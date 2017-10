WLAN-Sicherheitslücke Die wichtigsten Fakten zur Krack-Attacke

Von Jörg Breithut 17. Oktober 2017 - 12:36 Uhr

Fast alle WLAN-Hotspots sind betroffen von der Sicherheitslücke Krack. Doch viele Nutzer müssen sich noch gedulden, bis Updates verfügbar sind. Foto: dpa

Ein gravierende Sicherheitslücke bedroht fast alle WLAN-Hotspots. Der Fehler kann zwar mit einem Update behoben werden, doch viele Nutzer müssen sich noch gedulden. Wir haben die Fakten zur Krack-Attacke gesammelt.

Stuttgart - Ein belgischer Forscher hat eine schwere Sicherheitslücke entdeckt, die fast alle WLAN-Hotspots betrifft. Demnach können Angreifer die als sicher geltende WPA2-Verschlüsselung aushebeln und den Datenstrom zwischen WLAN-Router und Geräten der Nutzer mitlesen und sogar manipulieren. Wir haben die Antworten auf die wichtigsten Fragen zur so genannten Krack-Attacke.

Wie hoch ist das Risiko, dass ein Angreifer mein WLAN ausspäht?

Die Sicherheitslücke ist gravierend, da sind sich die Experten einig. Doch es gibt bisher keine Anzeichen dafür, dass der Fehler bereits ausgenutzt worden ist. Denn es gibt einige Hürden für Angreifer, um die Lücke in WLAN-Netzen wirklich ausnutzen zu können.

Einerseits müssen sich kriminelle Hacker in der Nähe des Hotspots befinden, also sich beispielsweise auf der Straße vor dem Haus in das WLAN einwählen. Andererseits ist die Attacke nicht sehr einfach auszuführen. Die Angreifer müssen technisch in der Lage sein, sich mit einer „Man-in-the-Middle“-Methode in den Datenstrom zwischen Router und Laptop einzuschleusen.

Wann liefern Apple, Google und Co. ihre Updates?

Bereits im August hatte das Computer Emergency Response Team, eine Abteilung des US-Heimatschutzes, die Hersteller über die Krack-Attacke informiert. Doch viele Nutzer müssen sich noch gedulden, bis ein Update für ihre Smartphones, Laptops und Tablets verfügbar ist.

Bei Google kümmern sich derzeit die Entwickler darum, dass die Sicherheitslücke auf Tablets und Smartphones mit dem Betriebssystem Android geschlossen wird. Ein Google-Sprecher sagt gegenüber unserer Redaktion: „Das Problem ist uns bekannt und wir werden in den nächsten Wochen Sicherheits-Patches für alle betroffenen Geräte veröffentlichen.“ Allerdings liegt es in der Regel bei den Smartphone-Herstellern, ob und wann ein Patch für Android-Geräte ausgeliefert wird. Denn viele Unternehmen verteilen die Software selbst an ihre Kunden. Bei älteren Android-Geräten kann es passieren, dass gar kein Update mehr angeboten wird.

Apple hat dem Tech-Journalisten Rene Ritchie mitgeteilt, dass die Lücke in den Beta-Versionen von iOS, MacOS, watchOS und tvOS bereits behoben ist. Allerdings wird es wohl noch ein paar Wochen dauern, bis die finalen Versionen an die Nutzer verteilt werden.

Microsoft hat nach eigenen Angaben sein Windows-Betriebssystem bereits mit dem jüngsten Patch gegen die Krack-Attacke immunisiert. Nach Informationen des Tech-Portals „The Verge“ hat der Konzern mit einem Update vom 10. Oktober die Sicherheitslücke in den unterstützten Windows-Versionen gestopft.

Der Kabelnetzbetreiber Unitymedia prüft derzeit, ob und wie die WLAN-Router mit einem Update gesichert werden können. „Mit unseren Partnern sind wir diesbezüglich im Austausch, das Thema hat auch dort höchste Priorität“, teilt ein Sprecher des Konzerns auf Anfrage mit. Unitymedia empfiehlt den Kunden auf Sicherheitsaktualisierungen für Betriebssystem und Browser zu achten und diese zeitnah zu installieren.

Wie surfe ich sicher, bis ein Update da ist?

Bis ein Patch für Smartphone, Laptop und Tablet erschienen ist, sollen sich laut Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzer so verhalten, als würden sie in einem öffentlichen WLAN am Bahnhof oder Flughafen surfen. Um Daten sicher zu versenden, empfiehlt die Behörde, einen VPN-Tunnel einzurichten oder den Laptop über ein LAN-Kabel mit dem Internet zu verbinden.

Bis die Hersteller ihre Updates veröffentlicht haben, rät das BSI dazu, auf Online-Banking im WLAN zu verzichten. Auch sollte man zunächst auf Einkäufe in Internetshops wie Amazon verzichten und vor allem keine sensiblen Daten über das Heimnetzwerk verschicken. Der Chaos Computer Club hält diese Warnung jedoch für überzogen und rät den Nutzern darauf zu achten, dass die Websites mit einer sicheren HTTPS-Verbindung aufgerufen werden.

Können Angreifer eine sichere HTTPS-Verbindung mitlesen?

Neben der WPA2-Verschlüsselung bietet vor allem die HTTPS-Verbindung einen Schutz vor Angreifern beim Surfen. Die meisten großen Websites wie Amazon, Google, Paypal und Co. tauschen die Daten verschlüsselt mit dem Rechner aus, wenn im Browser ein grünes Schloss neben der Web-Adresse angezeigt wird. Das hindert kriminelle Hacker unabhängig von der WLAN-Verschlüsselung daran, die Nutzer auszuspähen.

Der Krack-Entdecker Mathy Vanhoef zweifelt jedoch daran, dass die HTTPS-Verbindung genügend Schutz bietet. Er want davor, dass „dieser zusätzliche Schutz immer noch umgangen werden kann in vielen Situationen“. Problematisch sei vor allem Software, die nicht über den Internet-Browser läuft. Beispielsweise gebe es noch immer Apps für Android und iOS, deren Datenverbindung nicht auf HTTPS setzt und daher mitgelesen werden könne.

Muss ich mein WLAN-Passwort ändern?

Nein. Zwar ist es sinnvoll, sein WLAN-Passwort immer wieder mal zu ändern. Aber bei der Krack-Attacke hilft das nichts. Nach Angaben von Vanhoef ist das Kennwort gar nicht nötig für den Angriff, da ein ausgetauschter Schlüssel kopiert und noch einmal verwendet wird.