WPA2 Sicherheit: BSI warnt, erste WLAN-Sicherheitslücken geschlossen
KRACK: Key Reinstallation Attacks. "Diese Angriffe nutzen Design- oder Implementierungsfehler in kryptografischen Protokollen zur Neuinstallation eines bereits benutzten Schlüssels aus", schreibt Mathy Vanhoef von der KU Leuven, der die Sicherheitslücke im Sicherheitsstandard WPA2 entdeckt hat, in seinem Bericht. Bislang galt WPA2 als sichere Verschlüsselung für WLANs. Wie sich herausstellte, ist WPA2 aber über kritische Schwachstellen angreifbar.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt:
"Der Sicherheitsstandard WPA2, der insbesondere zur Verschlüsselung von WLAN-Netzwerken empfohlen wird, ist über kritische Schwachstellen verwundbar. Betroffen sind demnach alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen."
Inzwischen haben verschiedene Software- und Hardware-Hersteller bereits auf die Sicherheitslücken in WPA2 reagiert und Sicherheits-Patches herausgegeben. Microsoft hat bereits mit dem Oktober-Patchday am 10. Oktober bei den Kunden mit aktivierten automatischen Updates die notwendigen Bugfixes eingespielt.
Google will für Nexus und Pixel Smartphones in den kommenden Wochen entsprechende Sicherheits-Patches verteilen. Apple hat gegenüber US-Medien bereits bestätigt, dass der KRACK-Exploit in den Betas von iOS, tvOS, watchOS und macOS behoben wurde. Wann es dann konkret die Sicherheits-Updates für alle geben wird, ist bisher aber noch nicht klar.