Eine Frau sitzt mit Laptop und Smartphone in einem Café.
Im öffentlichen Raum ist das Surfen derzeit sicherer als zuhause. Bildrechte: IMAGO/Westend61

Gefahr im Internet Sicherheitslücken in WLAN-Verschlüsselung WPA2

Das Verschlüsselungsverfahren WPA2 soll in einem WLAN-Hotspot Verbindungen absichern und Lauscher aussperren. Doch Sicherheitsforscher aus Belgien haben nun gravierende Sicherheitslücken bei WPA2 entdeckt. Wie gefährdet sind WLAN-Netzwerke jetzt und was kann man zur Sicherheit seiner Daten tun? Fragen und Antworten.

Eine Frau sitzt mit Laptop und Smartphone in einem Café.
Im öffentlichen Raum ist das Surfen derzeit sicherer als zuhause. Bildrechte: IMAGO/Westend61

Was ist WPA2?

WPA2 ist ein Verschlüsselungsverfahren, mit dem WLAN-Hotspots abgesichert werden. Es soll dafür sorgen, dass sich nur berechtigte Nutzer in ein WLAN-Netzwerk einloggen können. Außerdem soll das Verschlüsselungsverfahren verhindern, dass die im WLAN drahtlos übertragenen Daten von Unbefugten mitgeschnitten oder auf dem Übertragungsweg manipuliert werden können. Bisher galt WPA2 als sicher. Ältere Verschlüsselungsstandards wie WPA oder WEP wurden bereits vor Jahren als nicht mehr sicher ausgemustert.

Wo liegt das Problem?

Die Sicherheitsforscher der Universität Löwen entdeckten nach eigenen Angaben einen Fehler in dem vierstufigen Verfahren, mit dem im Verschlüsselungsprotokoll WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken. Mit der "KRACK" getauften Attacke können Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef.

Nutzen bereits Kriminelle die Lücke?

Bislang gibt es nach Auskunft des Branchenverbandes WiFi Alliance keine Anzeichen dafür, dass die von den belgischen Forschern entdeckten Sicherheitslücken in WPA2 bereits von Computer-Kriminellen ausgenutzt werden. Das Computer Emergency Response Team (CERT) der USA warnte einem Bericht von "ArsTechnica" zufolge dennoch vor den Gefahren, die aus den entdeckten Lücken entstehen könnten.

Wie groß ist die Gefahr?

Akute Gefahr, dass WLAN-Nutzer, über die entdeckte WPA2-Lücke zeitnah massenweise angegriffen werden, besteht offenbar nicht. Laut dem belgischen Sicherheitsforscher Vanhoef sind manche der entdeckten Angriffsszenarien durch Kriminelle schwer umzusetzen. So müssen sich Angreifer bei "KRACK" jeweils in der räumlichen Nähe des von ihnen angegriffenen WLAN-Hotspots aufhalten. Eine millionenfache Ausführung der "KRACK"-Attacken über das Internet, wie etwa bei dem berüchtigten "Heartbleed"-Fehler geschehen, ist damit nicht möglich.

Wie sicher ist mein Online-Banking?

In Bezug auf die Sicherheit von Online-Banking gibt es unterschiedliche Auffassungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am Montagabend User dazu aufgefordert, auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten. Auch vom Einkaufen im Netz via WLAN warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt.

Aus diesem Grund gibt es auch Widerspruch. Der Sprecher des Chaos Computer Clubs, Linus Neumann, bezeichnet die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen. Er verweist darauf, dass zusätzliche Verschlüsselungs-Ebenen wie HTTPS (beispielsweise beim Online-Banking) oder virtuelle private Netzwerke (VPN) durch die "KRACK"-Attacke nicht ausgehebelt werden können.

Hilft ein neues Passwort?

Nach Angaben der belgischen Sicherheitsforscher bringt es derzeit nichts, sein WLAN-Passwort zu ändern. Dies schütze nicht vor einer Attacke über die WPA2-Lücken.

Hersteller und Updates?

Von den entdeckten Fehlern sind vermutlich die Geräte aller Hersteller betroffen. Die ersten IT-Anbieter haben die Schwachstelle aber bereits gestopft. Unternehmen wie Cisco, Intel, Netgear und Aruba veröffentlichten bereits Sicherheits-Updates. Auch Microsoft stellte seinen Kunden entsprechende Software-Aktualisierungen zur Verfügung. Apple will die Lücke in seinen Betriebssystemen ebenfalls schließen. 

Das Berliner Unternehmen AVM, Hersteller der in Deutschland populären Fritzbox, erklärte, man werde "falls notwendig wie gewohnt ein Update bereitstellen".

Über dieses Thema berichtet MDR AKTUELL auch im: Radio | 16.10.2017 | 17:30 Uhr

Zuletzt aktualisiert: 17. Oktober 2017, 13:01 Uhr