Sicherheit

Wie groß ist die Gefahr für WLAN-Nutzer durch Krack wirklich?

Anfang der Woche wurde eine schwerwiegende Sicherheitslücke in der Ver­schlüsselungs­technik für drahtlose Netzwerke bekannt. Welche Folgen das vorgestellte Angriffs­szenario für Anwender hat, darüber herrscht aktuell Uneinigkeit.
Von Jan Rähm mit Material von dpa

Gefahr durch Krack-Angriff auf WPA2 Gefahr durch Krack-Angriff auf WPA2
Bild: dpa
Für den Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität Löwen (KU Leuven) ist die Sache klar: Der von ihm Krack getaufte Angriff auf WPA2 ist hoch kritisch. Schließlich sind nahezu alle WLAN-fähigen Geräte weltweit betroffen und müssen mit Software-Updates abgesichert werden. Bis entsprechende Aktualisierungen bereit stehen, können jedoch noch viele Wochen vergehen.

Für etliche Geräte wie ältere Smartphones und Tablets mit Android wird, schaut man auf die Update-Historie, wohl niemals ein Fix gegen Krack-Angriffe veröffentlicht. So warnt Steven Murdoch, Security Architect am VASCO Innovation Center in Cambridge: "Viele Hersteller beheben keine Schwachstellen in Produkten, die sie nicht aktiv vermarkten. Es ist daher wahrscheinlich, dass einige Geräte, insbesondere Android-Smartphones und WLAN-Router, niemals aktualisiert werden und die Schwachstelle jahrelang bestehen bleibt, bis die unsicheren Geräte endgültig ausrangiert werden."

BSI rät zur Vorsicht bei diversen Anwendungen

Gefahr durch Krack-Angriff auf WPA2 Gefahr durch Krack-Angriff auf WPA2
Bild: dpa
Welche Konsequenzen Krack für die Anwender konkret hat, ist in Expertenkreisen durchaus umstritten. Fachleute der für WLAN-Standardisierung zuständigen Wifi Alliance verwiesen darauf, dass zusätzliche Verschlüsselungstechniken wie SSL oder virtuelle private Netzwerke (VPN) durch die Krach-Attacke nicht ausgehebelt werden. Daher seien Online-Banking oder die Kommunikation mit WhatsApp über WLAN weiterhin sicher. Auch die meisten Betreiber von Online-Shops setzen die Verschlüsselungstechnik für den Datentransport ein - zu erkennen an Web-Adressen, die mit "https" beginnen.

Den Schutz durch SSL-Verschlüsselung hält das Bundesamt für Sicherheit in der Informationstechnik (BSI) dagegen nicht für ausreichend. Die Behörde warnte, bis zur Verfügbarkeit von Updates gegen Krack auf Online-Banking in mit WPA2-gesicherten drahtlosen Netzwerken zu verzichten. Auch vom Einkaufen im Netz via WLAN riet das BSI ab, obwohl quasi alle Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht von dem WPA2-Standard des WLANs abhängt.

Arne Schönbohm, Präsident des BSI, meint: "Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel." Sicher dagegen, so das BSI, seien kabelgebundene Verbindungen. Das gilt jedoch nur insofern, wenn das WLAN deaktiviert ist beziehungsweise keinerlei Geräte über das drahtlose Netzwerk verbunden sind. Denn diese könnten sonst als Einfallstor ins heimische Netzwerk dienen.

Einige Experten relativieren die reelle Gefahr

Nicht überzeugt vom Appell des Bundesamtes für Sicherheit in der Informationstechnik ist der Chaos Computer Club (CCC). Linus Neumann, einer der Sprecher des Chaos Computer Clubs, sagte gegenüber der Deutschen Presse-Agentur: "In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme."

Auch einige führende IT-Unternehmen haben die tatsächliche Gefahr der Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies nach dpa-Angaben darauf, dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müssen. Außerdem müsse er in der Lage sein, eine technisch aufwändige "Man-in-the-middle"-Attacke auszuführen. Es gebe auch keine Hinweise darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden sei.

