KRACK: Lücke in WLAN-Verschlüsselung WPA2 betrifft fast alle Geräte – Was tun?

Eine neue Angriffsmethode namens KRACK erlaubt Hackern das Mitlesen und Manipulieren des WLAN-Datenverkehrs. Wir erklären, wie du dich davor schützen kannst.

KRACK betrifft praktisch alle WLAN-fähigen Geräte.

Björn GreifRedakteur

Der Sicherheitsforscher Mathy Vanhoef hat kritische Schwachstellen im Sicherheitsstandard WPA2 entdeckt, der fast überall zur Verschlüsselung von WLAN-Verbindungen zum Einsatz kommt. Eine KRACK (Key Reinstallation Attack) genannte Angriffsmethode funktioniert praktisch bei allen WLAN-fähigen Endgeräten. Sie ermöglicht Angreifern das Mitlesen und Manipulieren von Datenpaketen, die über ein mittels WPA2 abgesichertes WLAN-Netz gesendet oder empfangen werden. Hacker könnten auf diese Weise beispielsweise deine Passwörter, Kontodaten, Nachrichten oder E-Mails auslesen.

Vanhoef zufolge sind in erster Linie Geräte mit Android und Linux anfällig. Windows- und Apple-Geräte sind nur teilweise betroffen, weil sich die Schwachstellen hier nicht vollumfänglich ausnutzen lassen. Um einen Angriff auszuführen, muss sich der Hacker im selben WLAN-Netz befinden wie der Nutzer. Daher solltest du in jedem Fall öffentliche WLAN-Hotspots meiden, etwa am Flughafen, auf öffentlichen Plätzen, im Café oder im Hotel. Kabelgebundene Internetverbindungen oder solche über Mobilfunk sind von KRACK nicht betroffen und gelten weiterhin als sicher.

Wi-Fi Protected Access 2 (oder kurz WPA2) wird praktisch von jedem WLAN-fähigen Gerät zur Verschlüsselung der WLAN-Verbindung eingesetzt. Daher ist KRACK besonders bedeutend. Angriffspunkt sind aber weniger Access Points oder Router, sondern die Endgeräte, die sich mit dem WLAN verbinden wollen.

Lücke lässt sich per Softwareupdate schließen

Die WPA2-Sicherheitslücke geht auf Designfehler des zugrunde liegenden IEEE-Standards 802.11 zurück. Das Problem besteht in der Art, wie ein Endgerät sich an einem WLAN-Zugangspunkt authentifiziert. Der vierstufige Prozess nennt sich Vier-Wege-Handshake und umfasst das Erzeugen und den Abgleich mehrerer Sicherheitsschlüssel. Einzelheiten dazu lassen sich auf der eigens eingerichteten Webseite krackattacks.com nachlesen, auf der Vanhoef auch ein Proof-of-Concept-Video zu KRACK veröffentlicht hat.

Glücklicherweise kann die Sicherheitslücke rückwärtskompatibel mit einem Softwareupdate geschlossen werden. Bis ein Patch für dein Endgerät vorliegt, solltest du sicherheitshalber auf Online-Banking und Online-Shopping oder die Übertragung anderer vertraulicher Daten via WLAN verzichten. „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen“, empfiehlt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Was du beachten solltest

  • Weiterhin WPA2-Verschlüsselung einsetzen
    Der Nachfolger von WPA und WEP ist nach wie vor die sicherste verfügbare Option für Drahtlosnetzwerke. Daher solltest du WPA2 keinesfalls deaktivieren.
  • Geräte immer auf dem neuesten Stand halten
    Prüfe regelmäßig, ob auf deinem Computer, Smartphone oder Router die jüngsten Sicherheitsupdates installiert sind. Gerätehersteller wie Microsoft, Apple, Google, Samsung und Intel haben bereits Patches veröffentlicht oder angekündigt. Diese solltest du bei Verfügbarkeit schnellstmöglich einspielen. Fritzbox-Anbieter AVM will „falls notwendig“ Updates bereitstellen. Linux– und Unix-basierte Systeme wurden bereits aktualisiert, darunter FreeBSD, OpenBSD, Debian und Ubuntu.
  • VPN-Dienst nutzen
    Durch Verwendung eines Virtual Private Network (VPN) verhinderst du, dass Dritte via KRACK oder anderer Angriffsmethoden deinen Datenverkehr abhören können. Ein VPN-Dienst baut einen Tunnel auf, durch den die Daten verschlüsselt übertragen werden. Allerdings kann der jeweilige VPN-Anbieter wie sonst der Provider den gesamten Surfverlauf nachvollziehen.
  • HTTPS verwenden
    Achte darauf, dass du vertrauliche Daten grundsätzlich nur bei einer verschlüsselten Verbindung im Browser eingibst. Diese erkennst du an dem der Webadresse vorangestellten https://. Der Cliqz Browser baut standardmäßig verschlüsselte Verbindungen zu Websites auf, falls der Seitenbetreiber diese Option anbietet. KRACK kann diese Verschlüsselung nicht direkt knacken. Jedoch weist Vanhoef darauf hin, dass HTTPS allein eventuell keinen ausreichenden Schutz bietet, wenn ein Hacker den gesamten Datenverkehr mitliest.
  • Wechsel des WLAN-Passworts hilft nicht
    Es ist nie verkehrt, ein möglichst sicheres Passwort zu verwenden. Im Fall von KRACK bringt aber auch das sicherste WLAN-Passwort nichts, weil der Angriff die Passwortabfrage vollständig umgeht.

Das US-CERT (United States Computer Emergency Readiness Team) hält eine Liste mit allen betroffenen Anbietern und dem aktuellen Patchstatus bereit. Eine etwas übersichtlichere Liste findet sich unter anderem bei Charged.