https://www.faz.net/-gqe-92u5o

WPA2 : Sicherheitslücke in wichtiger W-Lan-Verschlüsselung

  • Aktualisiert am

Wer die Verschlüsselung durchbrechen will, muss mit der neuen Methode offenbar in der Nähre eines Hotspots sein. Bild: dpa

Das Verschlüsselungsverfahren WPA2 soll in einem W-Lan-Hotspot Verbindungen absichern und Lauscher aussperren. Doch offenbar gibt es Probleme. Nur ein neues Passwort reicht nicht, um sie zu lösen.

          IT-Sicherheitsforscher der Katholischen Universität Löwen haben gravierende Sicherheitslücken in dem Verschlüsselungsprotokoll WPA2 entdeckt, mit dem W-Lan-Hotspots abgesichert werden. Mit der „KRACK“ getauften Attacke können demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. Das Computer Emergency Response Team (CERT) der Vereinigten Staaten warnte einem Bericht von „ArsTechnica“ zufolge bereits vor den Folgen der entdeckten Lücken.

          WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eins W-Lans, das bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert.

          Die Forscher in Löwen entdeckten nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem W-Lan ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken.

          Ein anderes Passwort hilft nicht

          Mit WPA2 soll dafür gesorgt werden, dass sich nur berechtigte Nutzer in ein WLAN einloggen können. Das Verschlüsselungsverfahren soll aber auch verhindern, dass die drahtlos übertragenen Daten von Unbefugten mitgeschnitten werden können.

          Außerdem verhindert die Verschlüsselung, dass Daten auf dem Übertragungsweg manipuliert werden. Bislang gibt es nach Auskunft des Branchenverbandes WiFi Alliance keine Anzeichen dafür, dass die von den Forschern entdeckten Sicherheitslücken in WPA2 bereits von Computerkriminellen ausgenutzt werden.

          Vanhoef erklärte, es bringe jetzt nichts, sein W-Lan-Passwort zu ändern, da dies nicht vor der Attacke schütze. Vermutlich seien Geräte aller Hersteller von den Fehlern betroffen. Die Lücken könnten allerdings durch ein Software-Update geschlossen werden. Die Branche müsse dabei nicht auf einen neuen Standard WPA3 warten.

          Der Forscher räumte ein, dass manche entdeckte Angriffsszenarien schwierig umzusetzen seien. „Das sollte aber nicht zur Fehleinschätzung führen, dass die Attacken in der Praxis nicht zu einem Missbrauch führen können.“ Anwender sollten sich nun bei den Herstellern ihrer W-Lan-Geräte nach einem „Patch“ erkundigen.

          Die amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde „falls notwendig wie gewohnt ein Update bereitstellen“.

          Im Gegensatz zu anderen kritischen Sicherheitslücken wie dem berüchtigten „Heartbleed“-Fehler können Angreifer bei KRACK ihre Attacken nicht millionenfach über das Netz ausführen, sondern müssen sich jeweils in der räumlichen Nähe des W-Lan-Hotspots aufhalten. Experten verwiesen an diesem Montag auch darauf, dass zusätzliche Verschlüsselungs-Ebenen wie HTTPS (beispielsweise beim Online-Banking) oder virtuelle private Netzwerke (VPN) durch die KRACK-Attacke nicht ausgehebelt werden.

          Weitere Themen

          Die Jagd nach dem Milliarden-Schatz Video-Seite öffnen

          FAZ Plus Artikel: Bergbau im Erzgebirge : Die Jagd nach dem Milliarden-Schatz

          Im Erzgebirge wird an der ersten deutschen Erzmine seit dem Krieg gebaut. Ein Investor verspricht sichere Rohstoffe und Hunderte Arbeitsplätze. Doch Politiker interessiert es nicht, Behörden mauern und Anwohner rebellieren.

          VW verklagt sein Personal

          Dieselskandal : VW verklagt sein Personal

          Während der ehemalige Chef Martin Winterkorn sein Altersruhegeld bezieht, verklagt der Konzern wegen des Dieselskandals sein Personal. Am Donnerstag fällt eine Entscheidung.

          Topmeldungen

          Spahns Notfallplan : Fast schon verdächtig viel Zustimmung

          Der Gesundheitsminister will Kassenärzte und Krankenhäuser zur Zusammenarbeit zwingen – und erhält dafür Lob von allen Seiten. Doch bei der Umsetzung sperren sich die Verantwortlichen noch.
          Hat sich zum Zwei-Prozent-Ziel der Nato-Staaten bekannt: Annegret Kramp-Karrenbauer

          Akks Wehretat : Der Streit schwelt weiter

          Die neue Verteidigungsministerin Annegret Kramp-Karrenbauer bekräftigt das Ziel der Nato, dass die Verteidigungsausgaben steigen sollen. Das provoziert Widerstand – in der Opposition und selbst beim Koalitionspartner.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.