Durch gezielte KRACK-Angriffe auf Funknetze können Dritte mit etwas Aufwand Daten mitlesen, die eigentlich durch durch WPA2-Verschlüsselung geschützt sein sollten. Die größte Gefahr bedeutet KRACK für Umgebungen, in denen mit gezielten Angriffen vor Ort gerechnet werden muss. Also etwa in Firmen, die sich über Industrie-Spionage Gedanken machen müssen. Die konkrete Gefahr für Endanwender ist hingegen vergleichsweise gering.

Ernstes Problem, aber kein GAU

Eine Analyse von Jürgen Schmidt Jürgen Schmidt - aka ju - ist Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei c't. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Das KRACK kein GAU für das Internet ist, liegt zuallererst daran, dass wichtige Dinge wie das Online-Banking, Anmeldevorgänge und sogar das Lesen der heise-Online-News im Browser durch eine zusätzliche Verschlüsselung gesichert sind. Und die TLS-Verschlüsselung, die für https-Verbindungen zum Einsatz kommt, ist durch KRACK nicht gefährdet. Man fällt durch KRACK sozusagen auf das Sicherheits-Niveau zurück, das man etwa beim Surfen an einem offenen Hotspot hat. Das ist nicht schön, aber für viele Dinge durchaus ausreichend.

Als zusätzliches Handicap für Angreifer kommt hinzu, dass KRACK nur in unmittelbarer Nähe des Ziels funktioniert. Ein Angreifer muss in der Lage sein, die Funksignale zu empfangen und selbst welche abzusetzen, die WLAN-Router und Endgerät empfangen können. Das macht massenhafte Angriffe in großen Stil nahezu unmöglich; nicht jedoch gezielte Attacken auf einzelne Netze, in denen der Angreifer Daten mit sehr hohem Wert vermutet.

Durch das Mitschneiden von übertragenen Daten können Angreifer unter Umständen auch Verbindungen kapern (etwa über abgefangene TCP Sequenznummern). Eine aktive Teilnahme am WPA2-gesicherten WLAN erreichen sie jedoch nicht; insbesondere können sie via KRACK nicht das WLAN-Passwort knacken. Besonders schwer betroffen sind Linux-basierte Geräte, also insbesondere auch Android-Smartphones und -Tablets. Weniger gravierend sind die Auswirkungen von KRACK auf Windows und iOS, da deren Entwickler sich nicht ganz eng am WPA2-Standard orientiert haben.

Wie schütze ich mich?

Anwender, die ein oder mehrere von KRACK betroffene Geräte im Einsatz haben – also nahezu alle – haben derzeit nicht viele Optionen, sich zu schützen. Sie können, wie vom BSI empfohlen, auf die Nutzung von WLAN zumindest für sensible Dinge wie Online-Banking und -Shopping mit Bezahlvorgängen verzichten und statt dessen wieder ein Netzwerkkabel ins Notebook stöpseln. Schon beim Smartphone oder Tablet wird das allerdings schwierig.

Außerdem sollte man natürlich die langsam eintrudelnden Sicherheits-Updates so schnell wie möglich einspielen. Und schließlich hilft es, verstärkt auf die ohnehin empfehlenswerte TLS-Verschlüsselung, also bei Web-Seiten auf das "https" in der Adressleiste zu achten. Noch mehr Schutz bieten Applikationen wie WhatsApp, Signal, Threema oder PGP, die auf Ende-zu-Ende-Verschlüsselung setzen und ohnehin davon ausgehen, dass im zugrunde liegenden Netz "böse Dinge" passieren können.

Meine Einschätzung

Ich persönlich halte die Gefahr durch KRACK für mich und meine Daten derzeit für recht gering. Mein Nachbar ist kein Krypto-Hacker und die Wahrscheinlichkeit, dass sich etwa russische Cyber-Gangs vor meiner Haustür postieren, um mein Online-Banking zu attackieren, stufe ich als eher niedrig ein (im Vergleich zu anderen Gefahren, die mir drohen). Deshalb werde ich das Online Banking auch weiterhin an meinem Linux-Notebook im WLAN machen.

Wer allerdings allerhöchste Ansprüche an seine Sicherheit hat – sei es, weil er in seinem Netz äußerst wichtige Daten ohne zusätzliche Verschlüsselung überträgt, oder weil er mich für einen leichtsinnigen Security-Hallodri hält – der sollte sich an den Ratschlägen des BSI orientieren und zumindest für wichtige Dinge aufs WLAN verzichten und lieber zum Netzwerkkabel greifen.

(ju)