IT-Sicherheit

WPA2-Sicherheitslücke

Mögliche Krack-Attacke kritisch für Firmen

wpa2 sicherheitslücke
Die entdeckte WPA2 Sicherheitslücke erhöht für Firmen das Risiko, Opfer einer Krack-Attacke zu werden.

Eins vorweg: Die Berichte über die entdeckte WLAN-Sicherheitslücke Krack verbreiten vor allem Panik. In der Theorie ist nämlich jedes WLAN unsicher. Nichtsdestotrotz sollten Sie gerade bei der WLAN-Verschlüsselungstechnik WPA2 Vorsicht walten lassen. Besonders Unternehmen sind dazu aufgerufen, Daten nur verschlüsselt zu versenden – auch intern.

Was die entdeckte WPA2-Sicherheitslücke bedeutet, erfahren Sie hier.

wpa2 sicherheitslücke

Die WPA2-Sicherheitslücke erhöht für Unternehmen das Risiko für erfolgreiche Krack-Attacken.

WPA2 Sicherheitslücke: Wo ist die Schwachstelle?

Bislang galt die WLAN-Verschlüsselung WPA2 als sicher. Grundsätzlich ist sie das auch, wenn entsprechend lange und komplexe Passwörter benutzt werden, und zwar nach dem Nonce-Prinzip (englisch: „for the nonce“ bedeutet „für dies eine Mal“). Die IT-Sicherheitsforscher Mathy Vanhoef und Frank Piessens der belgischen Universität Löwen haben jedoch entdeckt, dass WLAN-Router den sogenannten Nonce mehrfach mit demselben Schlüssel verwenden bzw. mehrmals den gleichen Schlüssel an das oder die Geräte (Clients) versenden.

Das Ganze ist ein Design-Fehler der WPA2-Verschlüsselung. Um genauer zu sein, betrifft es den dafür zugrunde liegenden IEEE-Standards 802.11. Diese WPA2 Sicherheitslücke haben die beiden Experten durch Hackerangriffe auf diese WLAN-Verschlüsselung entdeckt. Diese Hacks nennen sie key reinstallation attacks, kurz: Krack.

Wie funktioniert die Krack-Attacke?

Eine Krack-Attacke funktioniert allerdings nur unter sehr spezifischen Bedingungen: Der Hacker muss sich in jedem Fall in der Nähe der WLAN-Reichweite des Netzwerks bzw. des Routers befinden, in das er durch die WPA2 Sicherheitslücke eindringen will. Erst in dem Moment, in dem sich ein Gerät (Client) mit einem Access Point (Router) mit WLAN verbinden will, passiert der Angriff.

Bildlich gesprochen reden IT-Fachleute bei diesem Vorgang von einem Handshake: Die Geräte begrüßen sich und machen sich per Handschütteln bekannt. Dabei gelingt es den Angreifern, die Geräte so zu manipulieren, dass sie einen bereits genutzten Schlüssel nochmals verwenden können. Schon hat sich der Hacker „reingekrackt“, kann mitlesen und in einigen Fällen auch Daten manipulieren. Letzteres sei laut Experten jedoch von den genauen Einstellungen des Netzwerks abhängig.

ABER: Die meisten Informationen im Netz werden mittlerweile verschlüsselt mittels HTTPS-Protokoll übertragen – zu erkennen an dem kleinen Schloss-Symbol in der Adresszeile Ihres Browsers. Das erschwert es anderen, mitzulesen. Krack-Attacken können so auch keine WLAN-Passwörter entschlüsseln oder stehlen. Detailliert berichten die belgischen IT-Experten in einem 16-seitigen Paper über ihren Angriff auf den Handshake. Der Titel: Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2.

wpa2 verschlüsselung

WPA2 Sicherheitslücke: Verschlüsseln Sie Ihre Daten und Kommunikation.

WPA2 Sicherheitslücke kritisch für Unternehmen

Für Unternehmen ist diese WPA2 Sicherheitslücke jedoch kritisch, was die Datensicherheit betrifft. Und es erhöht Ihr Risiko, Opfer potenzieller Cyberangriffe oder Wirtschaftsspionage zu werden. Sie sollten daher auch Ihre internen Netze zusätzlich abschotten.

Für Ihre Mitarbeiter heißt das, sich so zu verhalten, als wenn sie Freies WLAN nutzen. Sie sollten auch die interne drahtlose Datenübertragungen mithilfe eines virtuellen privaten Netzwerks (VPN) verschlüsseln. Denn auch wenn ein Hacker die Daten in Ihrem Netz sehen kann, nutzt ihm das erst einmal noch nichts, wenn sie verschlüsselt sind. Er bräuchte erst den Schlüssel, um die Daten zu entschlüsseln.

Dennoch sollten Sie die von einigen Herstellern und der Wi-Fi Alliance angekündigten Sicherheitsupdates zügig installieren – das gilt auch für die privaten Endgeräte Ihrer Mitarbeiter, die mit dem Firmennetzwerk verbunden sind.

WPA2 Sicherheitslücke trotzen – Ihre To Dos

  1. Drahtlose Datenübermittelung mittels VPN verschlüsseln – auch intern bzw. wenn möglich, kabelgebundene LAN-Verbindung nutzen.
  2. Passende Sicherheitsupdates so schnell wie möglich installieren.

WPA2 Sicheheitslücke: Mitarbeiter sensibilisieren, Hersteller kontaktieren

Arne Schönbohm, Präsident des Bundesministeriums für Sicherheit in der Informationstechnik (BSI), erklärt in einer Pressemitteilung: „Unternehmen sollten ihre Mitarbeiter sensibilisieren und geeignete Maßnahmen zur Absicherung ihrer Firmennetzwerke ergreifen. Sicherheitsupdates wurden bereits von verschiedenen Herstellern angekündigt und sollten umgehend durch den Nutzer eingespielt werden, sobald sie zur Verfügung stehen.“

Im Industrieumfeld sollten Betroffene auf ihren Anlagenbauer oder Hersteller etwaiger verbauter WLAN-Komponenten zugehen,heißt es weiter. Die WPA2 Sicherheitslücke würde insbesondere Geräte mit Android und Linux-Betriebssystemen betreffen. Windows- und Apple-Betriebssysteme seien eingeschränkt betroffen. Es können, was Windows betrifft, „die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden.“ Microsoft hat nach eigenen Angaben mit seinen Oktober-Updates die WPA2 Sicherheitslücke bereits geschlossen. Es müsse nur eingespielt werden.

Generell bietet sich für Unternehmen immer ein IT-Sicherheitscheck an. Dabei protokollieren die IT-Dienstleister des IT-SERVICE.NETWORK etwa 30 Tage lang Angriffe auf Ihre Infrastruktur und testen Ihre IT-Systeme auf Probleme und Schwachstellen.

Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen