Rund drei Monate nachdem herauskam, dass die WLAN-Verschlüsselung WPA2 geknackt werden kann, sind viele Geräte immer noch nicht sicher. Nutzer müssen sich aber trotzdem keine allzu großen Sorgen machen.

Im Oktober 2017 veröffentlichten Forscher der Universität Leuven in Belgien einen für die IT-Welt katastrophalen Bericht. Der Verschlüsselungsstandard WPA2, der in Milliarden Geräten weltweit für eine sichere WLAN-Verbindung sorgen soll, war geknackt worden.

Die Sicherheitslücke wurde KRACK getauft, als Abkürzung für Key Reinstallation Attack. WPA2 galt bis dahin als absolut sicher. Seit 2006 ist die Verschlüsselung verpflichtend für alle Geräte mit WiFi-Zertifizierung. Betroffen waren also nahezu alle WLAN-fähigen Geräte der vergangenen zwölf Jahre.

Viele Geräte bleiben ohne Update

Was hat sich seit Oktober getan? Die gute Nachricht: Die Sicherheitslücke kann mittels eines Patch gestopft werden. Die schlechte Nachricht: Längst nicht alle Geräte bekommen das notwendige Update. "Die großen Hersteller - etwa Microsoft, Apple und Samsung - versorgen ihre aktuellen Geräte mit Updates", sagt Dennis Schirrmacher vom Fachmagazin "c't". Auch weit verbreitete Router wie die Fritzboxen bekämen automatische Updates.

"Bei älteren Routern und vielen andern WLAN-Geräten passiert jedoch nichts." Das betrifft besonders auch das "Internet der Dinge": Geräte wie Smart-TVs oder Drucker werden in den meisten Fällen kein Update bekommen, besonders ältere Geräte nicht. Manuelle Updates sind für Laien nicht einfach, vielen Geräten bleibt die Sicherheitslücke also erhalten.

Hoher Aufwand schützt private Nutzer

Aber wie hoch ist das Risiko, ohne Update per WPA2-Verschlüsselung zu surfen? "Der Aufwand ist für den Angreifer trotz der Lücke immer noch sehr hoch", sagt Schirrmacher. "Das lohnt sich nur bei besonders attraktiven Angriffszielen, wie etwa Industriespionage." Im privaten Raum haben WLAN-Nutzer hingegen wenig zu befürchten.

Das liegt an der Schwachstelle, die KRACK ausnutzt. Grob vereinfacht werden bei WPA2 Datenpakete mit einem einmaligen Nummernschlüssel gesichert, der nicht mehrfach benutzt werden kann. Diese Schlüssel werden zwischen den Geräten ausgetauscht und können nicht ausgelesen werden. Beim Versuchsaufbau zu KRACK wurde dieser Schlüssel durch Manipulation des Funkverkehrs abgefangen. Der Empfänger wird in der Zeit blockiert und empfängt nur unvollständige Daten. Es kommt daher zur Wiederholung der Sendung - bei der nun derselbe Nummernschlüssel wie zuvor verwendet wird. Das Prinzip des einmaligen Schlüssels wird also ausgehebelt. Genaue Erklärungen dazu haben die Forscher der Universität Leuven auf einer Internetseite veröffentlicht.

Angreifer müssten also den WLAN-Funkverkehr manipulieren können. Bei der geringen Reichweite von heimischen Routern müssten sie dazu schon sehr nah an die Geräte herankommen. Bei öffentlichen Netzwerken, zum Beispiel auf Flughäfen oder in Cafés, besteht eher ein Risiko. Doch auch hier ist ein gezielter Angriff schwer umzusetzen. Zusätzlich können sich Nutzer durch den Einsatz eines vertrauenswürdigen VPN-Dienstes schützen.

Rückschritt keine Lösung

Auf keinen Fall sollte daher auf die älteren WPA oder WEP-Verschlüsselungen umgestiegen werden. Diese können mit viel geringerem Aufwand entschlüsselt werden. Unsicher ist WPA2 aber trotzdem. Die WiFi Alliance kündigte als Reaktion im Januar auf der Technikmesse CES in Las Vegas die Weiterentwicklung WPA3 an. Diese Verschlüsselung soll nicht nur die KRACK-Lücke schließen, sondern auch Netzwerke besser schützen können, die nur mit einem schwachen Passwort gesichert sind.

Matteo Cagnazzo vom Institut für Internet-Sicherheit in Gelsenkirchen weist aber darauf hin, dass auch WPA3 keine Sicherheit für alle verspricht: "Es ist nicht gesagt, das ältere Geräte mit WPA3 kompatibel sind oder Updates bekommen. Wenn sie schon kein Update für KRACK bekommen haben, ist es noch unwahrscheinlicher." Es könnten also Neuanschaffungen nötig sein, um mehr Sicherheit zu erlangen. Genaue Informationen zur Kompatibilität stehen noch aus, ebenso ein genaues Veröffentlichungsdatum. Dieses Jahr soll es aber noch so weit sein.