WLAN-Sicherheitslücke Großer Ärger vor allem für kleine Firmen

Die KRACK-Attacke ist für Unternehmen potenziell noch gefährlicher als für Privatnutzer. Wir haben bei Firmen wie Bosch und Bayer nachgefragt, wie sie ihre sensiblen Daten im WLAN schützen.

Szene aus YouTube-Video zur KRACK-Sicherheitslücke
DPA

Szene aus YouTube-Video zur KRACK-Sicherheitslücke

Von


Eine Sicherheitslücke im Verschlüsselungsprotokoll WPA2 betrifft WLAN-Geräte auf der ganzen Welt. Wie sehr kann man jetzt noch auf die Vertraulichkeit seiner Verbindungen vertrauen?, fragen sich seitdem zahlreiche Internetnutzer. Die Antworten darauf variieren, je nachdem, nach wen man fragt (siehe Kasten am Textende, dort finden Sie Tipps und Informationen für Privatnutzer).

Fest steht dagegen: Für viele Unternehmen ist die Lücke ein Problem, das sich nicht einfach ignorieren lässt. Der KRACK genannte Angriff könnte schnell zur realen Gefahr werden. Software-Updates müssen her, im Zweifel für alle Geräte. Denn vielerorts tauschen die Mitarbeiter untereinander sensible Daten aus, etwa Preistabellen, Infos über Prototypen oder Berichte über Produktionsprobleme - teils sogar mit privaten Geräten, die im Unternehmensnetzwerk angemeldet sind.

Verbände und IT-Experten raten Konzernen daher, besonders wachsam zu sein, wenn Mitarbeiter ein Firmen-WLAN benutzen. "In Unternehmen herrscht ein ganz anderer Datenverkehr als bei Privatnutzern, der interessant sein könnte für Betriebsspionage", sagt Marc Bachmann von Digitalverband Bitkom. "Die Gefahr ist viel größer, dass sensible Daten bei Unternehmen abgegriffen werden." Die Mitarbeiter sollten die Augen offen halten und darauf achten, wer sich auf dem Firmengelände rumtreibe.

Zudem sollten die Unternehmen überprüfen, ob die IT-Infrastruktur einen Angriff auf Firmen-Hotspots ausschließt, sagt Bachmann. Dazu sollten die Geräte auf dem neuesten Stand sein und "die Mitarbeiter bei sensibler Kommunikation grundsätzlich Verschlüsselung nutzen, etwa HTTPS-Verbindungen". Auch VPN-Software könne eine Lösung sein.

Telekom verbietet Kommunikation mit privaten Smartphones

Bei der Telekom zeigt man sich auf Anfrage gewappnet - und setzt auf eine streng kontrollierte Kommunikation. Ein Sprecher des Telekommunikationskonzerns sagt: "Auch wenn wir das Gefahrenpotenzial insgesamt als niedrig einstufen, nehmen wir die Sicherheitslücke ernst." Man stehe im engen Kontakt mit Herstellern und achte darauf, dass alle Geräte im Unternehmen auf dem neuesten Stand seien.

Bei der Telekom sei es üblich, dass die IT-Abteilung die Betriebssysteme aller Smartphones und Laptops anpasse, die an die Mitarbeiter verteilt werden. Alle Daten fließen laut Telekom durch einen VPN-Tunnel, E-Mails werden verschlüsselt versendet. Damit seien sensible Informationen auch dann gesichert, wenn jemand das WLAN ausspäht.

Bei privaten Smartphones fährt die Telekom eine radikale Unternehmenspolitik: Mitarbeiter dürfen die eigenen Geräte demnach nicht zur dienstlichen Kommunikation nutzen, mit Ausnahme geschäftlicher Telefonate.

Für viele Konzerne kommt die WLAN-Lücke offenbar überraschend. Entsprechend zurückhaltend äußert man sich zu KRACK - und arbeitet noch an Abwehrmaßnahmen. Von Bosch etwa heißt es, man beobachte kontinuierlich, ob jemand die IT-Infrastruktur angreife. "Im Bedarfsfall sind wir vorbereitet, um illegale Zugriffe auf Bosch-Daten zu unterbinden", sagt eine Sprecherin. Weitere Angabe wolle man nicht machen.

