WPA2-Lücke „KRACK“: Maßnahmen der Deutschen Telekom

Vor zwei Tagen haben wir von der WPA2-Lücke „KRACK“ berichtet. Gestern hatten sich verschiedene Hersteller zu Wort gemeldet, unter anderem auch AVM. Auch die Deutsche Telekom hat Informationen zur Lücke veröffentlicht.

Das WPA2-Protokoll ist nicht mehr sicher. Sicherheits-Experten der belgischen Universität KU Leuven konnten einen WPA2-Angriff finden, der es ermöglicht, WLAN-Verbindungen zu belauschen. Details dazu gibt es im Beitrag von vorgestern oder detailliert in englischer Sprache unter krackattacks.com.

Die Deutsche Telekom, als einer der größten Provider in Deutschland, hat auch zahlreiche Fakten zur Schwachstelle im WPA2-Sicherheitsprotokoll für WLAN veröffentlicht. Man prüfte demnach hauseigene Produkte auf die Schwachstelle und möchte zeitnah entsprechende Updates zur Verfügung stellen. Aktuell geht man zudem davon aus, dass Telekom-Router nicht oder nur sehr eingeschränkt von der Lücke betroffen sind.

Wir werden zeitnah informieren, welche Telekomprodukte von Krack betroffen sind. Für betroffene Produkte werden dann zeitnah Updates bereitgestellt und, wo möglich, auch automatisch an die Geräte verteilt.

Auch gibt man an, dass man das Risiko, Opfer eines Krack-Angriffs zu werden, derzeit als gering einschätzt.

Die Deutsche Telekom schätzt das Risiko, Opfer eines Krack-Angriffs zu werden, derzeit als gering ein. Zur absoluten Sicherheit müssten WLANs allerdings komplett abgeschaltet werden.

Zur Aufklärung der Nutzer hat die Telekom diverse Fragen und Antworten aufgelistet. In nachfolgendem Spoiler könnt ihr die kompletten Informationen der Telekom-Konzernkommunikation nachlesen.

Informationen der Telekom zur Schwachstelle im WPA2-Sicherheitsprotokoll für WLAN (Klicken zum Anzeigen)

Die wichtigsten Erkenntnisse, Hinweise und Tipps in Kürze:

  • Durch die möglichen Angriffe wird die Sicherheit des WPA2-Standards nicht vollständig gebrochen.
  • Ein erfolgreicher Krack-Angriff ist nur dann möglich, wenn man sich in Reichweite eines WLAN mit verwundbaren Komponenten befindet.
  • Eine generelle Angreifbarkeit über das Internet besteht wegen Krack nicht.
  • WLAN-Access Points (zum Beispiel WLAN-Router) sind nach aktuellem Kenntnisstand nur dann betroffen, wenn diese die WLAN-Funktionen „schnelles Roaming“ (Standard 802.11r) und „vermaschtes WLAN-Netz“ (WLAN-Mesh, Standard 802.11s) unterstützen.
  • Die Deutsche Telekom prüft, welche eigenen Produkte von der Krack-Schwachstelle betroffen sind. Unsere Lieferanten analysieren derzeit die Sicherheit ihrer WLAN-Komponenten. Wir werden zeitnah informieren, welche Telekomprodukte von Krack betroffen sind.
  • Für betroffene Produkte werden dann zeitnah Updates bereitgestellt und, wo möglich, auch automatisch an die Geräte verteilt.
  • Die Deutsche Telekom schätzt das Risiko, Opfer eines Krack-Angriffs zu werden, derzeit als gering ein. Zur absoluten Sicherheit müssten WLANs allerdings komplett abgeschaltet werden.
  • Zusätzliche Sicherheitsprotokolle, wie beispielsweise das HTTPS-Protokoll beim Surfen im Internet oder eine VPN-Verbindung sind von Krack nicht betroffen. Daher ist beispielsweise die Übertragung von vertraulichen Daten zu Telekomdiensten wie Mails von t-online weiterhin geschützt.
  • Aktuell gehen wir von gar keiner oder von einer sehr eingeschränkten Betroffenheit unserer WLAN-Router aus, da unsere Geräte die bei einem Access Point betroffenen WLAN-Standards nicht implementieren.
  • Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar.
  • Prüfen Sie regelmäßig, ob für Ihre WLAN-fähigen Geräte Softwareupdates zur Verfügung stehen und spielen Sie verfügbare Updates zeitnah ein.

Im Detail:

Alle Telekom Produkte mit WLAN-Funktion unterstützen WPA2, und bei unseren WLAN-Zugangspunkten ist WPA2 zusammen mit einem sicheren WLAN-Passwort als Sicherungsmechanismus voreingestellt.

Die Krack-Angriffe werden durch Ungenauigkeiten in den WLAN-Spezifikationen ermöglicht, und sie betreffen grundsätzlich alle Hersteller von Geräten mit einer WLAN-Funktion. Durch die möglichen Angriffe wird die Sicherheit des WPA2-Standards jedoch nicht vollständig gebrochen. Unter bestimmten Rahmenbedingungen ist es vielmehr möglich, einzelne Sicherheitsmechanismen eines WLAN auszuhebeln: Ein erfolgreicher Angreifer kann beispielsweise die Kommunikation eines Rechners oder Smartphones im WLAN mitlesen oder gar manipulieren; beides sollte eigentlich durch WPA2 und die WLAN-Verschlüsslung verhindert werden.

