Das Problem
Mathy Vanhoef ist der Entdecker der Schwachstelle und auch der Erfinder des Namens steht für Key Reinstallation AttaCK und bezeichnet ein Verfahren, mit dem Angreifer ungeschützte Daten in einer Wireless Umgebung mitlesen können. WLAN-fähige Geräte aller Art sind betroffen. Der Fehler in der 2. Version des Protokolls WPA führt dazu, dass ein Schlüssel wiederverwendet werden kann – was weitreichende Folgen vor allem für die Datensicherheit in Unternehmen bedeuten könnte.
Schwierige Zeiten für WLAN
WPA2 dient dazu, die Kommunikation zwischen WLAN-Geräten zu verschlüsseln – dieselben Geräte, die Sie auch zu Hause verwenden, also etwa einen Router, Notebooks, Smartphones, Konsolen und so weiter. Laienhaft ausgedrückt können sich Angreifer durch KRACK zwischen zwei Geräte schummeln (also beispielsweise ein Notebook und einen Netzwerk-Router) und den Datenverkehr dann abhören und manipulieren. Gerade letztere Möglichkeit sorgt für Kopfschmerzen. Immerhin: Momentan funktioniert dies nur bei Datenverkehr, der nicht verschlüsselt ist.
Das bedeutet, dass etwa beim Zugriff auf eine https-Webseite (mit TLS-Verschlüsselung) keine Gefahr besteht. Online-Banking beispielsweise ist also in keiner Weise bedroht. Eine zusätzliche Sicherheitsebene verhindert hier, dass durch den Angriff irgendetwas ausgelesen werden kann. Auch VPN-Verbindungen sind nach wie vor sicher, genauso wie Programme mit Ende-zu-Ende-Verschlüsselung. Im Alltag der meisten Anwender sind das etwa Messenger wie WhatsApp oder Signal.
Ein weiteres kleines Hindernis steht Angreifern durch die Distanz zum Ziel im Weg: Um KRACK zu verwenden, müssen sich Angreifer direkt am Access Point (etwa einem Router) oder WLAN-Hotspot befinden. Daher sollte im privaten Bereich eher selten etwas passieren. Das macht diese Lücke aber nicht ungefährlicher. Dies haben auch einige grosse Unternehmen erkannt und bereits Abhilfe geschaffen oder in Aussicht gestellt.
Microsoft sichert sich ab
Microsoft schreibt IT-Security in diesen Tagen gross und hat bereits eine Behebung des Fehlers für Windows 7 und Windows 10 an alle Nutzer ausgeliefert. Sofern Sie sich auf einem aktuellen Patch-Stand befinden, ist also alles in Ordnung. Auch Apple hat mit der neuesten Version ihres Betriebssystems, die Lücke bereits geschlossen. Das Google Betriebssystem Android 6.0.1 ist z.B. noch „offen“ und damit gefährdet. Falls verfügbar, sollten Sie daher unbedingt Sicherheitsupdates einspielen.
Schwieriger wird es vielleicht bei Geräten ausserhalb der Reichweite von Microsoft, Google und Apple: Router, Konsolen, AV-Receiver, NAS-Server und andere Geräte brauchen die Absicherung ebenfalls. Informieren Sie sich daher am besten auf den jeweiligen Herstellerseiten über Updates.
Bis es soweit ist, rät etwa das Bundesamt für Sicherheit in der Informationstechnik in Deutschland dazu, jede Verbindung, die mit WPA2 verschlüsselt ist, vorsichtig einzusetzen. Dazu gibt es auch gleich ein paar Tipps:
- Kabelverbindungen sind absolut sicher. Falls es auf IT-Security ankommt, ist daher der Griff zum Ethernet-Kabel nicht verkehrt.
- Wenn es ohne Wireless nicht geht, sollten Verbindungen am besten über sichere VPN-Netzwerke aufgebaut werden.
