Krack-Angriff: AVM liefert erste Firmware-Updates

Einschätzungen zur Krack-Attacke auf WPA2
Foto: AVG, Grafik/Montage: teltarif.de Die vom Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität Löwen (KU Leuven) gefundenen Sicherheitslücken im Verschlüsselungsprotokoll WPA2 für drahtlose Netzwerke betrifft vor allem Endgeräte wie Smartphones, Tablets und tragbare Computer. Grundsätzlich seien sogar alle Geräte betroffen, die sich mit einem WLAN verbinden können, wozu auch Geräte des Internet der Dinge gehören.

Im heimischen Netzwerk können das neben Fernsehern, Blu-ray-Playern und Set-Top-Boxen auch Staubsauger-Roboter, Küchenmaschinen, E-Book-Reader und viele weitere Geräte sein. Oft nicht im Fokus sind auch Geräte aus der Klasse des Smart Home wie drahtlose Überwachungskameras, Lichtschalter oder Sensoren. Sie alle benötigen Updates, um nicht als Einfallstor ins heimische Netzwerk missbraucht werden zu können. Betroffen sind zum Teil auch Internetrouter mit WLAN-Funktion, wie die Speedports der Telekom.

Telekom prüft, AVM liefert Repeater-Updates

Einschätzungen zur Krack-Attacke auf WPA2
Foto: AVG, Grafik/Montage: teltarif.de Die Deutsche Telekom veröffentlichte eine umfangreiche Sonderseite zu Krack. Darauf teilt das Unternehmen unter anderem mit, dass man prüfe: "welche eigenen Produkte von der Krack-Schwachstelle betroffen sind. Unsere Lieferanten analysieren derzeit die Sicherheit ihrer WLAN-Komponenten." Man wolle möglichst bald informieren, welche Telekom-Produkte von Krack betroffen sind. Für sie sollen Updates zeitnah zur Verfügung gestellt werden.

Auch AVM kündigt Updates an, allerdings für seine Repeater. Gegenüber teltarif.de teilte AVM mit:

Für die in dieser Woche bekannt gewordene WPA2-Schwäche bei WLAN (Krack) stellt AVM erste Updates für WLAN-Repeater und Powerline-WLAN-Produkte bereit. Schwachstellen des Protokolls in der WPA2-Aushandlung wurden beseitigt und damit die Sicherheit erhöht. Die Updates stehen für FRITZ!WLAN Repeater 1750E und FRITZ!Powerline 1260E unter avm.de/downloads zur Verfügung. Sie können über die jeweilige Benutzeroberfläche (http://fritz.repeater bzw. http://fritz.powerline) installiert werden. AVM wird über weitere Updates informieren.
Die FRITZ!Box am Breitbandanschluss ist nicht von der WPA2-Schwäche betroffen. Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Notebook, Android-Smartphone, TV mit WLAN) und einem Access Point wie der FRITZ!Box anzugreifen, sind umfangreiche Voraussetzungen notwendig. Dazu gehört auch, dass ein Angreifer in unmittelbarer physischer Nähe des WLAN-Klienten sein muss. AVM empfiehlt ausdrücklich für alle WLAN-Klienten die von den Herstellern angebotenen Updates durchzuführen. Weitere Infos zur WPA2-Schwäche unter avm.de/sicherheitshinweise.

TP-Link listet betroffene Produkte auf

Der Netzwerkausrüster und Hersteller von WLAN-Produkten TP-Link schreibt auf seiner Webseite, man messe "diesem Fall höchste Bedeutung bei." Betroffen seien im eigenen Sortiment "als Repeater, WISP-Client oder mit WDS konfigurierte Router", WLAN-Adapter, Smart-Home- und weitere WLAN-Geräte. Man arbeite bereits an Lösungen für alle betroffenen Geräte. Ausdrücklich nicht von Krack betroffen seien sämtliche WLAN-Powerline-Adapter, alle Mobilrouter, Router und Gateways, die kein Wireless Distribution System (WDS) verwenden sowie native Access Points und Router, die im Access-Point-Modus konfiguriert sind.

Aufgrund dessen, dass Router nur unter der Bedingung angreifbar sind, dass Fast Rooming (IEEE 802.11r) und WLAN MESH (IEEE 802.11s) sowie die WPS-Funktion (Wireless Protected Setup) aktiviert sind, teilt Lancom, ebenfalls ein Netzwerkausrüster und Hersteller von WLAN-Produkten, mit, dass "Lancom WLAN-Geräte [...] im Auslieferungszustand nicht von der Schwachstelle betroffen [sind]. Auch die Lancom-Konfigurationstools aktivieren diese Funktionen standardmäßig nicht."

Cisco, Intel, Netgear und Aruba haben Patches veröffentlicht

Neben den genannten Herstellern stopften zahlreiche Anbieter von Geräten und Software die Schwachstelle in den vergangenen Tagen. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, Netgear und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei Microsoft wurde die Sicherheitslücke bereits in den in der letzten Woche veröffentlichten Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst allgemein verfügbar sein sollten. Ob die Patches auch für ältere Versionen der Betriebssysteme kommen werden, ist bislang unklar. Experten gehen insbesondere beim Google-Betriebssystem Android davon aus, dass etliche Gerätehersteller nur mit großer zeitlicher Verzögerung oder gar nicht ein Update liefern werden.

