Das Problem
Mathy Vanhoef ist der Entdecker der Schwachstelle und auch der Erfinder des Namens steht für Key Reinstallation AttaCK und bezeichnet ein Verfahren, mit dem Angreifer ungeschützte Daten in einer Wireless Umgebung mitlesen können. WLAN-fähige Geräte aller Art sind betroffen. Der Fehler in der 2. Version des Protokolls WPA führt dazu, dass ein Schlüssel wiederverwendet werden kann – was weitreichende Folgen vor allem für die Datensicherheit in Unternehmen bedeuten könnte.
Schwierige Zeiten für WLAN
WPA2 dient dazu, die Kommunikation zwischen WLAN-Geräten zu verschlüsseln – dieselben Geräte, die Sie auch zu Hause verwenden, also etwa einen Router, Notebooks, Smartphones, Konsolen und so weiter. Laienhaft ausgedrückt können sich Angreifer durch KRACK zwischen zwei Geräte schummeln (also beispielsweise ein Notebook und einen Netzwerk-Router) und den Datenverkehr dann abhören und manipulieren. Gerade letztere Möglichkeit sorgt für Kopfschmerzen. Immerhin: Momentan funktioniert dies nur bei Datenverkehr, der nicht verschlüsselt ist.
Das bedeutet, dass etwa beim Zugriff auf eine https-Webseite (mit TLS-Verschlüsselung) keine Gefahr besteht. Online-Banking beispielsweise ist also in keiner Weise bedroht. Eine zusätzliche Sicherheitsebene verhindert hier, dass durch den Angriff irgendetwas ausgelesen werden kann. Auch VPN-Verbindungen sind nach wie vor sicher, genauso wie Programme mit Ende-zu-Ende-Verschlüsselung. Im Alltag der meisten Anwender sind das etwa Messenger wie WhatsApp oder Signal.
Ein weiteres kleines Hindernis steht Angreifern durch die Distanz zum Ziel im Weg: Um KRACK zu verwenden, müssen sich Angreifer direkt am Access Point (etwa einem Router) oder WLAN-Hotspot befinden. Daher sollte im privaten Bereich eher selten etwas passieren. Das macht diese Lücke aber nicht ungefährlicher. Dies haben auch einige grosse Unternehmen erkannt und bereits Abhilfe geschaffen oder in Aussicht gestellt.
Microsoft sichert sich ab
Microsoft schreibt IT-Security in diesen Tagen gross und hat bereits eine Behebung des Fehlers für Windows 7 und Windows 10 an alle Nutzer ausgeliefert. Sofern Sie sich auf einem aktuellen Patch-Stand befinden, ist also alles in Ordnung. Auch Apple hat mit der neuesten Version ihres Betriebssystems, die Lücke bereits geschlossen. Das Google Betriebssystem Android 6.0.1 ist z.B. noch „offen“ und damit gefährdet. Falls verfügbar, sollten Sie daher unbedingt Sicherheitsupdates einspielen.
Schwieriger wird es vielleicht bei Geräten ausserhalb der Reichweite von Microsoft, Google und Apple: Router, Konsolen, AV-Receiver, NAS-Server und andere Geräte brauchen die Absicherung ebenfalls. Informieren Sie sich daher am besten auf den jeweiligen Herstellerseiten über Updates.
Bis es soweit ist, rät etwa das Bundesamt für Sicherheit in der Informationstechnik in Deutschland dazu, jede Verbindung, die mit WPA2 verschlüsselt ist, vorsichtig einzusetzen. Dazu gibt es auch gleich ein paar Tipps:
- Kabelverbindungen sind absolut sicher. Falls es auf IT-Security ankommt, ist daher der Griff zum Ethernet-Kabel nicht verkehrt.
- Wenn es ohne Wireless nicht geht, sollten Verbindungen am besten über sichere VPN-Netzwerke aufgebaut werden.
- Daten lassen sich auch über UMTS und LTE übertragen und sind dort sicher. Eine gute Alternative, wenn das Datenvolumen mitspielt.
- Daten sollten möglichst immer verschlüsselt versendet werden, wenn es unbedingt über WLAN gehen muss.
Tipps für den Umgang mit KRACK
ergewissern Sie sich, dass beide Kommunikationspartner – etwa ein Netzwerk-Router und ein Tablet – mit einem Sicherheitsupdate versehen sind. Wird ein Update nur für eines der Geräte installiert, besteht nach wie vor kein Schutz und der Schlüssel kann ausgelesen und wiederverwendet werden. Weiterhin sollten Sie davon absehen, Ihr Passwort für das WLAN zu ändern. Denn: Mit dem Passwort hat diese Attacke leider gar nichts zu tun.
Leider bieten auch fortgeschrittene Verschlüsselungen keinen besseren Schutz, solange die Methode im Kern auf WPA2 basiert. WPA2-AES, AES-CCMP oder GCMP beispielsweise sind ebenso betroffen. Sie würden also keinen Erfolg erzielen, indem Sie einfach die Verschlüsselungsmethode ändern. Es ist übrigens sehr wahrscheinlich, dass Sie gerade an einem Gerät sitzen, das diesen Fehler hat. Fragen Sie daher ruhig beim Hersteller nach, ob es Updates gibt.
Die Zukunft des Protokolls
Eine wirkliche Unsicherheit ist für WPA2 auch nach KRACK nicht gegeben. Der Fehler fällt zwar recht kritisch aus, er lässt sich gleichzeitig aber auch recht einfach durch Softwareupdates beheben. Ob wirklich eine Aktualisierung des eigentlich sicheren WPA2-Protokolls ansteht, ist daher schwer zu sagen. Wir empfehlen, sicherheitshalber alle Geräte zu aktualisieren, um dadurch Angreifern von aussen keinen Spielraum zu lassen.
Autor: Manojlo Mitrovic, System Engineer, BIson IT Services AG