauen, ob das Risiko durch den Einsatz unsicherer Endgeräte tragbar ist oder nicht.

Tipps für den Umgang mit KRACK

Vergewissern Sie sich, dass beide Kommunikationspartner – etwa ein Netzwerk-Router und ein Tablet – mit einem Sicherheitsupdate versehen sind. Wird ein Update nur für eines der Geräte installiert, besteht nach wie vor kein Schutz und der Schlüssel kann ausgelesen und wiederverwendet werden. Weiterhin sollten Sie davon absehen, Ihr Passwort für das WLAN zu ändern. Denn: Mit dem Passwort hat diese Attacke leider gar nichts zu tun.

Leider bieten auch fortgeschrittene Verschlüsselungen keinen besseren Schutz, solange die Methode im Kern auf WPA2 basiert. WPA2-AES, AES-CCMP oder GCMP beispielsweise sind ebenso betroffen. Sie würden also keinen Erfolg erzielen, indem Sie einfach die Verschlüsselungsmethode ändern. Es ist übrigens sehr wahrscheinlich, dass Sie gerade an einem Gerät sitzen, das diesen Fehler hat. Fragen Sie daher ruhig beim Hersteller nach, ob es Updates gibt.

Die Zukunft des Protokolls

Eine wirkliche Unsicherheit ist für WPA2 auch nach KRACK nicht gegeben. Der Fehler fällt zwar recht kritisch aus, er lässt sich gleichzeitig aber auch recht einfach durch Softwareupdates beheben. Ob wirklich eine Aktualisierung des eigentlich sicheren WPA2-Protokolls ansteht, ist daher schwer zu sagen. Wir empfehlen, sicherheitshalber alle Geräte zu aktualisieren, um dadurch Angreifern von aussen keinen Spielraum zu lassen.

Autor: Manojlo Mitrovic, System Engineer, BIson IT Services AG, www.bison-its.ch

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security