Die Berichte über eine Schwachstelle in der bis dahin als sicher geltenden WPA2-Verschlüsselung haben für erhebliche Unsicherheit unter Anwendern geführt, die nun eben nicht mehr sicher sein können, dass Daten im WLAN nicht doch abgehört werden können. Die sogenannten KRACK-Angriffe sind im Hinblick auf die Datensicherheit ohne Zweifel besorgniserregend, allerdings auch kein Grund, jetzt direkt in Panik zu verfallen.
In eigentlich jedem IT-Sicherheitsratgeber findet sich bislang der Hinweis, dass die Verschlüsselung mit dem WPA2-Verfahren einen sicheren Schutz vor Lauschangriffen im WAN bietet und diese Technik empfehlenswert ist. Seit kurzem Tagen gilt dieser Hinweis jedoch nicht mehr uneingeschränkt.
Wie Sicherheitsforscher herausgefunden haben, gibt es bei der Umsetzung dieser Technik einen Fehler, der es Angreifern erlaubt, die Schlüssel abzufangen und die Daten damit doch mitlesen zu können.
Bundesamt für Sicherheit in der Informationstechnik sieht ernstes Problem
Auch das Bundesamt für Sicherheit in der Informationstechnik gab daraufhin eine Warnung heraus und empfahl dabei, in den per WPA2 geschützten WLANs zusätzliche Sicherheitsmaßnahmen zu beachten und sich so zu verhalten, als benutze man einen öffentlichen, ungesicherten WLAN-Zugangspunkt. Betroffen von der Schwachstelle waren bzw. sind die meisten WLAN-Geräte, sowohl Router und Access Points als auch konventionelle PCs, Tablets und Smartphones und auch zahlreiche andere WLAN-fähige Geräte.
Keine flächendeckenden Angriffe
Allerdings gibt es auch zahlreiche Gründe, weshalb diese WPA2-Schwachstelle kein Grund ist, gleich in Panik zu verfallen und beispielsweise das WLAN abzuschalten.
- Das beginnt etwa schon damit, dass die Schwachstelle nicht für flächendeckende Angriffe nutzbar ist, sondern nur ganz gezielte Angriffe, die vor Ort ausgeführt werden müssen, möglich sind. Denn nur wenn die Lauscher sich in Reichweite des WLANs befinden, können sie die Daten mitlesen oder manipulieren. Und dass in den nächsten Tagen Tausende von Hackern losziehen werden und quer durch die Republik irgendwelche WLANs ins Visier nehmen, ist eher unwahrscheinlich.
- Zudem gibt es bereits jetzt viele Hersteller, die Updates zur Verfügung gestellt haben, mit denen sich diese Schwachstelle auch wieder schließen lässt. Microsoft etwa hat für aktuelle Windows-Systeme bereits einen solchen Patch verteilt, auch andere große Hersteller haben solche Updates schon bereitgestellt oder zumindest angekündigt.
- Wenn Daten zudem zusätzlich verschlüsselt werden, wie dies etwa bei Anwendungen wie Homebanking oder Online-Shopping üblicherweise bereits per https geschieht, können die Angreifer die Daten nach wie vor nicht im Klartext mitlesen. Auch mit der an öffentlichen WLANs empfohlenen Nutzung von VPN-Verbindungen (Virtual Private Network) schützen Sie sich vor dem Abhören.
Risiken bleiben
Für Unternehmen oder Organisationen, die mit sensiblen und besonders schützenswerten Daten arbeiten, stellt die Sicherheitslücke allerdings schon ein größeres Risiko dar, denn hier lohnen sich ja auch die etwas aufwendigeren, zielgerichteten Attacken. Und hier wäre es daher auch fahrlässig, diese Schwachstelle über längere Zeit nicht komplett zu schließen.
Was tun?
- Sie sollten daher unbedingt die vorhandene Hardware daraufhin überprüfen, ob diese von der Schwachstelle betroffen ist und ob Updates dafür zu bekommen sind, die Sie dann möglichst schnell auch aufspielen sollten.
- Geräte, für die es keine solchen Updates gibt, sollten nur noch dann weiterverwendet werden, wenn die Datensicherheit durch die anderen genannten Verschlüsselungsverfahren gewährleistet ist. Sollte dies nicht möglich sein, sollten Sie diese Geräte ausrangieren und durch sichere Hardware ersetzen. Problematisch sind etwa Tablets oder Smartphones mit etwas älteren Android-Versionen, auch für bereits betagte Router werden wahrscheinlich nicht alle Hersteller noch Updates bereitstellen.
- Informationen zur Sicherheit der WLAN-Hardware im Hinblick auf die KRACK-Attacke sollten Sie auf den Service-Seiten der jeweiligen Hersteller finden.
Einen Überblick über betroffene Geräte und Plattformen bietet beispielsweise auch die Carnegie Mellon Universität, die hierzu eine recht umfangreiche Liste zusammengestellt hat.
Weitere News zum Thema:
Cyber- Angreifer und Erpressern: so schützen Sie sich
BSI warnt vor Sicherheitslücken bei vielen Cloud-Servern
Hintergrund:
Personenbezogene Daten sind ein kostbares Gut. Deshalb werden sie auch durch die Gesetzgebung besonders geschützt. Dementsprechend haben auch alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, nationale Vorschriften und Gesetze sowie entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten! Mit einem e-Training können Sie alle Mitarbeiter zu diesem sensiblen Thema schulen und so die korrekte Behandlung von persönlichen Daten in Ihrem Unternehmen sicherstellen. Ihre Mitarbeiter lernen die Regelungen kennen, die es in Bezug auf den Schutz personenbezogener Daten im Einzelnen gibt und wie sich diese auf deren Aufgaben im Unternehmen auswirken.