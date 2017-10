Mögliche Gefahr beim Onlinebanking - Wlan-Sicherheitslücke: Experten sehen keinen Grund zur Panik

17.10.17 | 15:49 Uhr

Onlinebanking, Internet-Shopping oder Mailen per Wlan - das könnte gefährlicher sein als bislang gedacht. Denn Forscher haben eine Sicherheitslücke in der Verschlüsselung WPA2 entdeckt. Was das konkret bedeutet, ist allerdings umstritten.

Internetexperten in Belgien haben gravierende Sicherheitslücken im gängigen Verschlüsselungsprotokoll WPA2 entdeckt, mit dem Wlan-Hotspots abgesichert werden. Die Lücken ermöglichen es Hackern, sensible Daten mitzulesen und zu manipulieren, teilten die Sicherheitsforscher der Katholischen Universität Löwen mit. Gefährdet sind demnach Kreditkartendaten, Passwörter, Chat-Botschaften, E-Mails und Fotos.

Über die Konsequenzen aus dieser Attacke sind Experten jedoch uneins. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet dazu, zunächst auf Online-Banking und Online-Shopping in einem mit WPA2 gesicherten Wlan zu verzichten. Man solle sein Wlan-Netzwerk so behandeln, als sei es ein öffentliches. Sicher seien derzeit nur das kabelgebundene Surfen oder Mobilfunkverbindungen. Allerdings bieten so gut wie alle Online-Händler einen verschlüsselten Übertragungsweg an, der nicht vom WPA2-Standard des Wlans abhängt.



Chaos-Computer-Club: Warnung überzogen

Der Appell des BSI stößt bei Experten auf Kritik. So geht etwa dem Chaos-Computer-Club (CCC) diese Warnung des BSI zu weit. "Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen Wlan als überzogen, wenn die Kanäle jeweils selbst verschlüsselt sind", sagte der CCC-Sprecher Linus Neumann. Solche Verschlüsselungen liefen etwa über das Internetprotokoll https:// oder eine VPN-Verbindung. Vermutlich rate das BSI an dieser Stelle zu der erhöhten Vorsichtsmaßnahme, da Laien nicht immer wüssten, wie sie eine sichere Datenübertragung gewährleisten. Auch Branchenverbände wie Bitcom relativierten die Warnung und verwiesen auf die Möglichkeit einer zusätzlichen Verschlüsselung. Es gebe keinen Anlass für eine "Hysterie". Ähnlich argumentierte auch der Branchenverband Wifi Alliance, ein Zusammenschluss von Unternehmen, in dem auch Apple, Microsoft und Google vertreten sind.

Updates für Endgeräte, nicht für Router

Sandro Gaycken, Direktor des Digital Society Institute in Berlin, plädierte im rbb ebenfalls für einen eher entspannten Umgang mit der Sicherheitslücke. "Als Bundesbehörde warnt man natürlich immer ein bisschen mehr als zu wenig", sagte Gaycken auf Radioeins. Es sei zwar berechtigt zu warnen. Jemand, der wisse, wie diese Lücke funktioniert, und direkt vor dem Haus stehe, könne theoretisch Datenverkehr mitlesen. Dafür müssten jedoch noch weitere Schwachstellen hinzukommen. So müsste etwa beim Onlinebanking eine Bankwebseite schlecht gesichert sein, was normalerweise nicht mehr der Fall sei. "Es ist prinzipiell möglich, wir gehen aber in der Praxis nicht davon aus, dass da jetzt allzu viele Dinge passieren." Etwas gefährlicher sei es für Unternehmen. Hier gebe es theoretisch die Möglichkeit, Unternehmenspasswörter über die Wlans abzuhören, um diese für Angriffe zu verwenden. "Aber das ist ein anderes Szenario als das, vor dem jetzt das BSI warnt." Die angkündigten Sicherheitsupdates seien nicht für die Router notwendig, sondern für die Endgeräte wie Laptops und Handys, erklärte Gaycken.

Wohl Geräte aller Hersteller betroffen

WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eins WLANs, das bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert. Die Forscher in Löwen entdeckten nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem Wlan ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken. Vermutlich seien Geräte aller Hersteller von den Fehlern betroffen. Besonders gefährdet sind laut BSI Geräte mit Android und Linux-Betriebssystemen. Bei Windows- und Apple-Betriebssystemen könnten die Schwachstellen derzeit nicht in vollem Umfang ausgenutzt werden. Die Attacke, mit der die Wissenschaftler die Sicherheitslücken aufgezeigt haben, nannten sie "Krack". WPA2 soll sicherstellen, dass sich unberechtigte Nutzer nicht in ein Wlan einloggen können. Außerdem soll das Verschlüsselungsverfahren verhindern, dass drahtlos übertragene Daten von Unbefugten mitgeschnitten werden und auf dem Übertragungsweg manipuliert werden können.

Passwort ändern bringt aktuell nichts

Bislang gibt es nach Auskunft von WiFi Alliance keine Anzeichen dafür, dass die von den Forschern entdeckten Sicherheitslücken in WPA2 bereits von Computerkriminellen ausgenutzt werden. Die "Krack"-Attacke kann nur in räumlicher Nähe des Wlan-Hotspots ausgeführt werden und es brauche dafür ein hohes Maß an Fachwissen. Vom CCC hieß es dazu allerdings, ein erfolgreicher Angriff würde erst im Schadensfall bemerkt. Jetzt das Wlan-Passwort zu ändern, schütze nicht vor einer möglichen derartigen Attacke, hieß es von den Forschern.



AVM: "Fritzbox" nicht betroffen

WiFi Alliance kündigte Sicherheitsupdates an, um die Lücke zu schließen. Erste Anbieter von Geräten und Software haben die Schwachstelle bereits gestopft. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, Netgear, Ubiquiti und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei Microsoft wurde die Sicherheitslücke bereits in den frisch veröffentlichten Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst für alle verfügbar sein sollten. Der in Deutschland populäre Internet- und Wlan-Router "Fritzbox" ist nach Angaben des Berliner Herstellers AVM von der Sicherheitslücke nicht betroffen. Das Gerät verwende als Access Point die betroffene Norm 802.11r nicht. Ob die Sicherheitsupdates auch für ältere Versionen der Betriebssysteme kommen werden, ist allerdings bislang unklar. Experten gehen insbesondere beim Google-Betriebssystem Android davon aus, dass etliche Gerätehersteller nur mit großer zeitlicher Verzögerung oder gar nicht ein Update liefern werden.