Verantwortung

Alexia Sailer

53 Kommentare

Fakten zur Schwachstelle im WPA2-Sicherheitsprotokoll für WLAN

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Forscher der Katholischen Universität Leuven haben unter dem Namen Krack (Krack steht für key reinstallation attacks) Angriffe auf den Sicherheitsstandard WPA2 publiziert, der derzeit herstellerübergreifend zur Absicherung von drahtlos Netzwerken (WLAN) eingesetzt wird.

Update vom 10.11.2017: 

Die Deutsche Telekom steht seit dem Bekanntwerden der WPA2-Schwachstelle mit allen Herstellern aus ihrem Smartphone-Portfolio in Kontakt, um Informationen über anstehende Software-Updates zu erhalten.

Folgende Informationen haben wir erhalten:

  • Android: Mit dem Android Security Patch Level vom 6. November 2017 oder neuer ist die Sicherheitslücke behoben.
  • iOS (Apple):  Die Sicherheitslücke wurde bereits mit iOS 11.1 geschlossen.
  • Google: Die von Google bereitgestellten Sicherheits-Patches stehen für erste Endgeräte bereit.

------------------------------

Update vom 24.10.2017:

Inzwischen wurden folgende Telekom Geräte identifiziert, deren WLAN-Funktion von der WPA2 Schwachstelle betroffen ist:

  • Qivicon Home Base 2.0:
    Die Version 2.0 der Qivicon Home Base ist von der WPA2-Schwachstelle betroffen, sofern diese über WLAN in das Heimnetzwerk integriert wurde. Ein Softwareupdate ist bereits in Arbeit. Kunden müssen sich selbst um nichts kümmern, das Update wird automatisch an alle aktiven Geräte verteilt, sobald es bereit steht. Um ein mögliches Risiko im Zusammenhang mit der WPA2-Schwachstelle auszuschließen, können Kunden bis dahin die Qivicon Home Base 2 alternativ per LAN-Kabel direkt mit dem Router verbinden. Details zu dem betroffenen Produkt finden Sie hier.
  • Speedport W100 Repeater:
    Der Speedport W100 WLAN-Repeater ist ebenfalls betroffen. Hierbei handelt es sich um ein älteres Gerät[SA1] , für das die Gerätehersteller keine Softwareupdates mehr zur Verfügung stellen. Daher empfehlen wir den Austausch des W100 durch ein aktuelles Gerät. Details zu dem betroffenen Produkt finden sie hier. Details zu einem möglichen Austauschgerät von Devolo finden Sie hier.
  • Speedport W100 Bridge, W101 Bridge, W102 Bridge und Speed Home Bridge:
    Die oben genannten WLAN-Bridges sind von der WPA2-Schwachstelle betroffen. Bei den WLAN-Bridges W100 Bridge, W101 Bride und W102 Bridge  handelt es sich um ältere Geräte, für die die Gerätehersteller keine Softwareupdates mehr zur Verfügung stellen. Für die aktuelle Speed Home Bridge werden wir ein Update bereitstellen. Sobald fertiggestellt, werden wir das Update automatisch verteilen. Kunden müssen nicht selbst tätig werden.
    Sollten sie eine der älteren Speedport W10x Bridges nutzen, so empfehlen wir Ihnen den Wechsel auf unsere aktuelle Speed Home Bridge. Details zu den betroffenen WLAN-Bridges Speedport finden sie hier: W100, W101 und W102. Details zur aktuellen Speed Home Bridge finden Sie hier.

------------------------------

Update vom 20.10.2017: 

Die Prüfung der Speedport-Router-Serie der Telekom ist abgeschlossen. Die Speedport-Router sind von der Schwachstelle im WPA2-Sicherheitsprotokoll für WLAN nicht betroffen.

