Derzeit ist in den Medien viel über eine aktuelle Sicherheitslücke im WLAN-Standard WPA2 mit dem Namen KRACK zu lesen. Was bedeutet das aber, wie ist ein Nutzer dadurch gefährdet?
Fast ausschließlich sind verschlüsselte Funknetzwerke wie das Eduroam oder viele häusliche DSL-Anschlüsse über den Standard WPA2 gesichert. In vielen dieser WLAN-Netze ist durch die Sicherheitslücke nun das Mitlesen von Datenströmen möglich. Es ist in etwa so, als ob ein Angreifer sich auf das Kabel eines kabelgebundenen Anschlusses aufklemmen könnte oder (abgesehen vom Aufwand für den Angreifer) das WLAN unverschlüsselt wäre: der Angreifer muss in räumlicher Nähe, in Funkreichweite zum Opfer sein, und der Angreifer kann die übertragenen Daten sehen. Der Angreifer kann aber nicht die WLAN-Anmeldedaten abgreifen. Die Bedrohung ist eigentlich kleiner als bei der Nutzung typischer Hotspot- oder Hotel-WLANs, die auf einem unverschlüsselten Funknetzwerk mit Login-Seite (Captive-Portal) basieren und bei denen das Mitlesen der Daten immer leicht möglich ist.
Das Mitlesen der Daten versetzt den Angreifer aber noch nicht in die Lage, wirklich alles zwischen Endgerät und Servern zu sehen, da heute viele Verbindungen TLS verschlüsselt sind. Hier ein paar Beispiele:
- Für unverschlüsselte http-Verbindungen kann der Angreifer alle Abfragen, dargestellten Inhalte, übermittelten Eingaben und insgesamt das Surfverhalten einsehen.
- Für https-Verbindungen kann der Angreifer zwar noch den Servernamen der Webseite sehen, nicht aber die konkreten Unterseiten oder Eingabedaten.
- Für Mail-Clients ist meist die Bedrohung nicht sehr hoch sondern wie bei https, da vor einiger Zeit auf breiter Basis Mail-Provider (wie auch das LUIS) auf TLS-verschlüsselte Protokolle umgestellt haben.
- Für marktübliche Chat-Applikationen gilt inzwischen ähnliches: es wird überwiegend verschlüsselt.
- Zugriffe auf Windows-Netzwerkfreigaben sind häufig aber unverschlüsselt, ähnlich Druckaufträge an den Netzwerkdrucker. Hier kann der Angreifer übertragene Daten ausspähen.
Nutzer sollten daher bewusst darauf achten, was sie über das Funknetzwerk machen, bis Updates für die Client-Betriebssysteme zur Verfügung stehen und eingespielt sind:
- Arbeiten Sie nicht über Netzwerkfreigaben, drucken Sie keine vertraulichen Daten aus, nutzen Sie keine Programme oder Apps, die vertrauliche Daten über Ihnen unbekannte Protokolle übermitteln. (Leider ist das für den Nutzer häufig schwer einzuschätzen, häufiger ist der Nutzer sich nicht einmal über erfolgende Internetverbindungen im Klaren.)
- Sie können weiterhin aber mit https-Webseiten arbeiten, auch Internet-Banking oder ähnlich schützenswerte Dinge sind kein Problem -- wenn Sie, wie auch sonst ratsam, auf das Schlosssymbol in der URL-Leiste des Browsers (also die TLS-Absicherung und Zertifikatsprüfung) achten.
Für http-Verbindungen muss Ihnen klar sein, dass ggf. andere sehen, wie sie mit dem Browser die Webseiten nutzen; geben Sie über http keine vertraulichen oder Login- Daten ein. - Prüfen Sie ggf. die Einstellungen Ihres Mailclients, ob überall sichere Verbindungen (manchmal auch als SSL, TLS oder STARTTLS bezeichnet) zum Einsatz kommen -- das ist sowieso ratsam, für die LUIS-Maildienste ist das bereits zwingend erfüllt. Meist reicht ggf. die Neukonfiguration des Mail-Kontos im Mail-Client, was für Laien häufig deutlich einfacher als die Änderung der bestehenden Einstellungen ist.
Diese Hinweise sollten Sie auch zukünftig bei allen offenen WLAN-Netzen oder solchen mit einem vielen bekannten, allgemeinen Anmeldepasswort (PSK) beherzigen. Gegen die konkrete Sicherheitslücke und die generellen Gefahren fremder (WLAN-) Netze hilft auch ein geeignet gesichertes VPN, wie das LUIS es für Nutzer der LUH anbietet.