https://www.faz.net/-gqe-92vjw

Krack-Attacke : Fachleute warnen vor Hysterie um W-Lan-Sicherheitslücke

  • Aktualisiert am

Eine Sicherheitslücke in einer W-Lan-Verschlüsselung sorgt für Diskussionen. Bild: dpa

Die Nachricht über die Sicherheitslücke in einer W-Lan-Verschlüsselung hat viele verunsichert. IT-Fachleute geben nun teilweise Entwarnung. Und ein populärer Router ist wohl nicht betroffen.

          Der Appell des Bundesamtes für Sicherheit (BSI) in der Informationstechnik, wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 keine Bankgeschäfte mehr über ein drahtloses Netzwerk zu tätigen, ist bei Experten auf Kritik gestoßen. „Die Krack-Attacke ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer W-Lan-Welt“, erklärte Security-Experte Rüdiger Trost von IT-Sicherheitsunternehmens F-Secure. Man dürfe nicht den Eindruck entstehen lassen, als ob ab sofort jedermann alle Verschlüsselungen aushebeln und Daten mitlesen könnte.

          Auch der Branchenverband Bitkom relativierte die BSI-Warnmeldung: „Man kann das Internet (über W-Lan) schon noch nutzen, auch für sensible Transaktionen“, sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Man müsse allerdings darauf achten, dass die Verbindung dabei durch eine zusätzliche Verschlüsselungssicht geschützt sei. Es gebe keinen Anlass für eine „Hysterie“.

          Das Bundesamtes für Sicherheit hatte am Montagabend öffentlich dazu aufgefordert, zunächst auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten. Auch vom Einkaufen im Netz via W-Lan warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien derzeit sicher.

          Auf Verschlüsselungen achten

          Der Sprecher des Chaos Computer Clubs, Linus Neumann, verwies auf Schutzmöglichkeiten durch eine zusätzliche Verschlüsselungsschicht: „In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme.“

          Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müsse. Außerdem müsse er in der Lage sein, eine technisch aufwendige „Man-in-the-middle“-Attacke auszuführen. Es gebe auch keine Hinweise darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden sei.

          Prof. Michael Waidner vom Fraunhofer-Institut SIT (Security in Information Technology) in Darmstadt sagte, die WLAN-Sicherheitslücke sei durchaus ernst zu nehmen. Allerdings könne damit kein massenhafte Attacke gestartet werden, da der Angreifer sich in der Nähe des WLANs aufhalten müsse. „Ich denke, dass man die Lücke auch relativ einfach schließen kann und bin optimistisch, dass die Hersteller auch schnell reagieren werden.“ Die Warnung des BSI nannte Waidner „völlig okay“, da man schon die Anwender darauf hinweisen sollte, dass sie ihr mit WPA2 geschütztes WLAN zunächst so behandeln müsse wie ein offenes WLAN im Café oder am Flughafen.

          Online-Banking meist mit zweiter Verschlüsselungsschicht

          „Man sollte in einem öffentlichen W-Lan gewisse Dinge nicht tun“, betonte Waidner. Der Forscher verwies aber auch darauf, dass quasi alle Banken beim Online-Banking eine zweite Verschlüsselungsschicht verwenden. Wenn das richtig aufgesetzt sei, könne man auch in einem öffentlichen WLAN Homebanking machen. Die Anwender sollten sich bewusst darüber sein, das derzeit im heimischen WLAN der Grundschutz, von dem man sonst ausgehe, nicht vorhanden sei.

          Inzwischen haben erste Anbieter von Geräten und Software die Schwachstelle gestopft. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, Netgear und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei Microsoft wurde die Sicherheitslücke bereits in den frisch veröffentlichten Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst für alle verfügbar sein sollten. Ob die „Patches“ auch für ältere Versionen der Betriebssysteme kommen werden, ist bislang unklar. Experten gehen vor allem beim Google-Betriebssystem Android davon aus, dass etliche Gerätehersteller nur mit großer zeitlicher Verzögerung oder gar nicht ein Update liefern werden.

          Der in Deutschland populäre Internet- und W-Lan-Router „Fritzbox“ ist nach Angaben des Berliner Herstellers AVM von der Sicherheitslücke nicht betroffen. Das Gerät verwende als Access Point die betroffene Norm 802.11r nicht, teilte AVM am Dienstag mit. Die praktische Bedeutung der Krack-Lücke sei wegen der hohen Voraussetzungen für einen erfolgreichen Angriff „gering“. Zu keiner Zeit sei es mit der Sicherheitslücke möglich gewesen, vollständiger Teilnehmer eines fremden W-Lans zu werden.

          Weitere Themen

          Hilfe für Investoren in Afrika

          Vereinte Nationen in Bonn : Hilfe für Investoren in Afrika

          Die Vereinten Nationen sind mit 20 Organisationen in Bonn vertreten. Vor zwei Jahren hat die für industrielle Entwicklung zuständige UNIDO hier die Arbeit aufgenommen. Ihr Investitions- und Technologieförderungsbüro nimmt vor allem Afrika in den Fokus.

          Topmeldungen

          Länger leben : Kerle, macht’s wie die Frauen

          Von der Gleichstellung der Geschlechter profitieren auch Männer – sie sind gesünder und leben länger. Die regionalen Unterschiede, die in einer Studie sichtbar werden, überraschen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.