Im Oktober gelang es dem Sicherheitsforscher Mathy Vanhoef von der Katholischen Universit\u00e4t L\u00f6wen, eine schwere Sicherheitsl\u00fccke im Verschl\u00fcsselungsprotokoll WPA2 zu entdecken: Vanhoef zufolge k\u00f6nnen Angreifer die Verschl\u00fcsselung bei WLAN-Verbindungen aufbrechen und den Datenverkehr belauschen oder sogar manipulieren. Getauft hat der Forscher diese Sicherheitsl\u00fccke auf den Namen „KRACK“, eine Abk\u00fcrzung f\u00fcr „key reinstallation attacks“.<\/p>\n
Das Problem bei der ganzen Sache: WPA2 ist die seit \u00fcber 10 Jahren empfohlene, als am sichersten geltende Verschl\u00fcsselungsmethode, mit der WLAN-Hotspots abgesichert werden. Es sind also nicht einzelne Hersteller beziehungsweise Ger\u00e4te oder eine bestimmte Nutzergruppe gef\u00e4hrdet, sondern es geht um eine grundlegende Schwachstelle in der Absicherung von WLAN-Verbindungen.<\/p>\n
Wir werden heute kl\u00e4ren, wie schlimm es wirklich ist und was wir tun k\u00f6nnen, um weiterhin sicher surfen und E-Mails verschicken zu k\u00f6nnen.<\/p>\n
Wann immer Sie zur Eingabe des WLAN-Schl\u00fcssels aufgefordert werden, steckt in fast allen F\u00e4llen der Sicherheitsstandard Wi-Fi Protected Access 2 (WPA2) dahinter. Dieses Verschl\u00fcsselungsverfahren soll daf\u00fcr sorgen, dass sich erstens nur berechtigte User in ein WLAN einloggen k\u00f6nnen und zweitens, dass kein Unbefugter die \u00fcbertragenen Daten mitschneiden oder diese auf ihrem \u00dcbertragungsweg manipulieren kann.<\/p>\n
Eigenen Angaben zufolge entdeckte Vanhoef einen Fehler in dem vierstufigen Verfahren, bei dem der Verschl\u00fcsselungskey zwischen Sender und Empf\u00e4nger in einem WLAN ausgetauscht wird.<\/p>\n
Ein Angreifer kann sich zwischen die WLAN-Ger\u00e4te schalten und mit ein paar Tricks den sogenannten Handshake manipulieren. Der Handshake ist die Kommunikation zwischen einem Ger\u00e4t und dem WLAN-Router, bei dem der Verschl\u00fcsselungskey „ausgehandelt“ wird. In genau diese Kommunikation kann ein Angreifer sich einklinken und sie so manipulieren, dass der Schl\u00fcssel mehrmals gesendet wird. Auf diese Weise gelangt er an den Schl\u00fcssel und kann die Verschl\u00fcsselung knacken. Im Grunde genommen handelt es sich bei dieser Attacke also um eine „Man-in-the-middle“-Attacke.<\/p>\n
Wie das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI<\/a>) mitteilt, sind „alle derzeit aktiven WLAN-f\u00e4higen Endger\u00e4te in unterschiedlichen Auspr\u00e4gungen“ betroffen. Konkret hei\u00dft das: Router, Computer, Laptops, Smartphones und alle internetf\u00e4higen Haushaltsger\u00e4te. Die Schwachstelle betreffe insbesondere Ger\u00e4te mit Android- und Linux-Betriebssystemen; Windows- und Apple-Betriebssysteme seien laut BSI nur „eingeschr\u00e4nkt“ betroffen. Dort k\u00f6nnten die Schwachstellen „derzeit nicht in vollem Umfang“ erfolgreich ausgenutzt werden.<\/p>\n Zugegeben: Die ganze Sache klingt dramatisch! Und das ist sie theoretisch auch. Denn immerhin k\u00f6nnten Ihre sensiblen Daten wie Bankinformationen und Kreditkartendaten, Passw\u00f6rter oder Fotos gestohlen und selbst E-Mails oder Chats mitgeschnitten werden. Dar\u00fcber hinaus k\u00f6nnten Cyberkriminelle Schadsoftware unerkannt auf Ihre WLAN-f\u00e4higen Ger\u00e4te einschleusen.<\/p>\n Praktisch betrachtet sieht die Sache etwas anders aus. Ernst nehmen muss man die ganze Angelegenheit, in Panik verfallen sollte aber niemand. Eine Attacke w\u00e4re n\u00e4mlich ziemlich aufw\u00e4ndig. Ein Angreifer m\u00fcsste sich f\u00fcr einen Hack in unmittelbarer N\u00e4he zum WLAN-Hotspot befinden – beispielsweise im Auto auf der Stra\u00dfe vor Ihrer Haust\u00fcr – und von dort eine Fake-Access-Point aufbauen. Ein gro\u00dffl\u00e4chiger Angriff aus dem Internet ist also nicht m\u00f6glich.<\/p>\n Da die Sicherheitsl\u00fccken nur vom jeweiligen Ger\u00e4tehersteller per Software-Update geschlossen werden k\u00f6nnen, patchen Sie unbedingt Ihr Ger\u00e4t: Holen Sie sich also die neuesten Sicherheitsupdates. Unmittelbar nach Bekanntwerden von KRACK war Microsoft der erste Anbieter, der alle noch unterst\u00fctzten Windows-Versionen (ab Windows 7) mit einem Patch gesch\u00fctzt hat; Apple und Google haben bereits nachgezogen. Und auch die Spezialisten f\u00fcr Netzwerktechnik Cisco, Intel, Netgear und Aruba haben inzwischen Sicherheits-Updates ver\u00f6ffentlicht. Sind Sie Besitzer eines \u00e4lteren Ger\u00e4tes oder Betriebssystems besteht die Gefahr, dass Ihr Hersteller keine Updates mehr liefert. Sp\u00e4testens jetzt sollten Sie deshalb dringend \u00fcber ein Hardware-Patch, sprich die Anschaffung eines neuen Ger\u00e4tes, nachdenken.