Was uns das WEP-Desaster für die Zukunft von WPA2 bedeutet

Der Krack-Angriff erinnert auf den ersten Blick an die Sicherheitslücken der WEP-Verschlüsselung vergangener Jahre. In der Anfangszeit des WLANs war es WEP, das den Funkverkehr vor einfachem Abhören absichern sollte. Wired Equivalent Privacy hieß die Technik, die den Vergleich zur Sicherheit von Kabeln sicherstellen sollte. Schon 2001 wurde die WEP-Technik geknackt. Doch bis das zu einem allgemeinen Problem wurde, verging einiges an Zeit - und das, obwohl die Lücke letztendlich nicht mehr abgesichert werden konnte. WEP war dabei grundsätzlich gebrochen worden und trotzdem brauchte es Zeit, bis die Werkzeuge für einfache Angriffe zur Verfügung standen.

Stellenmarkt
  1. IT / Organisation Anwendungsbetreuer (m/w/d)
    Schöler Fördertechnik AG, Rheinfelden
  2. Softwareentwickler Vertriebsumfeld (m/w/d)
    ERGO Direkt AG, Nürnberg
Detailsuche

Zudem war eine Verschlüsselung essenziell, denn damals war verschlüsselter E-Mail-Abruf noch etwas Seltenes. Auf der anderen Seite nutzten aber vergleichsweise wenige Anwender drahtlos funkende Hardware im LAN. Zu teuer war die Hardware. Smartphones, wie wir sie heute kennen, gab es noch nicht. Gesurft wurde mobil, wenn überhaupt, per High Speed CSD mit ein paar Dutzend KBit/s. Die Welt war noch nicht drahtlos und meist waren es teure Geschäftskundennotebooks, die einen WLAN-Adapter hatten, der oft sogar noch im PCMCIA-Schacht steckte.

Trotzdem waren die Auswirkungen drastisch. Viele Geräte konnten schlussendlich de facto nicht mehr im WLAN betrieben werden. Die bekanntesten dieser Geräte fanden sich aber im Heimbereich: So fiel Nintendos DS weg, der ein paar Jahre nach dem Bekanntwerden der WEP-Schwäche noch millionenfach mit der Technik ausgeliefert wurde. Wie viele andere Unternehmen nahm Nintendo Sicherheit damals nicht ernst. Erst der Nintendo DSi löste das Problem, wenn auch nur für neue Software. Im Unterschied zu WEP kann WPA2 gepatcht werden - und auch nicht gepatchte Geräte werden weiterhin im Netzwerk funktionieren.

Langfristig droht Gefahr vor allem für aufgegebene Hardware

Eine unmittelbare Gefahr durch Krack besteht derzeit nicht. WLAN ist zwar gefährdet, doch es gibt noch keine Tools, die für großangelegte Angriffe geeignet wären. Das mag allerdings nur eine Frage der Zeit sein, wie das WEP-Debakel vor fast zwei Jahrzehnten bewies. Für Kriminelle, die von Privatnutzern Geld erbeuten wollen, wird der Angriff auch dann kaum attraktiv sein, sondern wegen des Aufwands eher für Pentester und Geheimdienste.

Golem Akademie
  1. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Bis dahin sollten zahlreiche Patches verfügbar sein. Unsere aktualisierte Liste zu Patches zeigt zumindest, dass die Hersteller das Problem ernst nehmen und manche sogar schon reagiert haben. Wie schnell die ersten Reaktionen erfolgt sind, macht auch deutlich, dass das Problem durchaus beachtet wird.

Und es zeigt weitere kommende Schwierigkeiten: Aufgegebene, aus dem Support genommene Hardware wird offensichtlich nicht mehr gepatcht. Administratoren mit altem Hardware-Bestand müssen aufpassen und die Nachrichtenlage beobachten. Gegenmaßnahmen wie die zusätzliche Abschottung per VPN wären eine Möglichkeit, die Hardware für die kommenden Jahre nutzbar zu halten. Und natürlich sollten kritische Anwendungen im NAS oder der Zugriff auf die Weboberfläche von Router, Access-Point und Modem per Verschlüsselung auf dem Transportweg abgesichert werden.