- Daten lassen sich auch über UMTS und LTE übertragen und sind dort sicher. Eine gute Alternative, wenn das Datenvolumen mitspielt.
- Daten sollten möglichst immer verschlüsselt versendet werden, wenn es unbedingt über WLAN gehen muss.
Mit diesen einfachen Tipps haben Sie sich schon relativ gut abgesichert. Unternehmen sollten zusätzlich schauen, ob das Risiko durch den Einsatz unsicherer Endgeräte tragbar ist oder nicht.
Tipps für den Umgang mit KRACK
ergewissern Sie sich, dass beide Kommunikationspartner – etwa ein Netzwerk-Router und ein Tablet – mit einem Sicherheitsupdate versehen sind. Wird ein Update nur für eines der Geräte installiert, besteht nach wie vor kein Schutz und der Schlüssel kann ausgelesen und wiederverwendet werden. Weiterhin sollten Sie davon absehen, Ihr Passwort für das WLAN zu ändern. Denn: Mit dem Passwort hat diese Attacke leider gar nichts zu tun.
Leider bieten auch fortgeschrittene Verschlüsselungen keinen besseren Schutz, solange die Methode im Kern auf WPA2 basiert. WPA2-AES, AES-CCMP oder GCMP beispielsweise sind ebenso betroffen. Sie würden also keinen Erfolg erzielen, indem Sie einfach die Verschlüsselungsmethode ändern. Es ist übrigens sehr wahrscheinlich, dass Sie gerade an einem Gerät sitzen, das diesen Fehler hat. Fragen Sie daher ruhig beim Hersteller nach, ob es Updates gibt.
Die Zukunft des Protokolls
Eine wirkliche Unsicherheit ist für WPA2 auch nach KRACK nicht gegeben. Der Fehler fällt zwar recht kritisch aus, er lässt sich gleichzeitig aber auch recht einfach durch Softwareupdates beheben. Ob wirklich eine Aktualisierung des eigentlich sicheren WPA2-Protokolls ansteht, ist daher schwer zu sagen. Wir empfehlen, sicherheitshalber alle Geräte zu aktualisieren, um dadurch Angreifern von aussen keinen Spielraum zu lassen.
Autor: Manojlo Mitrovic, System Engineer, BIson IT Services AG
Bison IT Services schafft Lösungen für KMUs und Grossunternehmen, welche ihre Marktposition mit der IT zusätzlich stärken wollen. Unsere Kunden schätzen die enge und persönliche Zusammenarbeit und wissen, dass sie einen Partner an der Seite haben, der ihre Herausforderungen bis ins Detail versteht. Unser Antrieb besteht darin, die Wettbewerbsfähigkeit unserer Kunden zu erhöhen. Das bedeutet: Wir geben alles, um Ihren Nutzen zu steigern und so Ihre Kosten zu optimieren.
Die Bison IT Services mit Hauptsitz in Sursee beschäftigt rund 200 Mitarbeitende. Weitere Standorte befinden sich in Basel, Bern und Winterthur. Die Kernkompetenzen der Bison IT Services liegen in den Bereichen Consulting, Engineering und Operations von IT-Infrastrukturen.
Das Lösungsportfolio umfasst die Themen Netzwerk, Storage, Virtualisierung, Cloud Computing, Security, Unified Communications, Retail und Digital Signage Solutions. Qualifizierte Spezialisten in Software-, System- und Kommunikationstechnologie beraten Kunden im Hinblick auf eine langfristig sinnvolle und anpassungsfähige IT-Umgebung. Ein umfassender Service Desk und ein eigenes Repair Center garantieren höchste Verfügbarkeit und schnelle Reaktionszeiten.
BitHawk AG
Allee 1A
CH6210 Sursee
Telefon: +41 (58) 2260101
Telefax: +41 (58) 22600-50
http://www.bithawk.ch
Head of Marketing
Telefon: +41 (58) 2260838
E-Mail: marketing@bison-its.ch