<\/p>\n Wenn Sie auf Nummer Sicher gehen wollen, k\u00f6nnen Sie auch Ihr Netzwerkkabel reaktivieren. Keinesfalls aber deaktivieren Sie den WPA2-Sicherheitsstandard oder wechseln Sie auf einen \u00e4lteren WLAN-Standard! Diese gelten schon seit Jahren als unsicher.<\/p>\n Und auch bei smarten Haushaltsger\u00e4ten k\u00f6nnte es schwierig werden, wenn diese nicht mit (regelm\u00e4\u00dfigen) Updates versorgt werden. Haben Sie ein WLAN-f\u00e4higes Ger\u00e4t im Haus – und das k\u00f6nnen vom E-Reader bis zur Waage, von der Smartwatch bis zum Drucker eine ganze Menge sein – behalten Sie die Aktualisierungen der installierten Software und Ger\u00e4te-Software (Firmware) im Auge und installieren Sie diese bei Verf\u00fcgbarkeit sofort!<\/p>\n Sicher sind Sie, wenn Sie Ihren Datenverkehr zus\u00e4tzlich per Ende-zu-Ende-Verschl\u00fcsselung absichern. Wenn Sie eine Webseite im Internet aufrufen, achten Sie auf das „HTTPS“ in der Browserleiste. Internetadressen, die mit https beginnen, verschl\u00fcsseln die Kommunikation zwischen User und Webseite. Ein zus\u00e4tzliches gr\u00fcnes Schloss-Symbol vor dem https garantiert Ihnen, dass es sich bei der aufgerufenen Webseite auch tats\u00e4chlich um die Seite handelt, f\u00fcr die Sie sie halten. Insbesondere beim Onlinebanking und Onlineshopping sind diese Sicherheitsmerkmale Standard – und gerade jetzt sollten Sie auch auf diese achten.<\/p>\n Und was ist eigentlich mit E-Mails? Seien Sie sich bitte im Klaren dar\u00fcber: Wer durch KRACK Zugriff auf den Datenverkehr hat, kann auch E-Mails mitlesen und manipulieren.<\/p>\n Untersch\u00e4tzen Sie bitte auch die Bedrohung nicht: Gerade in Ballungszentren oder in Gewerbegebieten, die eine hohe Dichte an Unternehmen aufweisen, ist es grunds\u00e4tzlich ein Leichtes, sich physischen Zugriff zu einem oder gleich mehreren Firmen-WLAN\u00b4s zu verschaffen – und damit auch auf die E-Mails der Unternehmen. Zumindest, wenn die Kommunikation nicht verschl\u00fcsselt ist.<\/p>\n Gerade in Zeiten, in denen vertrauliche oder sensible Gesch\u00e4ftsinternas wie Kundendaten, Vertr\u00e4ge, Gesch\u00e4ftsberichte und Rechnungen f\u00fcr Datendiebe besonders begehrenswert und h\u00e4ufiges Ziel von Industriespionage sind, sollten Sie keinesfalls auf die Verschl\u00fcsselung Ihrer E-Mail-Kommunikation verzichten. Als Faustformel merken Sie sich deshalb bitte: Jede Form der Verschl\u00fcsselung ist erst einmal besser als gar keine. Ansonsten w\u00e4ren Ihre E-Mails im Klartext im World Wide Web unterwegs – und k\u00f6nnten jederzeit mitgelesen und manipuliert werden. Ein paar Unterschiede hinsichtlich der Sicherheitsstufen gibt es dennoch. Lesen Sie also bitte aufmerksam weiter.<\/p>\n HTTPS sichert E-Mails allerdings nur beim Abruf vom Mailserver \u00fcber den Browser. Und auch die Verschl\u00fcsselung der Verbindung zwischen zwei Mailservern mittels TLS ist nicht ausreichend. Bei TLS handelt es sich n\u00e4mlich lediglich um die serverseitige Verschl\u00fcsselung des Datenaustausches auf Transportebene.<\/p>\n Sender und Empf\u00e4nger einer E-Mail verwenden dabei einen gemeinsamen, geheimen Schl\u00fcssel und die E-Mail-\u00dcbertragung vom sendenden zum emfangenden Mailserver erfolgt verschl\u00fcsselt. Auf den beiden Mailservern selbst liegt die E-Mail jedoch unverschl\u00fcsselt. Technisch versierte und gut ausger\u00fcstete Hacker k\u00f6nnen den Schl\u00fcsselaustausch unterwandern und den beteiligten Systemen die Schl\u00fcssel des Angreifers unterschieben.<\/p>\nWie realistisch sind Attacken auf\u00b4s WLAN?<\/h3>\n
Sicherheitsma\u00dfnahme: Patchen, was die Ger\u00e4te hergeben!<\/h3>\n
HTTPS: Die sichere Alternative im Internet<\/h3>\n
E-Mail-Verkehr mit Ende-zu-Ende-Verschl\u00fcsselung sichern<\/h3>\n
TLS: Ein gemeinsamer Schl\u00fcssel als Schwachstelle<\/h3>\n