14.11.2017
WPA2-Sicherheitslücke: So surft man dennoch sicher
Bisher noch keine konkrete Bedrohung
Der Sicherheitsstandard Wi-Fi Protected Access 2 (WPA2) soll dafür sorgen, dass der einzelne Nutzer sicher im WLAN surfen kann. Doch Sicherheitsforscher der Katholischen Universität Löwen haben vor kurzem eine gravierende Sicherheitslücke in dem Verschlüsselungsprotokoll WPA2 entdeckt. Mit einer sogenannten „KRACK“ können Angreifer in WLAN-Netzen übertragene Daten mitlesen und manipulieren.
Bisher ist dies nur eine theoretische Gefahr. Doch wie wahrscheinlich ist es, dass sie auch zur Realität wird? „Wahrscheinlichkeiten kann man in so einem Kontext schwer abschätzen“, sagt Johannes Buchmann vom Center for Research in Security and Privacy (CRISP) an der Technischen Universität Darmstadt. Allerdings sei eine Attacke recht aufwendig. „Damit jemand den Angriff bei Ihnen machen kann, muss er in Ihrer Nähe sein und kurzfristig eine Art Fake-Access-Point aufbauen.“ Das könne etwa von einem Auto aus auf der Straße passieren, erklärt der Informatik-Professor.
Immerhin: Im Gegensatz zu anderen kritischen Sicherheitslücken wie dem berüchtigten „Heartbleed“-Fehler kann der Hacker bei KRACK nicht millionenfach über das Netz angreifen.
Vor allem Android- und Linux-Geräte sind gefährdet
Betroffen sind sowohl WLAN-Router, als auch alle anderen Geräte mit einem WLAN-Modul – also auch PC, Laptop, Smartphone, Tablet bis hin zum Smart-TV oder Netzwerk-Player. Laut BSI sind insbesondere Mobilgeräte mit Android und Rechner mit Linux-Betriebssystemen gefährdet. Apples iOS und macOS seien nur eingeschränkt betroffen. Zudem habe Apple die Lücke in den aktuellen Beta-Versionen der Betriebssysteme auch schon geschlossen. Microsoft hatte die Schwachstelle bereits in den gerade veröffentlichten Software-Aktualisierungen behoben.
Bei den WLAN-Routern arbeiten die Hersteller gerade an Updates. „Wir schätzen die WPA2-Lücke als sehr ernstzunehmend ein und kümmern uns darum, betroffene Geräte zu identifizieren und Updates schnellstmöglich bereitzustellen“, heißt es etwa bei der Telekom, die Router unter der Marke Speedport bereitstellt. Fritzbox-Hersteller AVM hat zumindest teilweise Entwarnung gegeben: Nach aktuellem Stand seien Fritzbox-Router nicht von der „KRACK“ genannten WLAN-Sicherheitslücke betroffen. Dennoch soll es Updates für WLAN-Repeater von AVM geben.
Wichtig für den Nutzer ist es, auf Aktualisierungen von Betriebssystemen, installierter Software und Geräte-Software (Firmware) zu achten und diese bei Verfügbarkeit sofort zu installieren. „Die Leute müssen Updates fahren auf ihren Geräten“, so Prof. Buchmann. „Man muss das im Blick haben.“ Ob es letztendlich für alle Geräte und Betriebssysteme Aktualisierungen gibt, sei laut Experte ungewiss. Vor allem bei älteren Android-Versionen könne man nicht immer damit rechnen.
Auf automatische Router-Updates setzen
Es ist ratsam, im Router-Einstellungsmenü automatische Updates zu aktivieren – falls dies möglich ist. Bei der Fritzbox von AVM muss man dafür in die Einstellungen des Routers gehen. Dafür muss man sich per WLAN oder LAN mit dem Internet verbinden. Anschließend muss der Nutzer den Internet-Browser wie Google Chrome, Internet Explorer oder Firefox öffnen und in die Adressleiste „fritz.box“ eingeben. Alternativ kann auch die Adresse „192.168.178.1“ eingetippt werden.
Nach dem Login geht man zur Navigationsleiste links und tippt dort auf den Menüpunkt „System“ und anschließend auf „Update“. Dort wechselt man dann auf den Reiter „Auto-Update“. Anschließend muss man die Änderung bestätigen, indem man auf „Übernehmen“ klickt. Nun installiert die Fritzbox alle Updates automatisch.
Falls man beim eigenen Router keine automatischen Updates einstellen kann, sollte man regelmäßig beim jeweiligen Hersteller nach Updates nachfragen. Man kann auch im Support-Bereich der Herstellerseiten nach Aktualisierungen schauen. Das gilt auch für alle anderen WLAN-fähigen Geräte.
Beim Surfen auf HTTPS-Verschlüsselung achten
Bei vielen drängt sich nun die Frage auf, ob man im WLAN noch Online-Banking-Geschäfte tätigen kann. Die Antwort: Ja. Man sollte dabei jedoch – wie immer – darauf achten, dass man dies über eine funktionierende HTTPS-Verschlüsselung tut. Diese erkennt man an einem grünen Schloss-Symbol sowie an dem https vor der Internet-Adresse in der entsprechenden Leiste.
„Was die angreifen, ist die Verschlüsselung zwischen Ihrem Gerät und Ihrem Access-Point oder Router“, sagt Prof. Buchmann. Allerdings seien die Angreifer unter Umständen in der Lage, das Endgerät so umzuschalten, dass es kein HTTPS mehr nutzt. Deshalb sollte man immer wieder kontrollieren, ob eine HTTPS-Verbindung auch wirklich besteht.
Das gute, alte LAN-Kabel wieder rausholen
Wem das dennoch alles zu unsicher ist, kann per LAN-Kabel ins Internet gehen. Einfach das Kabel an den PC oder Laptop und den Router stecken und schon kann man wie in guten alten Zeiten per LAN surfen. Alternativ kann man auch fürs Online-Banking oder Shopping eine mobile Internetverbindung via Mobilfunk nutzen. Auch mit einem virtuellen privaten Netzwerk (VPN) lassen sich Daten sicher per WLAN übertragen.