------------------------------

Die wichtigsten Erkenntnisse, Hinweise und Tipps in Kürze:

  • Durch die möglichen Angriffe wird die Sicherheit des WPA2-Standards nicht vollständig gebrochen.
  • Ein erfolgreicher Krack-Angriff ist nur dann möglich, wenn man sich in Reichweite eines WLAN mit verwundbaren Komponenten befindet.
  • Eine generelle Angreifbarkeit über das Internet besteht wegen Krack nicht.
  • WLAN-Access Points (zum Beispiel WLAN-Router) sind nach aktuellem Kenntnisstand nur dann betroffen, wenn diese die WLAN-Funktionen „schnelles Roaming“ (Standard 802.11r) und „vermaschtes WLAN-Netz“ (WLAN-Mesh, Standard 802.11s) unterstützen.
  • Die Deutsche Telekom prüft, welche eigenen Produkte von der Krack-Schwachstelle betroffen sind. Unsere Lieferanten analysieren derzeit die Sicherheit ihrer WLAN-Komponenten. Wir werden zeitnah informieren, welche Telekomprodukte von Krack betroffen sind.
  • Für betroffene Produkte werden dann zeitnah Updates bereitgestellt und, wo möglich, auch automatisch an die Geräte verteilt.
  • Die Deutsche Telekom schätzt das Risiko, Opfer eines Krack-Angriffs zu werden, derzeit als gering ein. Zur absoluten Sicherheit müssten WLANs allerdings komplett abgeschaltet werden.
  • Zusätzliche Sicherheitsprotokolle, wie beispielsweise das HTTPS-Protokoll beim Surfen im Internet oder eine VPN-Verbindung sind von Krack nicht betroffen. Daher ist beispielsweise die Übertragung von vertraulichen Daten zu Telekomdiensten wie Mails von t-online weiterhin geschützt.
  • Aktuell gehen wir von gar keiner oder von einer sehr eingeschränkten Betroffenheit unserer WLAN-Router aus, da unsere Geräte die bei einem Access Point betroffenen WLAN-Standards nicht implementieren.
  • Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar.
  • Prüfen Sie regelmäßig, ob für Ihre WLAN-fähigen Geräte Softwareupdates zur Verfügung stehen und spielen Sie verfügbare Updates zeitnah ein.

Im Detail:

Alle Telekom Produkte mit WLAN-Funktion unterstützen WPA2, und bei unseren WLAN-Zugangspunkten ist WPA2 zusammen mit einem sicheren WLAN-Passwort als Sicherungsmechanismus voreingestellt.

Die Krack-Angriffe werden durch Ungenauigkeiten in den WLAN-Spezifikationen ermöglicht, und sie betreffen grundsätzlich alle Hersteller von Geräten mit einer WLAN-Funktion. Durch die möglichen Angriffe wird die Sicherheit des WPA2-Standards jedoch nicht vollständig gebrochen. Unter bestimmten Rahmenbedingungen ist es vielmehr möglich, einzelne Sicherheitsmechanismen eines WLAN auszuhebeln: Ein erfolgreicher Angreifer kann beispielsweise die Kommunikation eines Rechners oder Smartphones im WLAN mitlesen oder gar manipulieren; beides sollte eigentlich durch WPA2 und die WLAN-Verschlüsslung verhindert werden.

Ein erfolgreicher Krack Angriff ist allerdings nur dann möglich, wenn man sich in Reichweite eines WLAN mit verwundbaren Komponenten befindet. Eine generelle Angreifbarkeit über das Internet besteht wegen Krack also nicht. Ob ein Gerät mit WLAN-Funktion verwundbar ist, hängt von seinem Betriebsmodus, von den Einstellungen und implementierten WLAN-Funktionen ab.

Primär von Krack betroffen sind WLAN-fähige Geräte, die sich in ein bestehendes WLAN-Netzwerk einbuchen, also beispielsweise Smartphones, Tablets, PCs, Smart TVs oder auch WLAN-Repeater zur Verlängerung der Reichweite eines WLAN.
WLAN-Access Points (z.B. WLAN-Router) sind nach aktuellem Kenntnisstand nur dann betroffen, wenn diese die WLAN-Funktionen „schnelles Roaming“ (Standard 802.11r) und „vermaschtes WLAN-Netz“ (WLAN-Mesh, Standard 802.11s) unterstützen.

Sofort nach dem Bekanntwerden der Schwachstelle hat die Deutsche Telekom die Prüfung eingeleitet, welche eigenen Produkte von der Krack-Schwachstelle betroffen sind. Unsere Lieferanten analysieren derzeit die Sicherheit ihrer WLAN-Komponenten. Wir werden zeitnah informieren, welche Telekomprodukte von Krack betroffen sind. Für betroffene Produkte werden dann zeitnah Updates bereitgestellt und, wo möglich, auch automatisch an die Geräte verteilt.