Experten arbeiten an Sicherheitsmaßnahmen

Beim Pharmakonzern Bayer will man sich grundsätzlich nicht näher dazu äußern, wie geschäftliche Daten im drahtlosen Firmennetzwerk geschützt werden. Auch bei Siemens hält man sich bedeckt. Die Schwachstellen bei WPA2-Verbindungen seien bekannt "und werden bereits von Siemens-Experten untersucht", sagt ein Konzernsprecher.

Neben den großen Unternehmen dürfte die WLAN-Schwachstelle vor allem viele kleine und mittelgroße Betriebe zu Konsequenzen zwingen. Wer keine Geschäftstelefone an Mitarbeiter verteilt und keine große IT-Abteilung zur Verfügung hat, der kann die Daten kaum kontrollieren, die Angestellte mit ihren privaten Smartphones über das Firmen-WLAN schicken.

Noch gibt es zum Beispiel für iPhones und Android-Geräte kein offizielles Sicherheitsupdate, anders als für Windows-Rechner. Und es ist teilweise nur schwer nachzuvollziehen, welche Apps eine sichere HTTPS-Verbindung benutzen.

Um die Kontrolle zu behalten und um ganz sicher zu gehen, könnte in manchen Unternehmen ohne professionelle IT-Infrastruktur daher vor allem eine Maßnahme sinnvoll sein: ein vorübergehendes Abschalten der WLAN-Hotspots. Bis die nötigen Software-Updates kommen, müssen die Daten dann vielleicht erst einmal wieder durchs LAN-Kabel geschickt werden.

Die wichtigsten Fragen zur WLAN-Sicherheitslücke
1. Was ist passiert?
Der Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität Löwen hat schwere Sicherheitslücken im Verschlüsselungsprotokoll WPA2 entdeckt, mit dem WLAN-Hotspots abgesichert werden. Es ist ein aufsehenerregender Fund, weil es um einen grundlegenden Fehler im System geht. Deshalb sind nicht nur einzelne Hersteller oder Nutzer gefährdet, sondern sehr viele WLAN-Netze.

Laut dem IT-Experten könnten Angreifer die Verschlüsselung aufbrechen und auf diese Weise den Datenverkehr - den Traffic - belauschen oder sogar manipulieren.
2. Wen betrifft die Sicherheitslücke?
Betroffen seien "alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen", schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Also: Computer, Laptops, Smartphones, Router - und natürlich auch verschiedene internetfähige Haushaltsgeräte. "Wenn dein Gerät WLAN unterstützt, ist es höchstwahrscheinlich betroffen", heißt es auf einer Info-Webseite, die Forscher Vanhoef für seinen KRACK getauften Angriffsweg eingerichtet hat.

Das BSI betont, dass die Schwachstellen insbesondere Geräte mit Android- und Linux-Betriebssystemen betreffen, Windows- und Apple-Betriebssysteme dagegen nur "eingeschränkt". Die Schwachstellen könnten dort "derzeit nicht in vollem Umfang" erfolgreich ausgenutzt werden, heißt es.
3. Wie leicht kann ich jetzt gehackt werden?
In der Beschreibung des Forschers klingt die Sache dramatisch: Es könnten unter anderem Passwörter, E-Mails, Chatnachrichten, Kreditkartennummern und Fotos gestohlen werden. Außerdem könnten Angreifer Schadsoftware auf die Geräte schleusen.

Ganz so einfach dürfte es in den meisten Fällen aber doch nicht werden. Erstens muss ein Angreifer für den Hack in räumlicher Nähe zum WLAN-Hotspot sein, also gezielt angreifen. Zweitens ist Datenverkehr mit so sensiblen Daten oft noch zusätzlich gesichert, etwa per HTTPS (siehe Frage 5).

Grundsätzlich aber besteht in WLAN-Netzwerken das Risiko, dass der Internetverkehr mitgelesen werden kann - und auch, dass Geräte mit Malware verseucht werden. Zwar sind noch keine Fälle bekannt, bei denen Kriminelle auf den KRACK-Angriff setzten, aber so etwas kann sich schnell ändern.
4. Gibt es eine Lösung für das Problem?
Ja. Die Lücke kann vom jeweiligen Hersteller per Software-Update geschlossen werden. So hat beispielsweise Microsoft alle noch unterstützten Windows-Versionen bereits vergangene Woche mit einem Patch geschützt. Auch Apple und Google arbeiten an Updates, die in den nächsten Wochen verteilt werden sollen.

Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, Netgear und Aruba haben bereits Sicherheits-Updates veröffentlicht. Die in Deutschland populären Fritzboxen sind nach Angaben des Berliner Herstellers AVM von der Sicherheitslücke nicht betroffen. Für Fritzbox-WLAN-Repeater dagegen soll ein Update folgen.

Bei alten oder exotischen Geräten und Betriebssystemen besteht derweil die Gefahr, dass der Hersteller keine Updates liefert. Wenn Sie so ein Gerät besitzen und regelmäßig WLAN-Verbindungen nutzen, sollten Sie ohnehin über ein Hardware-Update nachdenken, da zum Beispiel alte Android-Geräte oder nicht mehr unterstützte Windows-Versionen ohnehin vergleichsweise anfällig für Angriffe sind. Im Klartext: Ein neues Gerät muss her.

Schwierig könnte es auch bei smarten Haushaltsgeräten werden, vor allem Billigmodelle werden häufig nicht mit Updates versorgt. Allerdings wäre ein Angriff auf diesem Weg auch komplexer, weil ein einzelnes verwundbares Gerät nicht das ganze WLAN verwundbar macht. Dennoch muss jedes WLAN-fähige Gerät geupdated werden - und das können ziemlich viele sein: Vom E-Reader bis zur Waage, von der Smartwatch bis zum Drucker.
5. Was sollte ich als Nutzer jetzt tun?
Updaten, soweit möglich. Bei allen Sicherheits-Updates ist es wichtig, dass sie auch tatsächlich auf Ihren Geräten landen. Für unerfahrene Windows-Nutzer zum Beispiel ist es daher sinnvoll, die Funktion zu aktivieren, dass alle Updates für das Betriebssystem automatisch installiert werden. Händisch installieren können Sie das neueste Windows-Update im Zweifel hier.

Bis die Sicherheits-Updates eingespielt sind, sollte man im WLAN etwas vorsichtiger sein, rät das BSI: "Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblingscafé oder am Bahnhof", rät das BSI. Auf der Seite der Behörde finden sich auch Tipps, wie man sich grundsätzlich in öffentlichen WLANs bewegen sollte.

Im Zweifel kann vorübergehend vielleicht Ihr Netzwerkkabel ein Comeback feiern. Was Sie auf keinen Fall tun sollten, ist den WPA2-Sicherheitsstandard zu deaktivieren und auf einen älteren Standard wechseln: Bei den alten WLAN-Standards sind Ihre Daten noch schlechter geschützt. Auch das Ändern Ihres WLAN-Passworts löst das Problem nicht.
6. Sollte ich noch Onlinebanking übers WLAN machen?
Das BSI warnt aktuell davor, WLAN-Netzwerke für Onlinetransaktionen oder zur Übertragung anderer sensitiver Daten zu nutzen - zumindest solange, bis Sicherheits-Updates verfügbar sind.

Andere Experten sehen das etwas gelassener. "Mir ist kein Onlinebanking-Anbieter bekannt, bei dem man mit dieser Angriffsmethode erfolgreich wäre", sagt ein Sprecher des Chaos Computer Clubs, Linus Neumann. Die meisten Kanäle sind nämlich noch zusätzlich verschlüsselt und gesichert. Auf allen Bankseiten und in fast allen Onlineshops etwa ist HTTPS der Standard, ebenso bei großen Diensten wie Facebook und Gmail.

Neumann sagt aber auch, dass Laien nicht immer wüssten, was alles zu beachten ist, um eine https-Verbindung korrekt zu überprüfen. "Wenn zum Beispiel eine Zertifikatswarnung aufpoppt, sollte man die auf keinen Fall einfach wegklicken - schon gar nicht beim Onlinebanking." Das aber gelte sowieso - nicht erst jetzt, nach der Veröffentlichung der Sicherheitslücke.

