Nachdem Mathy Vanhoef, ein Sicherheitsforscher der Universität Löwen, die Sicherheitslücke KRACK in der WPA2-Verschlüsselung öffentlich gemacht hat, erklärte das Bundesamt für Sicherheit und Informationstechnik (BSI) rasch die Übertragung sensibler Daten über WLAN-Netze am Montag als unsicher. Durch die Sicherheitslücke können Angreifer einen „Man-In-The-Middle“-Angriff auf WPA2-gesicherte Netzwerke durchführen und so gegebenenfalls Daten mitlesen und manipulieren. Dennoch: Wesentliche neue Bedrohungen ergeben sich für Internet-Nutzer nicht. Insbesondere, da schon vor dem Bekanntwerden der KRACK-Attacke Sicherheitsupdates veröffentlicht wurden, lässt sich die Vermutung anstellen, dass diese Lücke schon seit längerem vorhanden war und ausgenutzt wurde.

 

Auf die weitere Verschlüsselung kommt es an 

Auch in öffentlichen Netzwerken ist es möglich, sensible Daten zu übermitteln – dabei ist es jedoch wichtig, auf die Verschlüsselung der Datenübertragung mittels TLS/SSL zu achten. Sie wird von so gut wie allen Websites verwendet, auf denen ein Transfer von gefährdeten Informationen stattfindet. Im Browser selbst ist die gesicherte Übertragung mit einem voranstehenden https und einem grünen Schloss gekennzeichnet. Dies war bereits vor der KRACK-Attacke der Fall.

Generell gilt: Nachrichten mit potentiell sensiblen Inhalten sollten immer verschlüsselt werden. Dazu ist im besten Fall eine Ende-zu-Ende-Verschlüsselung wie SMIME oder PGP zu verwenden.

 

Updates können die Lücke schließen

Die Hersteller unterschiedlicher Betriebssysteme und Geräte haben schon vorgesorgt und die Lücke mit einem Sicherheitsupdate geschlossen. Das Sicherheitsrisiko besteht vor allem für Geräte, auf denen Linux oder Android läuft und die keine Möglichkeit mehr haben, auf neuere Versionen upzudaten.

Die KRACK-Attacke zeigt erneut, wie wichtig die Verschlüsselung sensibler Daten ist. Zudem ist absolut wesentlich, dass Online-Banking, Shopping oder der Versand von sicherheitsrelevanten Nachrichten nicht nur mit einer Verschlüsselungsmethode abgesichert werden sollten.