Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Krack: WPA-2 Lücke und die aktuellen Bedrohungen

REUTERS
  • Drucken

Die kürzlich aufgedeckte Wlan-Lücke wird aktuell nicht von Angreifern ausgenutzt. Das kann sich aber ändern. Einige Systeme, darunter vor allem Android, werden noch länger auf ein Update warten müssen.

WPA2 (Wi-Fi Protected Access 2) galt lange Zeit als eine der sichersten Wlan-Verschlüsselungen. Der Standard löste das kurz nach seiner Einführung in den 1990er-Jahren als unsicher geltende Wired Equivalent Privacy (WEP) ab und ist seit 2004 verfügbar. Die von Sicherheitsforschern der Universität Löwen "Key Reinstallation Attacks" (Kracks) endeckten Lücken zeigen, dass sich die Verschlüsselung aushebeln lässt und das Mitlesen und Manipulieren der über Wlan übertragenen Daten möglich ist. Das Problem ist, dass nahezu alle Geräte, die Wlan-Module haben, davon betroffen sind. Einige Hersteller haben bereits ihre Update-Pläne bekanntgegeben. Hier gibt es vorbildliches Verhalten sowie auch Nachzügler und die typischen Nachteile der Fragmentierung.

Linux

Bezüglich Tempo sind die Jungs beim freien Unix OpenBSD Vorreiter. Bereits vor einigen Wochen, als sie zum ersten Mal von der Lücke erfuhren, wurde der Fehler bereinigt. Das selbe gilt bei den Linux-Distributionen. Hier wurden bereits Updates ausgeschickt.

Microsoft

Die Forscher haben die Lücke vorab Unternehmen mitgeteilt. Microsoft hat mitgeteilt, dass bereits seit 10. Oktober das entsprechende Update ausgerollt wird. Zudem empfiehlt das Unternehmen, aktiv nach aktuellen Updates Ausschau zu halten und diese zu installieren.

Apple

Bei Apple sind all jene User, die Betaversionen von macOS oder iOS nutzen, bereits vor "Krack"-Angriffen geschützt. User des aktuellen, stabilen Systems müssen sich aber noch "einige Wochen" gedulden. Die Hardware wie die AirPort Time Capsule sollen auch Updates bekommen. Einen Zeitraum für die Aktualisierung der Wlan-Basisstation nennt Apple keinen Zeitraum.

Router

Bei den Router-Herstellern gibt es kein einheitliches Statement. Bei AVM (Fritzbox) will man sich die Lücken im Detail ansehen und entsprechend reagieren. Das Unternehmen wurde vorab nämlich im Gegensatz zu großen Herstellern nicht informiert. Man schließe bei AVM aber nicht aus, dass gar kein Update notwendig sei. Netgear zufolge seien Updates bereits ausgespielt worden und die Systeme daher wieder sicher. Bei Belkin hieß es, dass in den kommenden Wochen ein Update die LÜcken schließen soll.

Android

Trotz der Tatsache, dass Android-Nutzer am meisten von der Schwachstelle betroffen sind, wird es hier am längsten dauern. Das liegt - mal wieder - an der Fragmentierung. Google zufolge werden die eigenen Geräte wie die Pixel- und Nexus-Serie noch Anfang November ein Update bekommen. Das bedeutet, dass der Patch aber nicht so schnell wie gehofft den Android-Partnern zur Verfügung gestellt werden kann. Es ist davon auszugehen, dass es hier zu Verzögerungen von bis zu einem Monat oder länger kommen kann, bis alle Android-Geräte mit dem WPA2-Patch versorgt sind.

Der einzige Trost hier ist, dass der Angreifer sich dem Wlan-Hotspot räumlich nähern müssen, um die LÜcken auszunutzen. Als extreme Vorsichtsmaßnahme könnte man bei Routern die Wlan-Funktion deaktivieren und nur noch über das Ethernet surfen. Aufgrund dessen, dass HTTPS-Seiten (zu erkennen am Schlosssymbol in der URL-Zeile) und private Netzwerke (VPN) nicht abgefangen werden können, ist dieser Schritt mitunter vielleicht extrem. Fremde und öffentliche Hotspots sollte man aber auf jeden Fall meiden. Auf keinen Fall sollte man ins mobile Online-Banking über einen Hotspot einsteigen und stattdessen auf die eigene Mobilfunkverbindung vertrauen.