Der Großteil der Unternehmen ist nicht betroffen

Der erste unmittelbare Schritt ist eine intensive Beobachtung der Patchlage. Mehr lässt sich nicht tun. Mit Angriffen in der Praxis sollten sich insbesondere Administratoren zumindest in der Theorie auseinandersetzen, auch wenn die Praktikabilität vielleicht erst in mehreren Jahren erreicht wird. Im Moment ist WLAN diesbezüglich sicher. Sorge müssen sich allenfalls Kreise machen, die ohnehin unter gezielten Angriffen leiden. Das Gros der Unternehmen ist erst einmal nicht betroffen.

Das gilt auch für die Privatanwender. Die Angriffe sind noch zu aufwendig für den massenhaften Zugriff auf Nutzernetzwerke. Privatanwender sollten sich allerdings dessen bewusst sein, dass viel Hardware nie einen Patch gegen die Krack-Lücke bekommen wird. Der Fernseher, der Blu-ray-Player oder der A/V-Receiver sind klassische Heimkino-Komponenten ohne Support, die billige WLAN-Smart-Home-Kamera oder so manche Alt-Konsole ebenfalls - allerdings dürfte Krack hier nicht die einzige Sicherheitslücke sein. Tatsächliche Angriffe über diese Geräte sind aber unwahrscheinlich.

Krack wird uns also in den nächsten Jahren weiter begleiten, denn viel Hardware ist weiter nutzbar und sollte deswegen nicht weggeworfen werden. Mögliche Optimierungen des Angriffs sollten auf jeden Fall beobachtet werden. Sorgen muss sich derzeit aber niemand machen. Die WPA-Lücke ist mit dem WEP-Desaster nicht vergleichbar.

Professoren von der Universität Leuwen, an der der Entdecker Mathy Vanhoefe eine Dissertation verfasst, fordern allerdings weitergehende Konsequenzen. Diese hängen allerdings nicht ursächlich mit der Entdeckung der Lücke zusammen. So bedürfe es langfristig eben doch WPA in der Version 3. Wichtigstes Feature der geforderten neuen Verschlüsselung: Die Gewährleistung von Perfect Forward Secrecy. Dabei würden die übertragenen Daten auch sicher bleiben, wenn der Schlüssel selbst in die Hände eines Angreifers gerät.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Krack-Angriff: Kein Grund zur Panik
  1.  
  2. 1
  3. 2


Kondom 29. Okt 2017

Die Installation bei Let'sEncrypt läuft mit einem einfachen Skript, den Quelltext kann...

1ras 19. Okt 2017

Gegen Panik hilft vor allem Aufklärung und diese ist leider auch in den Fachmedien kaum...

bombinho 19. Okt 2017

Interessant, hast Du auch ueber die Verbreitung von Signalen (omnidirectional...

bombinho 19. Okt 2017

Da wuerde ich mir wenig Sorgen machen, sowohl das Verhalten von Maerkten, als auch das...

Vögelchen 18. Okt 2017

Zitat Golem: Danke, das bringt es sehr gut auf den Punkt! Ich fühlte mich nach dem Lesen...



Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. iPhone und Apple Watch: Apples Carkey-Funktion kommt für weitere Autos
    iPhone und Apple Watch
    Apples Carkey-Funktion kommt für weitere Autos

    Apples Carkey-Funktion funktioniert derzeit nur mit BMWs, doch ab Sommer 2022 sollen auch andere Autohersteller aufspringen.

  2. Elektromobilität: Ladesäulen für BP bald profitabler als Tankstellen
    Elektromobilität
    Ladesäulen für BP bald profitabler als Tankstellen

    BP steht kurz davor, dass Schnellladestationen profitabler sind als Tankstellen. Das könnte zusätzliche Investitionen in Ladesäulen bringen.

  3. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • HyperX Cloud II Wireless 107,19€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /