Online-Sicherheit

Die wichtige WLAN-Verschlüsselung WPA2 wurde erstmals teilweise geknackt. Apple, Google und die Router-Hersteller können die Schwachstellen mit Sicherheits-Updates beheben.

Die bislang sichere WLAN-Verschlüsselung WPA2 ist gehackt: So schützt du dich trotzdem

Eigentlich galt WPA2 als sicher. Doch jetzt zeigte ein Forscher, wie sich das Verschlüsselungsprotokoll zahlreicher WLAN-Hotspots knacken lässt. Apple, Google und Co. liefern bald Sicherheits-Updates – Microsoft hat das schon getan.

17.10.17, 12:03 17.10.17, 14:20

Ein Artikel von

Schon beim ersten Satz auf der Website Krackattacks.com kann dem Besucher flau im Magen werden: «Wir haben ernsthafte Schwachstellen in WPA2 entdeckt, einem Protokoll, das alle modernen WLAN-Netzwerke absichert». Weiter heisst es: «Angreifer können diese neue Angriffstechnik nutzen, um Informationen mitzulesen, die man bislang für sicher verschlüsselt hielt.» Auf diesem Weg könnten etwa Kreditkartennummern, Passwörter, Chat-Nachrichten, E-Mails und Fotos erbeutet werden, sofern sie nicht durch eine weitere Verschlüsselung geschützt sind.

Die Entdeckung des Sicherheitsforschers Mathy Vanhoef ist tatsächlich bemerkenswert – und für die laut ihm betroffenen Hersteller wie Apple und Google kann nur eine Reaktion angemessen sein: ein möglichst rasches Schliessen der Lücke, wie es einige Hersteller wie Microsoft schon angekündigt oder bereits getan haben (siehe unten). Das geht nämlich per Software-Update.

Vanhoef, der auf der Info-Seite zur Lücke nach eigenen Angaben nur aus Stilgründen ein «Wir» verwendet, hatte einen Fehler in dem vierstufigen Verfahren entdeckt, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. KRACK taufte der Wissenschaftler den entsprechenden Angriff, als Abkürzung für «key reinstallation attacks».

Der Hack funktioniert nur in der Nähe des WLAN-Hotspots

Praktisch hat der Angriff jedoch manche Einschränkung, so ist vor allem räumliche Nähe zum WLAN-Hotspot vonnöten. Zudem lässt sich etwa durch das Nutzen von Websites mit HTTPS verhindern, dass der eigene Traffic samt Passwörtern oder Kontodaten eingesehen werden kann – und auf allen Bankseiten und in fast allen Online-Shops ist HTTPS der Standard. 

So kannst du dich schützen

Updates, Updates, Updates

Der beste Schutz ist, sämtliche Updates für WLAN-fähige-Geräte (Router, Smartphone, Spielkonsole, Computer, Smart-TV etc.) zeitnah zu installieren. Auf Seiten der Hardware-Hersteller haben laut dem Tech-Portal ZDNet Aruba, Cisco, Intel, Netgear und MikroTik mit der Auslieferung von Patches begonnen. Welche Software-Hersteller bereits Sicherheits-Updates zur Verfügung stellen, wird nachfolgend im Artikel beschrieben.

Wichtig: WLAN-Nutzer sollten auf keinen Fall teure Software kaufen, die den PC oder das Smartphone angeblich gegen die KRACK-Attacke schützt. Einige Software-Anbieter werden in den nächsten Tagen versuchen mit der Angst der Nutzer Geld zu verdienen. Der effektivste Schutz sind Sicherheits-Updates der Router- und Betriebssystemhersteller sowie die zusätzliche Verschlüsselung das Datenverkehrs – zum Beispiel per VPN.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) riet am Montag trotzdem zu besonderer Vorsicht: «Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof», warnte es. «Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Dienst

Auch das kabelgebundene Surfen ist weiterhin sicher.

Wichtig: «Keinesfalls sollten Nutzer den WPA2-Sicherheitsstandard bei ihrem Router deaktivieren, da ältere verfügbare Sicherheitsstandards als unsicher gelten und dafür keine Patches zu erwarten sind».

Der Branchenverband Wi-Fi Alliance hatte zuvor mitgeteilt, es gebe keine Anzeichen dafür, dass die von Vanhoef entdeckte Lücke bereits von Kriminellen ausgenutzt werde. Die Stellungnahme des Verbands hätte man wohl auch mit dem Satz zusammenfassen können: Wird schon alles wieder gut.

Das Video erklärt den Hack.

Microsoft hat die Lücke bereits gestopft

Praktisch dürften demnächst in der Tat viele Geräte zeitnah per Software-Update gegen KRACK geschützt werden – immer vorausgesetzt, das eigene Gerät ist noch halbwegs aktuell und der Hersteller entsprechend patchwillig.

Einige Firmen wie die amerikanischen Netzwerkausrüster Aruba und Ubiquiti hatten schon am Montag mitgeteilt, dass ein Update bereits zur Verfügung stehe. AVM, der deutsche Hersteller der populären Fritzbox für WLAN-Hotspots, hatte erklärt, man werde «falls notwendig wie gewohnt ein Update bereitstellen».