Im Folgenden haben wir einige Fragen und Antworten bereitgestellt, die Ihnen bei der Einordnung der WPA2-Schwachstelle helfen sollen:

  1. Muss man wegen der WPA2-Sicherheitslücke sein WLAN-Passwort ändern?
    Nein, die Änderung des WLAN-Passworts verhindert einen Krack-Angriff nicht. Und durch einen Krack-Angriff kann nach aktuellem Kenntnisstand ein WLAN-Passwort auch nicht kompromittiert werden. Zum Schließen der WPA2-Schwachstelle und damit dem Verhindern eines Krack-Angriffs müssen Software-Updates für betroffene WLAN-Geräte eingespielt werden.
  2. Muss ich mein WLAN abschalten, weil nun alle meine privaten Daten mitgelesen werden können?
    Auch wenn ein Krack-Angriff durch das Abschalten des WLANs zuverlässig verhindert werden kann, so schätzt die Deutsche Telekom das Risiko, Opfer eines Krack Angriffs zu werden, derzeit nicht als so hoch ein, dass diese Maßnahme gerechtfertigt wäre. Zusätzliche Sicherheitsprotokolle, wie beispielsweise das HTTPS Protokoll beim Surfen im Internet oder eine VPN-Verbindung sind von Krack nicht betroffen. Daher ist beispielsweise die Übertragung von vertraulichen Daten zu Telekomdiensten weiterhin geschützt. Wenn Sie beispielsweise ihre Emails von t-online.de abrufen, dann bleiben diese trotz der WPA2-Schwachstelle privat.
  3. Sind Telekom Speedport Router von der WPA2-Schwachstelle betroffen?
    Die WPA2-Schwachstelle betrifft primär Geräte, die sich in ein WLAN einbuchen. Dennoch überprüfen unsere Lieferanten gerade, welche Speedport Router von der WPA2-Schwachstelle betroffen sein könnten. Aktuell gehen wir von gar keiner oder von einer sehr eingeschränkten Betroffenheit unserer WLAN-Router aus, da unsere Geräte die bei einem Access Point betroffenen WLAN-Standards nicht implementieren.
    Sobald wir betroffene Telekom Geräte identifiziert haben, werden wir darüber informieren.
  4. Welche Geräte sind nach aktuellem Kenntnisstand von der WPA2-Schwachstelle betroffen?
    Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar.
  5.  Wann wird es Software-Updates für betroffene Telekomgeräte geben?
    Sobald wir identifiziert haben, welche Telekomgeräte von der WPA2-Schwachstelle betroffen sind, werden wir darüber informieren. In diesem Zusammenhang werden wir auch kommunizieren, wann voraussichtlich ein Softwareupdates zur Verfügung gestellt wird.
    Bei allen betroffenen Telekomgeräten, die eine automatische Aktualisierung der Software unterstützen, verteilen wir die Telekom Software-Updates zum Schließen der WPA2-Schwachstelle automatisch. Daher empfehlen wir beispielsweise, bei unseren Speedport Routern die Funktion „Easy Support“ zu aktivieren.
  6. Was kann ich jetzt als Nutzer tun, um nicht Opfer eines Krack-Angriffs zu werden?
    Auch wenn ein Krack-Angriff derzeit als sehr unwahrscheinlich angesehen werden muss: wenn Sie ganz sicher sein wollen, müssten Sie ihr WLAN deaktivieren. Allerdings gehen wir derzeit von einem geringen Risiko aus, angegriffen zu werden. Prüfen Sie regelmäßig, ob für Ihre WLAN-fähigen Geräte Softwareupdates zur Verfügung stehen und spielen sie verfügbare Updates zeitnah ein.
    Es ist davon auszugehen, dass viele Hersteller in den nächsten Tagen und Wochen Updates bereitstellen werden, die die WPA2-Schwachstelle schließen und damit einen Krack-Angriff verhindern.
Frau arbeitet im Serverraum.

Sicherheit

So schützt die Telekom Systeme und Netze und damit auch die Kunden und ihre Daten.

FAQ

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Durch die Nutzung der Website {js_accept}akzeptieren{js_accept} Sie die Verwendung von Cookies. Weitere Informationen finden Sie hier.