KRACK: WPA2-Sicherheitslücke führt zu übertriebenen Warnungen des BSI

Das Bundesamts für die Sicherheit in der Informationstechnik (BSI) hat eine allgemeine Warnung vor Online-Banking-Aktivitäten und Online-Shipping ausgesprochen, wenn im heimischen Netz die WPA2-Verschlüsselung genutzt wird und die verwendeten Geräte noch nicht über ein Sicherheitsupdate aktualisiert wurden. Über KRACK ("Key Reinstallation Attack") lässt sich theoretisch eine WPA2-Verschlüsselung so manipulieren, dass sie mitgelesen werden kann. Über ein Update für Router oder Endgeräte kann dieses Sicherheitsproblem bereits behoben werden.

Das BSI warnt aktuell vor der Nutzung eines WLANs mit WPA2-Verschlüsselung. Vor allem Geld-Transaktionen sollten aktuell Online vermieden werden. Laut den Sicherheitsexperten des CCC (Chaos Computer Club) sei die Warnung des BSI allerdings überzogen. Zwar muss KRACK als sehr kritisch eingeschätzt werden, damit die Hersteller zeitnah Updates für alle Geräte bereitstellen, die allgemeine Warnung vor Online-Banking-Transaktionen im heimischen WLAN sei allerdings unnötig.

Eine handelsübliche Transaktion beim Online-Banking wird nicht nur über das verwendete WLAN geschützt, sondern auch über HTTPS und anderen Sicherheitsmechanismen. Alternativ kann auch eine VPN-Verbindung für eine zusätzliche Verschlüsselung über SSL den Datenverkehr vor Dritten schützen.

Für einen erfolgreichen Angriff mit KRACK sei zudem die physische Nähe zu dem angreifenden WLAN-Netz zwingend erforderlich. Darüber hinaus ist noch kein krimineller Angriff mit KRACK bekannt geworden. Wer allerdings aktuell auf Nummer sichergehen möchte, sollte aktuell lieber das LAN-Kabel benutzen.

(Bild: KRACK-Sicherheitslücke ("Key Reinstallation Attack") von WPA2)