VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

WPA2 705692500 160

Und es hat KRACK gemacht: Der bislang als sicher angepriesene WPA2-Standard für die Verschlüsselung von WLAN-Datenverkehr ist unter Beschuss geraten. Die Folgen sind sowohl für Privatanwender als auch die IT-Security in Unternehmen spürbar, aber nicht unbedingt dramatisch – und Abhilfe ist bereits auf dem Weg.

Das Problem

Mathy Vanhoef ist der Entdecker der Schwachstelle und auch der Erfinder des Namens steht für Key Reinstallation AttaCK und bezeichnet ein Verfahren, mit dem Angreifer ungeschützte Daten in einer Wireless Umgebung mitlesen können. WLAN-fähige Geräte aller Art sind betroffen. Der Fehler in der 2. Version des Protokolls WPA führt dazu, dass ein Schlüssel wiederverwendet werden kann – was weitreichende Folgen vor allem für die Datensicherheit in Unternehmen bedeuten könnte.

Schwierige Zeiten für WLAN

WPA2 dient dazu, die Kommunikation zwischen WLAN-Geräten zu verschlüsseln – dieselben Geräte, die Sie auch zu Hause verwenden, also etwa einen Router, Notebooks, Smartphones, Konsolen und so weiter. Laienhaft ausgedrückt können sich Angreifer durch KRACK zwischen zwei Geräte schummeln (also beispielsweise ein Notebook und einen Netzwerk-Router) und den Datenverkehr dann abhören und manipulieren. Gerade letztere Möglichkeit sorgt für Kopfschmerzen. Immerhin: Momentan funktioniert dies nur bei Datenverkehr, der nicht verschlüsselt ist.

Das bedeutet, dass etwa beim Zugriff auf eine https-Webseite (mit TLS-Verschlüsselung) keine Gefahr besteht. Online-Banking beispielsweise ist also in keiner Weise bedroht. Eine zusätzliche Sicherheitsebene verhindert hier, dass durch den Angriff irgendetwas ausgelesen werden kann. Auch VPN-Verbindungen sind nach wie vor sicher, genauso wie Programme mit Ende-zu-Ende-Verschlüsselung. Im Alltag der meisten Anwender sind das etwa Messenger wie WhatsApp oder Signal.

Ein weiteres kleines Hindernis steht Angreifern durch die Distanz zum Ziel im Weg: Um KRACK zu verwenden, müssen sich Angreifer direkt am Access Point (etwa einem Router) oder WLAN-Hotspot befinden. Daher sollte im privaten Bereich eher selten etwas passieren. Das macht diese Lücke aber nicht ungefährlicher. Dies haben auch einige grosse Unternehmen erkannt und bereits Abhilfe geschaffen oder in Aussicht gestellt.

Microsoft sichert sich ab

Microsoft schreibt IT-Security in diesen Tagen gross und hat bereits eine Behebung des Fehlers für Windows 7 und Windows 10 an alle Nutzer ausgeliefert. Sofern Sie sich auf einem aktuellen Patch-Stand befinden, ist also alles in Ordnung. Auch Apple hat mit der neuesten Version ihres Betriebssystems, die Lücke bereits geschlossen. Das Google Betriebssystem Android 6.0.1 ist z.B. noch „offen“ und damit gefährdet. Falls verfügbar, sollten Sie daher unbedingt Sicherheitsupdates einspielen.

Schwieriger wird es vielleicht bei Geräten ausserhalb der Reichweite von Microsoft, Google und Apple: Router, Konsolen, AV-Receiver, NAS-Server und andere Geräte brauchen die Absicherung ebenfalls. Informieren Sie sich daher am besten auf den jeweiligen Herstellerseiten über Updates.

Bis es soweit ist, rät etwa das Bundesamt für Sicherheit in der Informationstechnik in Deutschland dazu, jede Verbindung, die mit WPA2 verschlüsselt ist, vorsichtig einzusetzen. Dazu gibt es auch gleich ein paar Tipps:

  • Kabelverbindungen sind absolut sicher. Falls es auf IT-Security ankommt, ist daher der Griff zum Ethernet-Kabel nicht verkehrt.
  • Wenn es ohne Wireless nicht geht, sollten Verbindungen am besten über sichere VPN-Netzwerke aufgebaut werden.
  • Daten lassen sich auch über UMTS und LTE übertragen und sind dort sicher. Eine gute Alternative, wenn das Datenvolumen mitspielt.
  • Daten sollten möglichst immer verschlüsselt versendet werden, wenn es unbedingt über WLAN gehen muss.
  • Mit diesen einfachen Tipps haben Sie sich schon relativ gut abgesichert. Unternehmen sollten zusätzlich schauen, ob das Risiko durch den Einsatz unsicherer Endgeräte tragbar ist oder nicht.

Tipps für den Umgang mit KRACK

Vergewissern Sie sich, dass beide Kommunikationspartner – etwa ein Netzwerk-Router und ein Tablet – mit einem Sicherheitsupdate versehen sind. Wird ein Update nur für eines der Geräte installiert, besteht nach wie vor kein Schutz und der Schlüssel kann ausgelesen und wiederverwendet werden. Weiterhin sollten Sie davon absehen, Ihr Passwort für das WLAN zu ändern. Denn: Mit dem Passwort hat diese Attacke leider gar nichts zu tun.

Leider bieten auch fortgeschrittene Verschlüsselungen keinen besseren Schutz, solange die Methode im Kern auf WPA2 basiert. WPA2-AES, AES-CCMP oder GCMP beispielsweise sind ebenso betroffen. Sie würden also keinen Erfolg erzielen, indem Sie einfach die Verschlüsselungsmethode ändern. Es ist übrigens sehr wahrscheinlich, dass Sie gerade an einem Gerät sitzen, das diesen Fehler hat. Fragen Sie daher ruhig beim Hersteller nach, ob es Updates gibt.

Die Zukunft des Protokolls

Eine wirkliche Unsicherheit ist für WPA2 auch nach KRACK nicht gegeben. Der Fehler fällt zwar recht kritisch aus, er lässt sich gleichzeitig aber auch recht einfach durch Softwareupdates beheben. Ob wirklich eine Aktualisierung des eigentlich sicheren WPA2-Protokolls ansteht, ist daher schwer zu sagen. Wir empfehlen, sicherheitshalber alle Geräte zu aktualisieren, um dadurch Angreifern von aussen keinen Spielraum zu lassen.

Autor: Manojlo Mitrovic, System Engineer, BIson IT Services AG, www.bison-its.ch

GRID LIST
Faxgerät

Faxploit-Sicherheitslücke: Wie sicher ist die Fax-Technologie?

Richtigstellung: Nicht die Fax-Technologie ist per se unsicher. Die zu diesem Thema…
Geschenkarten

Cyberkriminelle verschenken „50-Euro-Geschenkkarte für lau!“

Ob Geschenkgutschein für Amazon oder Google Play, Freikarten für den Freizeitpark oder…
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security