Potenzielle Angreifer werden sich wohl eher auf Unternehmen konzentrieren

Das Berliner Unternehmen AVM schreibt in Bezug auf Krack: "Um die WLAN-Kommunikation zwischen einem unsicheren Klienten und einem Access Point anzugreifen, sind umfangreiche Voraussetzungen notwendig." Ein Angreifer müsse dazu in unmittelbarer physischer Nähe des Klienten sein und sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff sei laut AVM, dass der Klient sich freiwillig ummeldet. "Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden," schreibt das Unternehmen in einer Stellungnahme. Zu keiner Zeit sei es mit Hilfe der Sicherheitslücke möglich, vollständiger Teilnehmer eines fremden WLANs zu werden.

Dass ein Krack-Angriff nicht trivial ist, schreibt der Entdecker der Sicherheitslücke Mathy Vanhoef auf seiner Website. Er betont: "Das sollte aber nicht zur Fehleinschätzung führen, dass die Attacken in der Praxis nicht zu einem Missbrauch führen können." In Bezug auf den Einsatz der Transportverschlüsselung SSL schreibt Vanhoef, dass es in der Vergangenheit zahlreiche Beispiele gegeben habe, wie SSL umgegangen und die Verbindung abgehört wurde. Er verweist auf eine Reihe von Vorfällen mit Apps für Android und iOS sowie Banking-Apps ohne ausreichenden Schutz und sogar VPN-Anwendungen.

Dass die Gefahr durchaus real ist, das betont Security Architect Steven Murdoch: "Je wertvoller das Netzwerk ist, desto wahrscheinlicher ist es, dass Kriminelle sich darum bemühen, es anzugreifen. Deshalb sind Unternehmensnetzwerke einem höheren Risiko ausgesetzt als ein Heimnetzwerk." So hätten in früheren Vorfällen Kriminelle solche Sicherheitslücken im Visier gehabt, um Zugang zu Unternehmensnetzwerken zu erhalten und dann weitere Schwachstellen ausnutzen, um sensible Daten zu stehlen.

Wer Update bekommt, sollte schnell updaten

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) schreibt in einer Stellungnahme, dass unklar sei, ob die von dem Wissenschaftler festgestellte WPA2-Schwachstelle in der Praxis für Angriffe genutzt wurde oder werden kann. Bitkom-Hauptgeschäftsführer Bernhard Rohleder erklärt: "Sollten sich die geschilderten Angriffsmöglichkeiten auf WLAN-Verbindungen aufgrund einer Schwachstelle in der WPA2-Verschlüsselung bewahrheiten, bedeutet dies, dass Angreifer grundsätzlich die zwischen WLAN-Router und Endgerät wie PC oder Smartphone übertragenen Daten abhören und möglicherweise auch verändern können." Der Verband verweist ebenfalls auf die Nutzung von SSL-verschlüsselten Verbindungen und VPN.

Unstrittig ist, dass alle Anwender Sicherheitsupdates für ihre Geräte schnellstmöglich einspielen sollten. BSI-Präsident Schönbohm ruft außerdem auf: "Unternehmen sollten ihre Mitarbeiter sensibilisieren und geeignete Maßnahmen zur Absicherung ihrer Firmennetzwerke ergreifen. Sicherheitsupdates wurden bereits von verschiedenen Herstellern angekündigt und sollten umgehend durch den Nutzer eingespielt werden, sobald sie zur Verfügung stehen."

In Bezug auf Geräte, die wohl keine Updates erhalten werden, meint Security Architect Steven Murdoch: "Aufgrund dieser unglücklichen Situation sind bereits Forderungen an Hardware-Hersteller laut geworden, bekannt zu geben, wie lange sie weiterhin Sicherheitsupdates für die von ihnen verkauften Produkte bereitstellen werden."

In einem separaten Artikel beantworten wir wichtige Fragen zu Krack.

Mehr zum Thema WLAN