Das Verschlüsselungsprotokoll WPA2 galt bislang als sicher, wenn es um die WLAN-Nuttzung auf dem Smartphone oder Computer geht. Doch nun haben Forscher eine gravierende Sicherheitslücke entdeckt. Hacker könnten sämtliche Daten abhören und manipulieren.
Ob Firmendaten auf dem Notebook, Urlaubsfotos auf dem Smartphone oder Filme auf dem Fernseher - diverse Daten werden heute kabellos über das WLAN-Netzwerk transportiert. Wer dabei das weitverbreitete Verschlüsselungsprotokoll WPA2 nutzt, galt bislang als abgesichert vor Hackerangriffen.
Zugriff auf Kreditkartendaten und Passwörter
Doch nun schlagen Forscher der Katholischen Universität Löwen in Belgien Alarm. Eine Sicherheitslücke ermöglicht es Kriminellen offenbar, sämtliche übertragene Daten abzuhören, mitzuschneiden oder zu manipulieren - trotz WPA2. Hacker können durch die Schwachstelle in WPA2 einen WLAN-Schlüssel erneut installieren bzw. den bestehenden Schlüssel mit einem leeren Schlüssel überschreiben. Auf diesem Weg können sich die Kriminellen Zugang zu den übertragenen Inhalten verschaffen.
Theoretisch lassen sich auf diesem Weg sämtliche Datenpakete abgreifen - ob Kreditkartendaten, Passwörter, Chatbotschaften oder E-Mails - unabhängig vom genutzten Endgerät und vom installierten Betriebssystem. Mögliche Opfer könnten damit Kunden aller namhaften Anbieter sein - von Apple, Microsoft, Android bis hin zu Linux.
Angriff nur in Reichweite möglich
Allerdings schränken die Forscher ein, dass der als KRACK (key reinstallation attacks) bezeichnete Angriff nur dann möglich ist, wenn sich das anvisierte WLAN-Netzwerk in Reichweite verbindet. Je nach Qualität des WLAN-Netzes können das bis zu mehrere 100 Meter sein. Ein Angreifer muss sich damit nicht unbedingt im gleichen Raum oder gleichen Gebäude aufhalten.
Zudem kann ein Datenangriff durch zusätzliche Sicherheitsstandards wie z.B. das Übertragungsprotokoll HTTPS oder die Nutzung virtueller privater Netzwerke (VPN) erschwert werden. Bisher sind noch keine Fälle bekannt, die die Sicherheitslücke au sgenutzt haben.
Verzicht auf Online-Banking
Die Verunsicherung ist dennoch groß. Die amerikanische Sicherheitsorganisation US-Cert warnt vor möglichen Datenangriffen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, "WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online-Banking und Online-Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen."
Diverse Hersteller haben angekündigt ihre Geräte zeitnah mit einem Sicherheitsupdate auszustatten, das die Lücke schließen soll. Microsoft soll z.B. bereits ein Sicherheitsupdate durchgeführt haben. Bleibt die Reaktion eines Herstellers aus, sollten sich Kunden direkt nach einem Patch für ihr Gerät erkundigen. Eine einfache Änderung des WLAN-Schlüssels reicht nach Aussagen der Forscher nicht aus. sg