Gerüstet ist auch Microsoft, meldet das Online-Magazin The Verge. Demnach hat der Konzern die Lücke in allen noch unterstützten Windows-Versionen bereits vor gut einer Woche geschlossen, in Form seines Oktober-2017-Updates. «Kunden, die das Update einspielen oder automatische Updates aktiviert haben, sind geschützt», heisst es.

Darüber hinaus haben auch die ersten Linux-Anbieter mit der Verteilung von Sicherheits-Updates begonnen. Patches stehen etwa für Debian-basierte Linux-Distributionen zur Verfügung. OpenBSD ist ebenfalls bereits gepatcht. 

Google und Apple ziehen bald nach

Google hat «The Verge» zufolge angekündigt, «in den kommenden Wochen» Updates für betroffene Android-Geräte zu liefern: Als erstes sollen damit die Pixel-Geräte des Unternehmens bedacht werden. Für sie soll am 6. November eine Aktualisierung bereitgestellt werden.

Ob und wann das entsprechende Update bei Android-Geräten dritter Hersteller ankommt, ist pauschal noch nicht genau abzusehen. Bekannt für schnelle Sicherheits-Updates sind insbesondere Nokia und Sony.

Für veraltete oder besonders günstige Geräte, die im WLAN hängen, wird es wohl nie ein Update geben.

Von Apple heisst es laut Medienberichten, dass die Schwachstelle in den neuesten Entwickler- und Beta-Versionen der Betriebssysteme iOS und macOS bereits behoben sei: Normale Nutzer sollten das Update daher in einigen Wochen zur Verfügung gestellt bekommen.

Auch die WLAN-Router von Apple haben bislang kein Sicherheits-Update erhalten. bild: apple

Ist der WLAN-Router von Swisscom ebenfalls betroffen? 

Auch Geräte in einem WLAN-Netzwerk einer Swisscom-Internetbox (WLAN-Router) sind betroffen.

(mbö)

11 Fragen und Antworten zur KRACK-Attacke, die WLANs potenziell unsicher macht

Russische Hacker beeinflussen politische Debatten

1m 5s

Russische Hacker beeinflussen politische Debatten

Video: srf

Facebook und Microsoft verlegen High-Speed-Kabel im Meer

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
10
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
10Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Alnothur 17.10.2017 17:41
    Highlight Kleine Info am Rande: OpenBSD ist kein Linux-System ;)
    6 0 Melden
  • Chrigu BE 17.10.2017 15:12
    Highlight Beniutzer von Firefox können ihre Sicherheit erhöhen, indem sie das add-on "Smart HTTPS" installieren.
    Es wählt immer die https-Seite, wenn vorhanden.
    Probiere es aus bei "watson.ch" - denn auf watson hat eine https-Variante online...
    4 1 Melden
    • Chrigu BE 17.10.2017 16:02
      Highlight Präzisierung (sorry):
      Wählt das Add-on "Smart HTTPS (revived)"
      3 0 Melden
  • 2sel 17.10.2017 12:28
    Highlight Und wie sieht es mit den Routern von upc aus?
    11 0 Melden
    • Blackfoxx 17.10.2017 13:16
      Highlight Bei allen Routern wird standardgemäss WPA oder WPA2 verwendet.
      6 5 Melden
    • birdiee 17.10.2017 13:54
      Highlight @blackfoxx:
      Denke seine frage war darauf bezogen, ob upc ihre geräte (modem, router und horizon) ebenfalls patchen wird. Genau das was mich ebenfalls sehr gut interessieren würde...
      @watson: gibts dazu schon infos?
      8 0 Melden
    • p4trick 17.10.2017 13:56
      Highlight Router von UPC oder Swisscom werden in den Bridge Modus bestellt und einen eigenen Router verwendet der auch selber ganaged wird.
      4 4 Melden
    • birdiee 17.10.2017 14:54
      Highlight @p4trick:
      Für einen versierten user sicher sinnvoll.... Für eine 0815-installation aber nicht so praktikabel oder nachvollziehbar wieso es das überhaupt bräuchen sollte...
      1 1 Melden
    • Flint 17.10.2017 17:20
      Highlight @p4trick: Nicht unbedingt. Horizon Nutzer werden zu 95% nicht einen separaten AP nutzen!
      1 0 Melden
    • Supercell 17.10.2017 17:57
      Highlight Die Clients, sprich pcs, smartphones etc müssen gepatcht werden, nicht die Router...
      0 1 Melden

Wer auch immer dieses geniale Angebot bei Ebay eingestellt hat – wir lieben ihn dafür ❤️😂

Das iPhone X scheint kreativ zu machen ...

Ein Blick auf Ebay offenbart das übliche Spielchen, wenn ein neues, heiss begehrtes Gadget erscheint. Habgierige Zeitgenossen decken sich mit Apples neustem Handy ein und versuchen das Gadget zu überteuerten Preisen zu verhökern.

Bei diesem ganz speziellen Angebot hat uns aber nicht das Preisschild von 2500 Euro stutzig gemacht, sondern die Produktbeschreibung.

Die Produktbeschreibung erklärt ausführlich, warum genau DIESES iPhone X 2500 Euro wert sei: «So wurde es exklusiv für den Käufer …

Artikel lesen