Welche Gefahren von den Sicherheitslücken ausgehen, darüber sind sich Experten teilweise uneins. Die Sicherheitslücke in der WPA2-Verschlüsselungstechnik hebelt nach Einschätzung von Experten nicht sämtliche Verschlüsselungsverfahren in einem Netzwerk aus. Der Appell des Bundesamtes für Sicherheit in der Informationstechnik (BSI), keine Bankgeschäfte oder Einkäufe mehr über ein drahtloses Netzwerk zu tätigen, gehe zu weit, kritisierten mehrere Fachleute gegenüber der Deutschen Presse-Agentur. "[Die] Krack-Attacke ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer WLAN-Welt", erklärte beispielsweise Security-Experte Rüdiger Trost von IT-Sicherheitsunternehmens F-Secure. Man dürfe nicht den Eindruck entstehen lassen, als ob jedermann ab sofort alle Verschlüsselungen aushebeln und Daten mitlesen könnte.

Bitkom: Kein Grund zur Hysterie

Dieser Meinung schloss sich auch der Branchenverband Bitkom an und relativierte die BSI-Warnmeldung: "Man kann das Internet (über WLAN) schon noch nutzen, auch für sensible Transaktionen", sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Man müsse allerdings darauf achten, dass die Verbindung dabei durch eine zusätzliche Verschlüsselungsschicht geschützt sei. Für eine "Hysterie" gebe es keinen Anlass.

Die zusätzliche Verschlüsselung jedoch korrekt zu erkennen, das könne ein Grund für die BSI-Warnung gewesen sein, meint der Chaos Computer Club. Sprecher Linus Neumann sagte: "In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme."

Die Einschätzung des BSI stützt Ammar Alkassar, Geschäftsführer der Rohde & Schwarz Cybersecurity GmbH. Anwender sollten ihr eigenes WLAN wie einen öffentlichen Hotspot behandeln, solange die Lücke nicht geschlossen sei. Aber: Auch in offenen Netzen seien mit zusätzlichen Verschlüsselungsschichten auch sensible Transaktionen möglich: "Unternehmen verlassen sich ohnehin nicht allein auf WPA2, sondern setzen Werkzeuge wie ein Virtuelles Privates Netzwerk (VPN) ein."

Vorsicht gilt auch in öffentlichen WLANs

Ungefährlich sind die Sicherheitslücken beileibe nicht. Das betont Prof. Michael Waidner vom Fraunhofer-Institut SIT (Security in Information Technology) in Darmstadt. Er sagte, die WLAN-Sicherheitslücke sei durchaus ernst zu nehmen. Allerdings könne damit keine massenhaften Attacken gestartet werden, da die Angreifer sich in der Nähe des WLANs aufhalten müssten: "Ich denke, dass man die Lücke auch relativ einfach schließen kann und bin optimistisch, dass die Hersteller auch schnell reagieren werden." Die Warnung des BSI nannte Waidner "völlig okay", da man schon die Anwender darauf hinweisen sollte, dass sie ihr mit WPA2 geschütztes WLAN zunächst so behandeln müssten wie ein offenes WLAN im Café oder am Flughafen. "Man sollte in einem öffentlichen WLAN gewisse Dinge nicht tun", betonte Waidner. Der Forscher verwies aber auch darauf, dass quasi alle Banken beim Online-Banking eine zweite Verschlüsselungsschicht verwenden. Wenn das richtig aufgesetzt sei, könne man auch in einem öffentlichen WLAN Homebanking machen. Die Anwender sollten sich bewusst darüber sein, das derzeit im heimischen WLAN der Grundschutz, von dem man sonst ausgehe, nicht vorhanden sei.

Auf Nachfrage bestätigt das BSI, dass man die Kritik an den Äußerungen ernst nehme. Dennoch sei man nicht davon überzeugt, dass alle Unternehmen die zusätzliche Verschlüsselung beispielsweise über SSL wirklich korrekt umgesetzt hätten. Deswegen bleibe man bei der grundsätzlichen Haltung, auf sensible Aktivitäten auf nicht gepatchten Geräten zu verzichten. Eine Bestätigung dieser Haltung kommt vom Krack-Entdecker Mathy Vanhoef. Auf der extra für Krack eingerichteten Website krackattacks.com gibt er Beispiele aus der Vergangenheit, in denen auch die Verschlüsselungsmethoden SSL, TLS und VPN durch kritische Sicherheitslücken aufgefallen waren.

Aktuell sind keine Fälle bekannt, in denen Krack ausgenutzt wurde oder wird. Dennoch sind alle Anwender aufgerufen, ihre Geräte schnellstmöglich zu aktualisieren, sobald Updates bereitstehen. In der Vergangenheit war es oft so, dass je länger eine Sicherheitslücke bekannt war, es umso wahrscheinlicher wurde, dass Kriminelle sich ihrer bedient haben.