die nachricht
: WLAN-Verschlüsselung ist nicht mehr sicher
Die meisten Funknetzwerke sind angreifbar. Updates gibt es bisher nur für manche Geräte. Eine massenhafte Attacke auf private WLANs ist aber nicht zu erwarten
Das Neue
Der Sicherheitsstandard WPA2, mit dem die meisten WLAN-Netzwerke ihre Verbindungen zu mobilen Geräten verschlüsseln, ist nicht mehr sicher. Forscher der Universität Leuven haben eine gravierende Sicherheitslücke gefunden, durch die Daten mitgelesen oder manipuliert werden können.
Der Kontext
Immer mehr Geräte sind drahtlos mit dem Internet verbunden – Laptops und Smartphones, aber auch Stereoanlagen, Drucker und Fernseher oder neuerdings LED-Lampen. Dafür wird meist ein WLAN (Wireless Local Area Network = kabelloses lokales Netz) genutzt. Darüber verbinden sich die mobilen Geräte mit einem sogenannten Router, der über Kabel die Internetverbindung herstellt.
Um zu verhindern, dass Unbefugte auf die übertragenen Daten zugreifen, werden diese meist verschlüsselt. WPA2 ist der modernste derzeit verfügbare Verschlüsselungsstandard. Dieser kann nun umgangen werden.
Die Reaktionen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft aufgrund der neuen Sicherheitslücke zur besonderen Vorsicht auf. „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof“, schreibt die Behörde – in der mutigen Hoffnung, dass die Menschen wissen, was man dort nicht tun sollte: Nämlich Online-Banking betreiben oder beim Einkaufen Konto- oder Kreditkartendaten eingeben.
Ein massenhafter Angriff ist aber nicht zu erwarten. „Um einen Angriff über die WPA2-Schwachstellen durchführen zu können, muss sich der Angreifer im Funkbereich des WLAN-Signals aufhalten“, schreibt das BSI – also in unmittelbarer Nähe der Wohnung. Ein Angriff aus der Ferne ist nicht möglich.
Die Wi-FI Alliance, ein Zusammenschluss von Herstellern von WLAN-Routern, weist zudem darauf hin, dass es bisher keinen Hinweis auf Angriffe durch die neu entdeckte Lücke gibt.
Die Konsequenz
Alle WLAN-NutzerInner sollten sich schnell um einen Update ihrer Software kümmern – und zwar für jedes Endgerät. Apple und Windows haben diese bereits zur Verfügung gestellt. Für Linux-Rechner und Android-Smartphones, bei denen die Lücke besonders leicht genutzt werden kann, gibt es bisher noch keine Abhilfe. Auch die Router sollten eine neue Software aufgespielt bekommen; einige Hersteller haben bereits Updates angekündigt.
Das BSI empfiehlt, bis zum Schließen der Sicherheitslücke komplett auf Online-Banking oder -Shopping per WLAN zu verzichten. Andere ExpertInnen halten das für übertrieben. Denn die meisten Webseiten, die sensible Informationen nutzen, verschlüsseln den Datenverkehr zusätzlich. Zu erkennen ist das über die Angabe „https://“ vor der Internetadresse. Diese Seiten gelten auch weiterhin als sicher. Auch wer einen sogenannten VPN-Tunnel nutzt, etwa zur Verbindung mit einem Firmennetzwerk, ist gegen Mitlesen von Daten geschützt.
Malte Kreutzfeldt
