Mit Smartphone, Tablet und Co. kann jeder heutzutage – dank WLAN – immer und überall surfen. Und so werden gerne und oft bei einem Espresso im Café um die Ecke ebenso wie im Wartezimmer eines Arztes oder Zuhause auf dem Sofa Kontostände gecheckt, eine Online-Bestellung ausgelöst oder Nachrichten an Mitarbeiter, Freunde oder Geschäftspartner versendet. Das Bewusstsein dafür, dass durch die WLAN-Nutzung vielleicht sensible Daten wie Passwörter oder Pin-Codes ausgelesen werden könnten, war bei vielen Internetsurfern bisher eher mäßig ausgeprägt. Das dürfte auch darauf zurückzuführen sein, dass bis dato der Sicherheitsstandard WPA2 für WLAN-Netzwerk als sicher und unknackbar galt.
Die „Krack-Attacke“
Doch vor kurzem machte eine Meldung die Runde, die aufhorchen ließ. „Der aktuelle Verschlüsselungsstandard WPA2, der bei vielen WLAN eingesetzt wird, ist geknackt!“, so war es verbreitet zu lesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl, bis zur Verfügbarkeit von Sicherheitsupdates keine WLAN-Netzwerke mehr für Online-Transaktionen wie Online-Banking oder Online-Shopping oder anderer sensibler Daten zu nutzen.
Was war passiert?
Zwei belgischen Sicherheitsforschern ist es gelungen, mit gezielten Angriffen auf Funknetze, Daten, die im WLAN mit WPA2 verschlüsselt übertragen werden, mitzulesen oder zu manipulieren. Hierzu wird eine Lücke in der Umsetzung/Implementierung des WPA2 Verschlüsselungsprotokolls ausgenutzt. Betroffen davon sind alle aktiven WLAN-fähigen Endgeräte.
Besteht Grund zu Panik?
Bei der sogenannten „KRACK Attacke“ handelt es sich um einen gezielten Angriff auf jeweils ein spezielles Funknetz, bei der sich der Angreifer in der Nähe (im Funkbereich des WLAN) des Funknetzes befinden muss. Nur dann besteht die Gefahr, dass unberechtigt Daten mitgelesen werden. Da die Attacke, jedenfalls zum derzeitigen Zeitpunkt, mit einem gewissen, technischen Aufwand verbunden ist, besteht kein Grund zu Panik.
Was ist zu tun?
Der Fall zeigt allerdings, wie wichtig es ist, sich bei IT-Sicherheitsthemen nicht nur auf einen Standard zu verlassen, sondern stattdessen bestimmte Internetdienste zusätzlich mit einer sogenannten Transportverschlüsselung zu versehen. Als Beispiel ist hier das Onlinebanking, die Remoteeinwahl in Firmennetze (VPN-Verbindung), die Nutzung sozialer Netzwerke oder andere Anmeldefunktionen wie zum Beispiel bei Emailkonten zu nennen. Einen wesentlichen Beitrag leistet hier auch die vermehrte Nutzung von mit HTTPS verschlüsselten Seiten gerade bei diesen genannten Diensten. Internetseiten und -dienste, die zusätzlich verschlüsselt sind, können durch die bei der KRACK Attacke genutzte Lücke alleine nicht mitgelesen werden.
Zudem sollten unbedingt die von den Herstellern bereitgestellten Firmware-Patches für die WLAN-Komponenten eingespielt werden. Hier sind insbesondere Router, die den Zugang zum Internet herstellen, NAS-Laufwerke (Network Attached Storage), die per WLAN angebunden sind und natürlich Smartphones, Laptops und Tablets zu nennen. Fast alle Betriebssysteme, also Windows, Linux, Android und iOS sind gleichermaßen betroffen. Die meisten Hersteller haben bereits Patches bereitgestellt, wie zum Beispiel Microsoft, andere haben dies angekündigt und werden dies aller Voraussicht nach in Kürze tun. Eine Übersicht findet sich auf
https://www.heise.de/security/meldung/KRACK-Hersteller-Updates-und-Stellungnahmen-3863455.html
Man kann also sagen, dass die Verschlüsselung von WLAN-Netzen nach WPA2 zwar angeschlagen, aber nicht vollständig geknackt ist. Der zunächst befürchtete GAU, insbesondere für den normalen Anwender, ist also bisher ausgeblieben. Unter Beachtung der nötigen Vorsicht steht einem weiteren Surfen per WLAN derzeit nichts im Wege.
Wer öffentliche WLAN-Netze nutzt, sollte aber besondere Vorsicht, vor allem beim Umgang mit sensiblen Daten walten lassen. Worauf hierbei zu achten ist, erläutert anschaulich der Erklärfilm des BSI, der abgerufen werden kann unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/WPA2Verschluesselung_Sicherheitsluecke_16102017.html .