Einige Hersteller haben bereits erste Patches für die gestern bekanntgewordene WPA2-Sicherheitslücke ausgeliefert. Gleichzeitig wird Kritik an der weit gefassten WLAN-Warnung des BSI laut.

WLAN: Erste Hersteller haben WPA2-Sicherheitslücke geschlossen

Am gestrigen Montag den 16. Oktober 2017 hat der belgische Wissenschaftler Mathy Vanhoef eine Sicherheitslücke im WPA2-Protokoll öffentlich gemacht. WPA2 dient der Verschlüsselung von WLAN-Verbindungen und kann mit dem KRACK (Key-Reinstallation-Attacks) getauften Angriff ausgehebelt werden. Immerhin scheint die Tech-Branche aber schnell zu reagieren.

Microsoft hat die Sicherheitslücke bereits vorab mit einem Update am 10. Oktober 2017 geschlossen. Wer automatische Updates deaktiviert hat, sollte sein Windows-Betriebssystem jetzt schnellstmöglich manuell auf den neusten Stand bringen. Apple hat zwar auch schon eine Lösung für das Problem, der Patch ist derzeit aber nur in den aktuellen Beta-Versionen von macOS, iOS, tvOS und watchOS integriert und wird erst in einigen Wochen für alle Nutzer ausgerollt.

Google will in den kommenden Wochen ein Android-Update vorlegen. Nach Angaben von the Verge wird das zuerst für die Pixel-Geräte verfügbar sein. Aufgrund der umständlichen Update-Politik lässt sich leider schwer abschätzen, wann einzelne Android-Geräte die nicht direkt von Google stammen, das Update erhalten werden. Hier sind jetzt vor allem die Hersteller gefragt. Der Router-Hersteller AVM erklärt indes, dass seine Fritzbox nicht KRACK betroffen ist. Das trifft allerdings nicht auf die WLAN-Repeater des Unternehmens zu. Entsprechende Updates sind jedoch in Arbeit.

WPA2-Sicherheitslücke: Microsoft hat das Problem bereits behoben, während Apple-Nutzer noch warten müssen. (Foto: t3n)

Anzeige

WLAN-Sicherheit: CCC kritisiert „überzogene Warnung“ des BSI

Der Appell des Bundesamtes für Sicherheit in der Informationstechnik, wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 keine Bankgeschäfte mehr über ein drahtloses Netzwerk zu tätigen, ist bei Experten auf Kritik gestoßen. „Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen, wenn die Kanäle jeweils selbst (mit HTTPS oder VPN) verschlüsselt sind“, sagte der Sprecher des Chaos Computer Clubs, Linus Neumann, der Deutschen Presse-Agentur.

Das BSI hatte am Montagabend öffentlich dazu aufgefordert, zunächst auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten. Auch vom Einkaufen im Netz via WLAN warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien derzeit sicher: „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof“, heißt es beim BSI.

CCC-Sprecher Neumann sieht das anders: „In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme.“

Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müsse. Außerdem müsse er in der Lage sein, eine technisch aufwendige „Man-in-the-middle“-Attacke auszuführen. Es gebe auch keine Hinweise darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden sei. krr/dpa

Weiterlesen: WLAN nicht mehr sicher – Forscher finden Sicherheitslücke im WPA2-Protokoll.