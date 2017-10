Osnabrück/ Löwen. Eine Woche nach Bekanntwerden einer Sicherheitslücke im WLAN-Verschlüsselungsprotokoll WPA2 hat der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm die Hard- und Softwarehersteller in Deutschland kritisiert. Die Zahl der Schwachstellen nehme stetig zu, so Schönbohm. „Wenn wir erfolgreich in der Digitalisierung sein wollen, können wir uns Qualitätsmängel dieser Art aber nicht leisten.“

Die Hersteller forderte der BSI-Chef auf, ihren Kunden sichere Produkte bereitzustellen. Dazu gehöre auch, dass sie über einen bestimmten Zeitraum hinweg deren sicheren Betrieb durch Updates gewährleisten. Das BSI entwickele derzeit ein Gütesiegel für IT-Produkte, das Verbrauchern die Einschätzung der Sicherheit erleichtern soll.

Eine von Wissenschaftlern der Katholischen Universität Löwen entdeckte Sicherheitslücke im WLAN-Verschlüsselungsprotokoll WPA2 hatte das Thema in den Fokus der Öffentlichkeit gerückt. Mit der „KRACK“ getauften Attacke können demnach Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren, berichtete der belgische Sicherheitsforscher Mathy Vanhoef. Der Experte warnte in diesem Zusammenhang davor, dass etliche betroffene Geräte wohl niemals ein Update bekommen würden. „Und das ist in der Tat ein Problem.“

Diskussion über Umgang mit „KRACK“-Attacke

Über die Konsequenzen aus der „KRACK“-Attacke waren sich Experten allerdings nicht einig: Fachleute des Branchenverbandes Wifi Alliance verwiesen darauf, dass zusätzliche Verschlüsselungs-Schichten wie HTTPS (beispielsweise beim Online-Banking) oder virtuelle private Netzwerke (VPN) durch die KRACK-Attacke nicht ausgehebelt werden. Daher seien auch Online-Banking oder die Kommunikation mit WhatsApp über WLAN weiterhin sicher. Bislang gebe es auch keine Anzeichen dafür, dass die von den Forschern entdeckten Sicherheitslücken in WPA2 bereits von Computerkriminellen ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dagegen riet dazu, bis zur Verfügbarkeit auf Online-Banking in einem mit WPA2 gesicherten WLAN zu verzichten. Auch vom Einkaufen im Netz via WLAN riet das BSI ab, obwohl quasi alle Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht von dem WPA2-Standard des WLANs abhängt. Das kabelgebundene Surfen dagegen sei sicher.

Sicherheitslücke kann durch Software-Update geschlossen werden

WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eines WLANs, das bislang als sicher galt. Es soll zum einen dafür sorgen, dass sich nur berechtigte Nutzer in ein WLAN einloggen können. Das Verschlüsselungsverfahren soll aber auch verhindern, dass die drahtlos übertragenen Daten von Unbefugten mitgeschnitten werden können. Außerdem verhindert die Verschlüsselung, dass Daten auf dem Übertragungsweg manipuliert werden.

Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert. Die Forscher in Löwen entdeckten nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken.

Sicherheitsforscher Vanhoef erklärte, es bringe jetzt nichts, sein WLAN-Passwort zu ändern, da dies nicht vor der Attacke schütze. Vermutlich seien Geräte aller Hersteller von den Fehlern betroffen. Die Lücken könnten allerdings durch ein Software-Update geschlossen werden. Die Branche müsse dabei nicht auf einen neuen Standard WPA3 warten.

Von dpa/mz/RND