Abo
  • Services:
Anzeige
Krack muss man im Hinterkopf haben.
Krack muss man im Hinterkopf haben. (Bild: Martin Wolf/Golem.de (Montage))

Krack-Angriff: Kein Grund zur Panik

Krack muss man im Hinterkopf haben.
Krack muss man im Hinterkopf haben. (Bild: Martin Wolf/Golem.de (Montage))

Der Krack-Angriff auf die WLAN-Verschlüsselung WPA2 erfährt derzeit ein Medienecho wie kaum eine Sicherheitslücke. Anlass zur Panik besteht dabei für Privatanwender nicht und auch die wenigsten Unternehmen sind gefährdet. Administratoren sollten die Lage trotzdem im Blick behalten.
Eine Analyse von Hauke Gierow und Andreas Sebayang

Die Aufregung ist verständlich: Eine Sicherheitslücke im 802.11-Protokoll ermöglicht Angriffe auf die WLAN-Verschlüsselung, ohne das Passwort der Nutzer mühsam zu extrahieren. Und doch besteht kein Grund zur Panik. Denn auch wenn der Angriff in der Praxis durchführbar ist, können nicht automatisiert Hunderte Angriffe durchgeführt werden. Daher ist es derzeit nicht notwendig, WLAN-Netzwerke großräumig zu meiden.

Anzeige

Ein Angreifer muss sich im Umkreis des WLANs befinden und für jedes anzugreifende Netzwerk ein eigenes Fake-Netzwerk erstellen, mit dem das Opfer sich dann verbindet. Und auch dann ist ein Angriff nicht so einfach, wie es das Beispiel des Finders der Lücke vermuten lässt. Der Doktorand Mathy Vanhoef hatte demonstriert, wie sein eigener Accesspoint bei der Datingseite Match.com per SSL-Strip die Verschlüsselung deaktivierte und er so per Wireshark die Anmeldedaten mitschneiden konnte. Gerade bei wichtigen Diensten wie beim Onlinebanking funktioniert ein Angriff so allerdings nicht.

Denn Webseiten wie die der Sparkassen unterstützen meist HTTP Strict Transport Security (HSTS) und damit keinerlei unverschlüsselten Verbindungsaufbau. Deshalb mutet auch die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor Online-Einkäufen und Onlinebanking komisch an. Beides ist nicht sicherer oder unsicherer als bislang.

Derzeit wird außerdem allerorten dazu geraten, möglichst auf HTTPS-Verbindungen zu setzen, um sich abzusichern. Das ist richtig, aber diese Vorsichtsmaßnahme ist unabhängig von Krack geboten; finanzielle Transaktionen oder Aktionen mit anderweitig vertraulichen Daten sollten grundsätzlich nur über verschlüsselte Verbindungen abgewickelt werden.

Auch die Sicherheitsfirma F-Secure warnt vor Panikmache. In einem Blogpost heißt es: "Wer WPA2 letzten Samstag knacken konnte, der kann es auch jetzt - wer es nicht konnte, der kann es auch jetzt noch nicht. Mittel- bis langfristig wird sich das ändern, bis dahin sollten aber Updates verfügbar sein."

Angriffe meist gegen Clients, nicht gegen Infrastruktur

Richtig ist außerdem, dass selbst ein erfolgreicher Angriff nicht die gesamte Infrastruktur betrifft. Die funktional am weitesten entwickelten Angriffe richten sich gegen die 802.11-Implementierung verschiedener Clients, insbesondere bei Android-Smartphones. Der Angriff ermöglicht es, einen Teil des Traffics dieser Stellen mitzuschneiden - aber eben nicht den restlichen Traffic des Netzwerkes. Es lässt sich also nicht ohne weiteres die Infrastruktur von Unternehmen übernehmen. Darauf weist unter anderem der Fritzbox-Hersteller AVM in einem Statement hin, das aber leider ansonsten mehr Fragen aufwirft als Antworten gibt.

Bislang ist Krack also eine vor allem theoretische Bedrohung für WPA2. Bis entsprechende Tools vorliegen, sollten die meisten Hersteller gepatcht haben. Um Lösungen für die Zukunft zu entwickeln, lohnt aber ein Blick in die Vergangenheit - auf das WEP-Desaster.

Was uns das WEP-Desaster für die Zukunft von WPA2 bedeutet 

eye home zur Startseite
Kondom 29. Okt 2017

Die Installation bei Let'sEncrypt läuft mit einem einfachen Skript, den Quelltext kann...

1ras 19. Okt 2017

Gegen Panik hilft vor allem Aufklärung und diese ist leider auch in den Fachmedien kaum...

bombinho 19. Okt 2017

Interessant, hast Du auch ueber die Verbreitung von Signalen (omnidirectional...

bombinho 19. Okt 2017

Da wuerde ich mir wenig Sorgen machen, sowohl das Verhalten von Maerkten, als auch das...

Vögelchen 18. Okt 2017

Zitat Golem: Danke, das bringt es sehr gut auf den Punkt! Ich fühlte mich nach dem Lesen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. PHOENIX CONTACT Electronics GmbH, Bad Pyrmont
  3. Carmeq GmbH, Berlin
  4. FILIADATA GmbH, Karlsruhe


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. täglich neue Deals
  3. 59,90€

Folgen Sie uns
       


  1. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  2. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  3. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  4. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  5. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  6. Open Source

    Microsoft liefert Curl in Windows 10 aus

  7. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  8. Tencent

    Lego will mit Tencent in China digital expandieren

  9. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  10. Matthias Maurer

    Ein Astronaut taucht unter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IT-Sicherheit: Der Angriff kommt - auch ohne eigene Fehler
IT-Sicherheit
Der Angriff kommt - auch ohne eigene Fehler
  1. eID Willkommen in der eGovernment-Hölle
  2. Keeper Security Passwortmanager-Hersteller verklagt Journalist Dan Goodin
  3. Windows 10 Kritische Lücke in vorinstalliertem Passwortmanager

Elektroauto: War es das, Tesla?
Elektroauto
War es das, Tesla?
  1. Elektroauto Norwegische Model-S-Fahrer klagen gegen Tesla
  2. Erneuerbare Energien Tesla soll weitere Netzspeicher in Australien bauen
  3. Elektroauto Teslas Probleme mit dem Model 3 sind nicht gelöst

Datenschutz an der Grenze: Wer alles löscht, macht sich verdächtig
Datenschutz an der Grenze
Wer alles löscht, macht sich verdächtig
  1. Verwaltung Barcelona plant Wechsel auf Open-Source-Software
  2. US-Grenzkontrolle Durchsuchung elektronischer Geräte wird leicht eingeschränkt
  3. Forschungsförderung Medizin-Nobelpreisträger Rosbash kritisiert Trump

  1. Re: Sinnlos

    Hotohori | 20:38

  2. Tarif mit echtem Prepaid?

    Kondom | 20:38

  3. Re: Das darf zum trend werden bitte mit der...

    countzero | 20:35

  4. Re: GSM noch mind. 5 Jahre

    Matt00 | 20:34

  5. Ob Vodafone dann LTE für Drittanbieter freischaltet?

    Gaius Baltar | 20:27


  1. 19:16

  2. 17:48

  3. 17:00

  4. 16:25

  5. 15:34

  6. 15:05

  7. 14:03

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel