Wlan-Sicherheit: Diese Updates helfen gegen die KRACK-Gefahr
Der Verschlüsselungs-Standard WPA2, der vor allem für WLAN-Netzwerke empfohlen wird, ist durch eine kritische Schwachstelle verwundbar. KRACK heißt diese Lücke, die von einem belgischen Forscher entdeckt wurde. Viele Anbieter, darunter Microsoft und auch der Hersteller der verbreiteten Fritzbox, bieten bereits Updates an.
Welche Geräte sind von KRACK betroffen?
KRACK betrifft den Verschlüsselungs-Standard WPA2, der momentan üblich ist. Deshalb sind praktisch alle Geräte betroffen, die über Wlan kommunizieren, also Router ebenso wie Smartphones oder andere Geräte, die im Heimnetzwerk verbunden sind.
Wie gefährlich ist die Sicherheitslücke in der Praxis?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online Banking und Online-Shopping oder zur Übertragung anderer sensibler Daten zu verwenden. „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel“, sagte Arne Schönbohm, Präsident des BSI.
Tatsächlich ist die Gefahr durch diese Sicherheitslücke zwar da, aber in der Praxis für Privatanwender eher theoretisch. Um einen Angriff über die WPA2-Schwachstellen durchführen zu können, muss sich der Angreifer nämlich im Funkbereich des Wlan-Signals aufhalten. Außerdem kann durch die Lücke zwar die Wlan-Verschlüsselung ausgehebelt werden; viele Internetverbindungen sind aber zusätzlich verschlüsselt, zum Beispiel durch den Standard Https. Dieser kann über KRACK nicht ausgehebelt werden. Und zum dritten kann die Sicherheitslücke durch ein einfaches Update geschlossen werden.
KRACK gefährdet WPA2: Updates für Wlan-Geräte
Die Lücke in WPA2 kann geschlossen werden, indem man auf seinen Wlan-Geräten – Routern ebenso wie zum Beispiel auf Smartphones – ein entsprechendes Update aufspielt. Viele Hersteller bieten ein solches Update bereits an oder haben es für die kommenden Wochen angekündigt.
- Microsoft hat die Lücke bereits mit seinen Sicherheits-Updates vom 10. Oktober geschlossen. Wer auf seinem Rechner die automatischen Updates aktiviert hat, sollte also bereits sicher sein.
- Google: Betroffen sind Geräte ab Android-Version 6.0. Google hat erst zum 6. November ein Update in Aussicht gestellt. Hersteller anderer Android-Versionen werden danach folgen.
- Apple hat die Lücke bisher erst in seinen Beta-Versionen gestopft. Ein offizielles Update soll demnächst erfolgen.
- Linux bietet bereits Updates an, ebenso Debian und Ubuntu.
- Netgear bietet für viele seiner Router Updates an.
- AVM: „Eine FRITZ!Box am Breitbandanschluss ist nach aktuellem Stand nicht von der „Krack“ genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet“, so der BErliner Hersteller. Updates gibt es jedoch für Repeater und Powerline.
Weitere Hersteller und ihre Updates hat heise.de zusammengestellt.
Ist das Internetsurfen per Kabel weiter sicher?
Ja, das kabelgebundene Surfen ist weiterhin sicher.
Betrifft die Sicherheitslücke auch private Netzwerke (VPN) oder UMTS?
Beides ist laut Bundesamt für Sicherheit in der Informationstechnik nicht betroffen.
Wo gibt es weitere Informationen zu KRACK?
Die Sicherheitsforscher haben zu der Lücke eine eigene Webseite eingerichtet.