News
Auswirkungen der aktuellen WPA2-Sicherheitslücke (KRACK)

Auswirkungen der aktuellen WPA2-Sicherheitslücke (KRACK)

Eine aktuelle Sicherheitslücke betrifft Wireless LAN-Verbindungen, die mit dem Verfahren WPA2 verschlüsselt sind.
Es handelt sich dabei um eine Sammlung von 10 einzelnen Schwachstellen, durch die in bestimmten Konstellationen verschlüsselte WLAN-Verbindungen abgehört werden können.

Eine dieser Schwachstellen (CVE-2017-13082) betrifft prinzipiell auch einige der Wireless Access-Points an der Leibniz Universität Hannover. Dieses steht im Zusammenhang mit dem Feature Fast Transition (FT), welches aber bei uns derzeit nicht aktiviert ist. Somit hat diese Schwachstelle in unserem WLAN keine Auswirkungen.

Die restlichen 9 Schwachstellen betreffen die WLAN-Clients und können nur dort beseitigt werden. Es ist daher wichtig, dass Sie Ihre WLAN-Clients durch einen Patch absichern, sobald dieser für Ihr Gerät verfügbar ist.
Bis dahin sollten Sie Vorsicht bei der Übertragung sensibler Daten über WLAN-Verbindungen mit dem entsprechenden Gerät walten lassen. Achten Sie in diesem Fall auf eine SSL/TLS-Verschlüsselung innerhalb der jeweiligen Anwendung und nutzen Sie im Zweifelsfall eine VPN-Verbindung.
Diese Vorsichtsmaßnahmen betreffen auch WLAN-Verbindungen im privaten Bereich, z.B. über DSL-Router.

Verschiedene Betriebssystemhersteller haben bereits Updates veröffentlicht:

  • Für Windows wurde die Lücke mit den am 10.10. veröffentlichten Updates beseitigt.
    Microsoft weist aber darauf hin, dass auch die WLAN-Treiber aktualisiert werden sollten, da die Lücke ansonsten in bestimmten Betriebsmodi ggf. weiterhin ausgenutzt werden kann.
  • Für verschiedene Linux-Distributionen wurden in den letzten Tagen ebenfalls bereits Updates des Pakets "wpa_supplicant" veröffentlicht.
  • Apple hat das Problem in den Beta-Versionen macOS 10.13.1 und iOS 11.1 beseitigt, für offizielle Releases ist dies demnächst zu erwarten.
  • Android-Geräte sind vom Support des jeweiligen Herstellers abhängig.


Weitere Hinweise finden Sie in der Pressemitteilung des BSI:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/WPA2Verschuesselung_16102017.html

Eine Liste mit Links zu Seiten einzelner Hersteller mit Hinweisen und Updates findet sich unter:
https://www.heise.de/security/meldung/KRACK-Hersteller-Updates-und-Stellungnahmen-3863455.html