Sicherheitslücken in WLAN-Verschlüsselung Microsoft hat Windows-Updates schon veröffentlicht

Eigentlich galt WPA2 als sicher. Doch jetzt zeigte ein Forscher, wie sich das Verschlüsselungsprotokoll zahlreicher WLAN-Hotspots knacken lässt. Betroffene Firmen liefern nun Updates - oder haben das schon getan.

Smartphone und Laptop: Viele Geräte haben WLAN-Funktionen
imago

Smartphone und Laptop: Viele Geräte haben WLAN-Funktionen


Schon beim ersten Satz auf der Website Krackattacks.com kann dem Besucher flau im Magen werden: "Wir haben ernsthafte Schwachstellen in WPA2 entdeckt, einem Protokoll, das alle modernen WLAN-Netzwerke absichert". Weiter heißt es: "Angreifer können diese neue Angriffstechnik nutzen, um Informationen mitzulesen, die man bislang für sicher verschlüsselt hielt." Auf diesem Weg könnten etwa Kreditkartennummern, Passwörter, Chat-Nachrichten, E-Mails und Fotos erbeutet werden.

Die Entdeckung des Sicherheitsforschers Mathy Vanhoef ist tatsächlich bemerkenswert - und für die laut ihm betroffenen Hersteller wie Apple und Google kann nur eine Reaktion angemessen sein: ein möglichst rasches Schließen der Lücke, wie es einige Hersteller wie Microsoft schon angekündigt oder bereits getan haben (siehe unten). Das geht nämlich per Software-Update.

Vanhoef, der auf der Infoseite zur Lücke nach eigenen Angaben nur aus Stilgründen ein "Wir" verwendet, hatte einen Fehler in dem vierstufigen Verfahren entdeckt, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. KRACK taufte der Wissenschaftler den entsprechenden Angriff, als Abkürzung für "key reinstallation attacks".

Räumliche Nähe ist wichtig

Praktisch hat der Angriff jedoch manche Einschränkung, so ist vor allem räumliche Nähe zum WLAN-Hotspot vonnöten. Zudem lässt sich etwa durch das Nutzen von Websites mit HTTPS verhindern, dass der eigene Traffic samt Passwörtern oder Kontodaten eingesehen werden kann - und auf allen Bankseiten und in fast allen Onlineshops ist HTTPS der Standard.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet am Montag trotzdem zu besonderer Vorsicht: "Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof", warnte es. "Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher."

Der Branchenverband Wi-Fi Alliance hatte zuvor mitgeteilt, es gebe keine Anzeichen dafür, dass die von Vanhoef entdeckte Lücke bereits von Kriminellen ausgenutzt werde. Die Stellungnahme des Verbands hätte man wohl auch mit dem Satz zusammenfassen können: Wird schon alles wieder gut.

Die ersten Patches sind schon da

Praktisch dürften demnächst in der Tat viele Geräte zeitnah per Software-Update gegen KRACK geschützt werden - immer vorausgesetzt, das eigene Gerät ist noch halbwegs aktuell und der Hersteller entsprechend patchwillig.

Einige Firmen wie die amerikanischen Netzwerkausrüster Aruba und Ubiquiti hatten schon am Montag mitgeteilt, dass ein Update bereits zur Verfügung stehe. AVM, Hersteller der in Deutschland populären Fritzbox, hatte erklärt, man werde, "falls notwendig, wie gewohnt ein Update bereitstellen".

Gerüstet ist auch Microsoft, meldet das Onlinemagazin "The Verge". Demnach hat der Konzern die Lücke in allen noch unterstützten Windows-Versionen bereits vor gut einer Woche geschlossen, in Form seines Oktober-2017-Updates. "Kunden, die das Update einspielen oder automatische Updates aktiviert haben, sind geschützt", heißt es.

Google und Apple ziehen bald nach

Google hat "The Verge" zufolge angekündigt, "in den kommenden Wochen" Updates für betroffene Android-Geräte zu liefern: Als erstes sollen damit die Pixel-Geräte des Unternehmens bedacht werden. Für sie soll am 6. November eine Aktualisierung bereitgestellt werden. Ob und wann das entsprechende Update bei Android-Geräten dritter Hersteller ankommt, ist pauschal noch nicht genau abzusehen.

Von Apple heißt es laut Medienberichten, dass die Schwachstelle in den neuesten Entwickler- und Beta-Versionen der Betriebssysteme iOS und macOS bereits behoben sei: Normale Nutzer sollten das Update daher in einigen Wochen zur Verfügung gestellt bekommen.

mbö



insgesamt 40 Beiträge
Alle Kommentare öffnen
Seite 1
murksdoc 17.10.2017
1. 100 Punkte, danke Microsoft
Nachdem nach dem "Oktober-Update" für Windows 7 und 10 keinerlei WLAN mehr zu betreiben war, habe ich es überall wieder zurückgesetzt. Vielleicht kommt ja mal was, das funktioniert.
.freedom. 17.10.2017
2. Deshalb ist bei uns WLAN immer ausgeschaltet. ...
Man kann mit Power-Line überall im Haus per LAN online gehen.
swnf 17.10.2017
3. Sehr verwirrend
Ich kann dem Artikel jetzt leider nicht entnehmen, wer jetzt eigentlich für welche Geräte Updates zur Verfügung stellen muss, damit man wirklich geschützt ist!? Es wird die Firma AVM erwähnt. Die bauen die Fritzboxen. Hätte ich also eine Fritzbox, könnte ich mich mit einem Update von AVM also sicher fühlen, oder? Das wird hier jedenfalls suggeriert. Der Fritzbox ist es aber völlig egal, ob ich mich mit einem Windows-PC, Mac, iPhone, Android-Smartphone, oder was auch immer WLAN fähig ist, bei ihr einlogge. Wozu bräuchte ich dann also noch Updates von MS, Apple oder Google? Brauche ich also beides? Ein Firmware-Update für meinen WLAN Router und für alle Geräte, die sich über diesen mit dem Internet verbinden? Laut Artikel sind mein Smartphone, das Notebook und mein Gaming PC schon sicher. Mein Router hat noch kein Update bekommen!
jueho47 17.10.2017
4.
Zitat von .freedom.Man kann mit Power-Line überall im Haus per LAN online gehen.
Ist es aus ihrer Sicht praktikabel, ein Tablet mit einem RJ45 Adapter zu bestücken und sich dann mit einem 20 Meter LAN Kabel an einer Powerline Steckdose zu bewegen? Oder verweigern sie sich wegen bösem WLAN allen für den kabellosen Betrieb optimierten Endgeräten?
odenkirchener 17.10.2017
5. Räumliche ...
... Nähe? Wie wird Nähe definiert? Muss der Angreifer am Nebentisch im Café sitzen? Oder reicht es schon aus, unten auf der Strasse, 4 Stockwerke tiefer im Opel Mant, zu hocken?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.