Ebenfalls grundsätzlich gilt: Wenn oben in der Browserzeile vorn nur ein "http" steht statt "https", ist die Übertragung unverschlüsselt - und man sollte niemals sensible Daten wie Passwörter oder Kreditkartendaten eingeben.


insgesamt 20 Beiträge
Alle Kommentare öffnen
Seite 1
keinblattvormmund 19.10.2017
1. WLAN hat im Unternehmen nichts zu suchen
WLAN hat im Unternehmensumfeld einfach nichts zu suchen. Wenn, dann nur vollkommen getrennt vom LAN für Gäste. Da haben Sicherheitslücken keine Auswirkungen aufs Unternehmen. Ich habe noch nie erlebt, dass es zwingende Gründe für WLANs in Unternehmen gab. Für Funkscanner in der Logistik gibt es andere, sicherere und bessere Funklösungen. Wenn Anforderungen kommen, dass Mitarbeiter unbedingt ein WLAN bräuchten, so ist das immer "nice to have" aber nicht "must have".
keine-#-ahnung 19.10.2017
2. #fakenews? So sad!
Die "Krack-Attacke" betrifft nicht das komplette WPA2-Protokoll, sondern lediglich die Standards 802.11r und 802.11s. Seriöse Hersteller von business-routern implementieren 802.11s gar nicht erst, 802.11r ist bei solchen Produkten i.d.R. im factory default inaktiv und muss manuell aktiviert werden, bspw. weil man zu geizig ist, sich einen WLAN-controller für die Konfiguration mehrerer AP zu leisten. Ich bin zwar Laie (als solcher habe ich mich aber unmittelbar nach Bekanntwerden mit meinem Router-Hersteller kurzgeschlossen), halte die praktische Gefahr durch diesen crack aber eher für vernachlässigbar. Meine WLAN tuckern weiter - privat wie auch beruflich.
noch_ein_forenposter 19.10.2017
3. Kann man nicht verallgemeinern
Zitat von keinblattvormmundWLAN hat im Unternehmensumfeld einfach nichts zu suchen. Wenn, dann nur vollkommen getrennt vom LAN für Gäste. Da haben Sicherheitslücken keine Auswirkungen aufs Unternehmen. Ich habe noch nie erlebt, dass es zwingende Gründe für WLANs in Unternehmen gab. Für Funkscanner in der Logistik gibt es andere, sicherere und bessere Funklösungen. Wenn Anforderungen kommen, dass Mitarbeiter unbedingt ein WLAN bräuchten, so ist das immer "nice to have" aber nicht "must have".
Abgesehen davon haben viele Unternehmen auch eine VPN-Lösung, die das Problem dann auch sofort erschlägt. Gut, beim Mittelstand vielleicht nicht immer, aber bei Bosch und Bayer garantiert. Das ganze ist extrem gehyped. Da hat man ganz andere Security-Probleme. Und klar muss man Gäste-LAN vom Firmen-LAN trennen, aber das hat mit der Sache an sich nichts zu tun.
bold_ 19.10.2017
4. Bei privaten SF Telekom eine radikale Unternehmenspolitik
So ist es richtig! 1. Während man für Geld in einer Firma arbeitet, haben WA, FB & Co.nichts zu suchen in den Köpfen und auf den Wischfones der jungen Leute. 2. "Bring your own device" kann nur dazu führen, daß etwas ins Firmennetz eingeschleift und/oder etwas abgesaugt wird. Mitarbeiter dürfen keine Firmengeheimnisse verraten, wenn sie sich aber zum Trojanischen Pferd machen, ist das ganz klar Geheimnisverrat. Beim "manuellen" Verrat kennen sie noch das Ausmaß ihres Verrats - wenn sie den Hackern den Weg bereiten, kann alles Mögliche passieren, also neben Diebstahl auch noch Sabotage! Ich möchte heutzutage weder Einkäufer für Damenmode sein noch IT-Sicherheitsbeauftragter in einer Firma. Der eine muß einen "dead stock" befürchten und der andere eine "dead company"...
keine-#-ahnung 19.10.2017
5. Wie Sie die aufgedeckte Lücke im WPA-Stack ...
Zitat von noch_ein_forenposterAbgesehen davon haben viele Unternehmen auch eine VPN-Lösung, die das Problem dann auch sofort erschlägt. Gut, beim Mittelstand vielleicht nicht immer, aber bei Bosch und Bayer garantiert. Das ganze ist extrem gehyped. Da hat man ganz andere Security-Probleme. Und klar muss man Gäste-LAN vom Firmen-LAN trennen, aber das hat mit der Sache an sich nichts zu tun.
"Abgesehen davon haben viele Unternehmen auch eine VPN-Lösung" ... mittels VPN erschlagen wollen, bleibt aber Ihr sahniges Geheimnis.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.