Keine Angst vor der KRACK-Attacke

Die Nachricht über die KRACK-Sicherheitslücke in nahezu jeder WLAN-Umgebung verbunden mit einer Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat viele Anwender verunsichert. IT-Fachleute geben nun teilweise Entwarnung.

Wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 sollten vorerst keine Bankgeschäfte mehr über ein drahtloses Netzwerk getätigt werden. Diese Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) klang eindringlich. Auch vor dem Einkauf im Internet via WLAN-Verbindung warnte das BSI – obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur kabelgebundenes Surfen oder Mobilfunkverbindungen seien derzeit sicher.

Was war geschehen? Vor einigen Tagen veröffentlichten Wissenschaftler der Katholischen Universität Leuven (Niederlande) eine Angriffsmöglichkeit auf mit WPA2 gesicherte Verbindungen. Der mit dem Namen Key Reinstallation Attack (KRACK) bezeichnete Angriff nutzt eine Schwäche im Vier-Wege-Handshake zur Aushandlung von Schlüsseln beim WLAN-Verbindungsaufbau aus. Damit können unter anderem Datenpakete entschlüsselt werden und verschiedene Angriffe ausgeführt werden.

Kein Untergang der WLAN-Welt

Bei zahlreichen Experten stieß diese massive Warnung auf Kritik. Zwar handele es sich bei der KRACK-Attacke um eine gravierende Sicherheitslücke, dennoch ist es relativ unwahrscheinlich, dass Cyberkriminelle jetzt alle Verschlüsselungen aushebeln und Daten mitlesen – so lautete der Tenor der meisten Kritiker. Das IT-Sicherheitsunternehmen F-Secure Deutschland teilte mit: „Krack Attack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer WLAN-Welt.“

Der IT-Branchenverband Bitcom stellte klar: „Noch ist unklar, ob die von dem Wissenschaftler festgestellte WPA2-Schwachstelle in der Praxis für Angriffe genutzt wurde oder werden kann. Zudem müsste sich ein Angreifer in Reichweite des eigenen WLAN befinden, was ein Ausnutzen der Schwachstelle für Cyberkriminelle sehr aufwändig macht.“

Zeitnah Updates installieren

Die größte Gefahr dürfte KRACK aktuell für IT-Umgebungen darstellen, die von gezielten Angriffen vor Ort bedroht sind. Dies können beispielsweise Unternehmen sein, die mit Industriespionage rechnen. Die Gefahr für private Anwender oder auch Unternehmen im Pflegebereich dürfte indes relativ gering sein. Gerade Webseiten für das Online-Banking, aber auch Webseiten wie mednic.de, bei denen Anmeldevorgänge via Browser möglich sind, verwenden eine zusätzliche Verschlüsselung. Zu erkennen sind solche Webseiten durch den Zusatz „https:“ und häufig auch durch die Anzeige eines Schloß-Symbols in der Adresszeile. Diese so genannte TLS-Verschlüsselung ist durch KRACK nicht gefährdet.

Verschiedene Hard- und Softwarehersteller bieten durch Updates bereits Möglichkeiten, die Schwachstelle zu stopfen. IT-Hersteller wie Cisco, Intel, Netgear und Aruba veröffentlichten erste Sicherheits-Updates. Bei Microsoft wurde die Sicherheitslücke in den letzten Software-Aktualisierungen für Windows berücksichtigt. Apple will ebenfalls in Kürze Updates für iOS und macOS zur Verfügung stellen.