Eigentlich galt WPA2 als sicher. Doch jetzt zeigte ein Forscher, wie sich das Verschlüsselungsprotokoll zahlreicher WLAN-Hotspots knacken lässt. Apple, Google und Co. liefern bald Sicherheits-Updates – Microsoft hat das schon getan.

Schon beim ersten Satz auf der Website Krackattacks.com kann dem Besucher flau im Magen werden: «Wir haben ernsthafte Schwachstellen in WPA2 entdeckt, einem Protokoll, das alle modernen WLAN-Netzwerke absichert». Weiter heisst es: «Angreifer können diese neue Angriffstechnik nutzen, um Informationen mitzulesen, die man bislang für sicher verschlüsselt hielt.» Auf diesem Weg könnten etwa Kreditkartennummern, Passwörter, Chat-Nachrichten, E-Mails und Fotos erbeutet werden, sofern sie nicht durch eine weitere Verschlüsselung geschützt sind.

Die Entdeckung des Sicherheitsforschers Mathy Vanhoef ist tatsächlich bemerkenswert – und für die laut ihm betroffenen Hersteller wie Apple und Google kann nur eine Reaktion angemessen sein: ein möglichst rasches Schliessen der Lücke, wie es einige Hersteller wie Microsoft schon angekündigt oder bereits getan haben (siehe unten). Das geht nämlich per Software-Update.

Vanhoef, der auf der Info-Seite zur Lücke nach eigenen Angaben nur aus Stilgründen ein «Wir» verwendet, hatte einen Fehler in dem vierstufigen Verfahren entdeckt, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. KRACK taufte der Wissenschaftler den entsprechenden Angriff, als Abkürzung für «key reinstallation attacks».

Der Hack funktioniert nur in der Nähe des WLAN-Hotspots

Praktisch hat der Angriff jedoch manche Einschränkung, so ist vor allem räumliche Nähe zum WLAN-Hotspot vonnöten. Zudem lässt sich etwa durch das Nutzen von Websites mit HTTPS verhindern, dass der eigene Traffic samt Passwörtern oder Kontodaten eingesehen werden kann – und auf allen Bankseiten und in fast allen Online-Shops ist HTTPS der Standard.

So kannst du dich schützen

Updates, Updates, Updates Der beste Schutz ist, sämtliche Updates für WLAN-fähige-Geräte (Router, Smartphone, Spielkonsole, Computer, Smart-TV etc.) zeitnah zu installieren. Auf Seiten der Hardware-Hersteller haben laut dem Tech-Portal ZDNet Aruba, Cisco, Intel, Netgear und MikroTik mit der Auslieferung von Patches begonnen. Welche Software-Hersteller bereits Sicherheits-Updates zur Verfügung stellen, wird nachfolgend im Artikel beschrieben.



Wichtig: WLAN-Nutzer sollten auf keinen Fall teure Software kaufen, die den PC oder das Smartphone angeblich gegen die KRACK-Attacke schützt. Einige Software-Anbieter werden in den nächsten Tagen versuchen mit der Angst der Nutzer Geld zu verdienen. Der effektivste Schutz sind Sicherheits-Updates der Router- und Betriebssystemhersteller sowie die zusätzliche Verschlüsselung das Datenverkehrs – zum Beispiel per VPN.



Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) riet am Montag trotzdem zu besonderer Vorsicht: «Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof», warnte es. «Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Dienst.»

Wichtig: «Keinesfalls sollten Nutzer den WPA2-Sicherheitsstandard bei ihrem Router deaktivieren, da ältere verfügbare Sicherheitsstandards als unsicher gelten und dafür keine Patches zu erwarten sind».

Der Branchenverband Wi-Fi Alliance hatte zuvor mitgeteilt, es gebe keine Anzeichen dafür, dass die von Vanhoef entdeckte Lücke bereits von Kriminellen ausgenutzt werde. Die Stellungnahme des Verbands hätte man wohl auch mit dem Satz zusammenfassen können: Wird schon alles wieder gut.

Microsoft hat die Lücke bereits gestopft

Praktisch dürften demnächst in der Tat viele Geräte zeitnah per Software-Update gegen KRACK geschützt werden – immer vorausgesetzt, das eigene Gerät ist noch halbwegs aktuell und der Hersteller entsprechend patchwillig.

Einige Firmen wie die amerikanischen Netzwerkausrüster Aruba und Ubiquiti hatten schon am Montag mitgeteilt, dass ein Update bereits zur Verfügung stehe. AVM, der deutsche Hersteller der populären Fritzbox für WLAN-Hotspots, hatte erklärt, man werde «falls notwendig wie gewohnt ein Update bereitstellen».

Gerüstet ist auch Microsoft, meldet das Online-Magazin The Verge. Demnach hat der Konzern die Lücke in allen noch unterstützten Windows-Versionen bereits vor gut einer Woche geschlossen, in Form seines Oktober-2017-Updates. «Kunden, die das Update einspielen oder automatische Updates aktiviert haben, sind geschützt», heisst es.

Darüber hinaus haben auch die ersten Linux-Anbieter mit der Verteilung von Sicherheits-Updates begonnen. Patches stehen etwa für Debian-basierte Linux-Distributionen zur Verfügung. OpenBSD ist ebenfalls bereits gepatcht.

Google und Apple ziehen bald nach

Google hat «The Verge» zufolge angekündigt, «in den kommenden Wochen» Updates für betroffene Android-Geräte zu liefern: Als erstes sollen damit die Pixel-Geräte des Unternehmens bedacht werden. Für sie soll am 6. November eine Aktualisierung bereitgestellt werden.

Ob und wann das entsprechende Update bei Android-Geräten dritter Hersteller ankommt, ist pauschal noch nicht genau abzusehen. Bekannt für schnelle Sicherheits-Updates sind insbesondere Nokia und Sony.

Von Apple heisst es laut Medienberichten, dass die Schwachstelle in den neuesten Entwickler- und Beta-Versionen der Betriebssysteme iOS und macOS bereits behoben sei: Normale Nutzer sollten das Update daher in einigen Wochen zur Verfügung gestellt bekommen.

