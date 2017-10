2017-10-17 08:43:46.0

Fragen und Antworten KRACK: Neue Sicherheitslücke gefährdet Wlan-Verschlüsselung

Experten haben eine neue Sicherheitslücke entdeckt. Mit "KRACK" können Kriminelle die Verschlüsselung im Wlan aushebeln. Was man wissen muss und wie man darauf reagieren sollte.

KRACK-Attacke auf WPA2, das klingt für Laien zunächst ziemlich rätselhaft. Dahinter steckt eine neu entdeckte Sicherheitslücke, über die verschlüsselte Wlan-Verbindungen unter bestimmten Umständen abgehört werden können. Die wichtigsten Fragen und Antworten dazu.

Sicherheitslücke KRACK: Was ist das?

Sicherheitsforscher der Katholischen Universität Löwen haben Sicherheitslücken im Verschlüsselungsprotokoll WPA2 entdeckt, mit dem WLAN-Hotspots abgesichert werden. Über die "KRACK" getaufte Attacke können Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef.

Was ist WPA2?

WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eines WLANs. Bislang galt WPA2 als sicher und fast schon Pflicht, wenn man ein Funknetz betreibt. Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert.

Die Forscher in Löwen entdeckten nun nach eigenen Angaben einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken.

Wie gefährlich ist KRACK?

Über die Konsequenzen aus der "KRACK"-Attacke sind sich Experten noch nicht einig. Fachleute der Wifi Alliance verwiesen darauf, dass zusätzliche Verschlüsselungen wie HTTPS - was beim Online-Banking und auf vielen Shopping-Seiten verwendet wird - oder virtuelle private Netzwerke (VPN) durch die Attacke nicht ausgehebelt werden. Daher seien auch Online-Banking oder die Kommunikation mit WhatsApp über WLAN weiterhin sicher.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet trotzdem dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online Banking und Online Shopping oder zur Übertragung anderer sensibler Daten zu nutzen.

"Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel", sagte Arne Schönbohm, Präsident des BSI.

Android und Linux-Systeme besonders von KRACK gefährdet

Welche Geräte sind von den Sicherheitslücken betroffen?

Sie betreffen insbesondere Geräte mit Android und Linux-Betriebssystemen, so das BSI. Windows- und Apple-Betriebssysteme sind eingeschränkt betroffen, hier können die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden.

Wie realistisch ist es, dass Kriminelle diese Sicherheitslücke ausnutzen und mich im Wlan angreifen?

Nicht allzu realistisch. Im Gegensatz zu anderen kritischen Sicherheitslücken wie dem berüchtigten "Heartbleed"-Fehler können Angreifer bei KRACK ihre Attacken nicht millionenfach über das Netz ausführen, sondern müssten sich jeweils in der räumlichen Nähe des WLAN-Hotspots aufhalten. Zudem sind viele Online-Verbindungen bereits durch zusätzliche Verschlüsselungs-Ebenen abgesichert, etwa HTTPS.

Hilft es gegen die Sicherheitslücke, mein Wlan-Passwort zu ändern?

Nein.

Ist das Internetsurfen per Kabel weiter sicher?

Ja, das kabelgebundene Surfen ist weiterhin sicher.

Kann die Sicherheitslücke behoben werden?

Ja. Die US-amerikanischen Netzwerkausrüster Aruba und Ubiquiti stellen bereits Sicherheitsupdates zur Verfügung. Auch andere Anbieter wollen nachziehen.

Ich habe eine Fritzbox. Gibt es für mich ebenfalls ein Update?

Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde "falls notwendig wie gewohnt ein Update bereitstellen".

Wo gibt es weitere Informationen zu KRACK?

Die Sicherheitsforscher haben zu der Lücke eine eigene Webseite eingerichtet. Hier gibt es weitere Informationen. AZ, dpa, bo