krack

Hintergründe zur KRACK-Attacke und unsere Empfehlungen

Am 16. Oktober 2017 wurde eine schwere Lücke im WPA2-Protokoll bekannt gegeben .

Der WPA2-Standard wird zur Verschlüsselung von Daten in nahezu allen WLAN-Netzen weltweit verwendet. Durch den KRACK ( Key Reinstallation Attack ) getauften Angriff wird es möglich, solche bislang als sehr sicher geltenden WLAN-Verbindungen auf einmal abzuhören. Entsprechend groß war das Medienecho und es erschienen in kürzester Zeit zahlreiche Presseartikel sowie Stellungnahmen der Hersteller von WLAN-Equipment. Durch die Überschlagung der Ereignisse wurden jedoch auch viele Halb- und Unwahrheiten verbreitet, die teilweise unnötige Panik verursachten. Wir möchten daher auf die Hintergründe der Sicherheitslücke eingehen, sowie den Auswirkungen, welche sich aus unserer Sicht ergeben.

Wie wirkt sich KRACK auf Sie aus?

Durch die KRACK-Attacke lassen sich WLAN-Verbindungen kompromittieren. Der Angriff macht sich einen Design-Fehler im WPA2-Protokoll zu nutze. Vereinfacht gesagt wird die Übertragung eines WLAN-Clients (z.B. Laptop, Smartphone oder Tablet-PC) zum Router bzw. Access Point durch den Angreifer zunächst gestört. Die Daten kommen dadurch beim Router nicht an und werden nach einiger Zeit vom Client erneut, jedoch neu verschlüsselt, übertragen. Durch die doppelte Übertragung mit verschiedenen Verschlüsselungen kann der Angreifer den geheimen Schlüssel der WLAN-Verbindung errechnen und im Anschluss die gesamte Verbindung abhören .

Besonders betroffen von der Lücke sind aufgrund eines Implementierungsdetails linux-basierte Geräte, vor allem Handys und Tablets mit Android-Betriebssystem. Der Fehler findet sich jedoch generell in jedem WLAN-Client. Nicht direkt betroffen sind dagegen Router bzw. Access Points. Nach dem derzeitigen Informationsstand lassen sich außerdem Daten nur mitlesen, jedoch nicht ändern. Somit lässt sich auch keine WLAN-Verbindung komplett „übernehmen“.

Durch die Lücke verhält sich die Sicherheit im heimischen WLAN-Netz äquivalent zu öffentlichen Funknetzen, wie sie z.B. in Restaurants angeboten wird und in denen oftmals überhaupt keine Verschlüsselung zum Einsatz kommt. Die KRACK-Attacke wirkt sich jedoch nur auf die WLAN-Verschlüsselung aus und nicht auf die zusätzliche Verschlüsselung von Verbindungen, z.B. per SSL, wie sie insbesondere beim Online-Banking heute Standard sind. Daher ist auch die Presseinformation des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etwas übertrieben, in der dazu geraten wird, generell auf Online Banking und Shopping über WLAN zu verzichten. So lange bei der Nutzung dieser Dienste SSL zum Einsatz kommt, kann deren Verwendung weiterhin als sicher gelten.

Welche Gegenmaßnahmen Sie jetzt treffen sollten

Obwohl die Ursache des Sicherheitsproblems in einem Design-Fehler des WPA2-Protokolls zu suchen ist, lässt sich die Lücke durch Software-Updates der WLAN-Clients schließen. Eine Übersicht von Herstellerstellungnahmen inklusive der nötigen aktualisierten Updates, finden Sie auf heise.de . Wir raten Ihnen, sobald neue Updates verfügbar sind, alle WLAN-Geräte zu aktualisieren. Da Router von der Lücke nicht betroffen sind, müssen Sie diese in der Regel nicht aktualisieren. Ausnahmen gelten z.B. für Geräte, die ihre Internetverbindung nicht über eine Kabelverbindung herstellen, sondern hierfür selbst eine WLAN-Verbindung nutzen (Bsp. sogenannte WLAN Repeater).

Unsere Empfehlungen

Generell sollten Sie davon ausgehen, dass es immer wieder Sicherheitslücken gibt und die jetzt bekannt gewordene Lücke nicht die einzige bleibt.
Daher sollten Sie immer die folgenden Grundprinzipien beachten:

  • Führen Sie regelmäßig Sicherheitsupdates aller Ihrer Geräte und Software durch.
  • Verwenden Sie nur solche Geräte und Software, welche vom Hersteller noch unterstützt und mit Updates versorgt werden.
  • Nutzen Sie zusätzliche Verschlüsselung, insbesondere SSL/TLS für den Versand und den Abruf von E-Mails, sowie das Surfen im Internet.
  • Viele Webseiten lassen sich heute bereits verschlüsselt per https aufrufen. Nicht immer ist das Verschlüsselungsprotokoll jedoch automatisch aktiv bzw. es wird nicht immer automatisch von http auf https weitergeleitet. Wir empfehlen daher, Browser-Erweiterungen zu nutzen, die dieses Verhalten erzwingen (z.B. HTTPS Everywhere für Internet Explorer , Firefox und Chrome ). Falls Ihre bei uns gehostete Webseite noch kein SSL unterstützt, sprechen Sie uns an und lassen sich von uns beraten.