Ein erfolgreicher Krack Angriff ist allerdings nur dann möglich, wenn man sich in Reichweite eines WLAN mit verwundbaren Komponenten befindet. Eine generelle Angreifbarkeit über das Internet besteht wegen Krack also nicht. Ob ein Gerät mit WLAN-Funktion verwundbar ist, hängt von seinem Betriebsmodus, von den Einstellungen und implementierten WLAN-Funktionen ab.

Primär von Krack betroffen sind WLAN-fähige Geräte, die sich in ein bestehendes WLAN-Netzwerk einbuchen, also beispielsweise Smartphones, Tablets, PCs, Smart TVs oder auch WLAN-Repeater zur Verlängerung der Reichweite eines WLAN.

WLAN-Access Points (z.B. WLAN-Router) sind nach aktuellem Kenntnisstand nur dann betroffen, wenn diese die WLAN-Funktionen „schnelles Roaming“ (Standard 802.11r) und „vermaschtes WLAN-Netz“ (WLAN-Mesh, Standard 802.11s) unterstützen.

Sofort nach dem Bekanntwerden der Schwachstelle hat die Deutsche Telekom die Prüfung eingeleitet, welche eigenen Produkte von der Krack-Schwachstelle betroffen sind. Unsere Lieferanten analysieren derzeit die Sicherheit ihrer WLAN-Komponenten. Wir werden zeitnah informieren, welche Telekomprodukte von Krack betroffen sind. Für betroffene Produkte werden dann zeitnah Updates bereitgestellt und, wo möglich, auch automatisch an die Geräte verteilt.

Fragen und Antworten, die bei der Einordnung der WPA2-Schwachstelle helfen sollen:

  1. Muss man wegen der WPA2-Sicherheitslücke sein WLAN-Passwort ändern?
    Nein, die Änderung des WLAN-Passworts verhindert einen Krack-Angriff nicht. Und durch einen Krack-Angriff kann nach aktuellem Kenntnisstand ein WLAN-Passwort auch nicht kompromittiert werden. Zum Schließen der WPA2-Schwachstelle und damit dem Verhindern eines Krack-Angriffs müssen Software-Updates für betroffene WLAN-Geräte eingespielt werden.
  2. Muss ich mein WLAN abschalten, weil nun alle meine privaten Daten mitgelesen werden können?
    Auch wenn ein Krack-Angriff durch das Abschalten des WLANs zuverlässig verhindert werden kann, so schätzt die Deutsche Telekom das Risiko, Opfer eines Krack Angriffs zu werden, derzeit nicht als so hoch ein, dass diese Maßnahme gerechtfertigt wäre. Zusätzliche Sicherheitsprotokolle, wie beispielsweise das HTTPS Protokoll beim Surfen im Internet oder eine VPN-Verbindung sind von Krack nicht betroffen. Daher ist beispielsweise die Übertragung von vertraulichen Daten zu Telekomdiensten weiterhin geschützt. Wenn Sie beispielsweise ihre Emails von t-online.de abrufen, dann bleiben diese trotz der WPA2-Schwachstelle privat.
  3. Sind Telekom Speedport Router von der WPA2-Schwachstelle betroffen?
    Die WPA2-Schwachstelle betrifft primär Geräte, die sich in ein WLAN einbuchen. Dennoch überprüfen unsere Lieferanten gerade, welche Speedport Router von der WPA2-Schwachstelle betroffen sein könnten. Aktuell gehen wir von gar keiner oder von einer sehr eingeschränkten Betroffenheit unserer WLAN-Router aus, da unsere Geräte die bei einem Access Point betroffenen WLAN-Standards nicht implementieren.
    Sobald wir betroffene Telekom Geräte identifiziert haben, werden wir darüber informieren.
  4. Welche Geräte sind nach aktuellem Kenntnisstand von der WPA2-Schwachstelle betroffen?
    Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar.
  5.  Wann wird es Software-Updates für betroffene Telekomgeräte geben?
    Sobald wir identifiziert haben, welche Telekomgeräte von der WPA2-Schwachstelle betroffen sind, werden wir darüber informieren. In diesem Zusammenhang werden wir auch kommunizieren, wann voraussichtlich ein Softwareupdates zur Verfügung gestellt wird.
    Bei allen betroffenen Telekomgeräten, die eine automatische Aktualisierung der Software unterstützen, verteilen wir die Telekom Software-Updates zum Schließen der WPA2-Schwachstelle automatisch. Daher empfehlen wir beispielsweise, bei unseren Speedport Routern die Funktion „Easy Support“ zu aktivieren.
  6. Was kann ich jetzt als Nutzer tun, um nicht Opfer eines Krack-Angriffs zu werden?
    Auch wenn ein Krack-Angriff derzeit als sehr unwahrscheinlich angesehen werden muss: wenn Sie ganz sicher sein wollen, müssten Sie ihr WLAN deaktivieren. Allerdings gehen wir derzeit von einem geringen Risiko aus, angegriffen zu werden. Prüfen Sie regelmäßig, ob für Ihre WLAN-fähigen Geräte Softwareupdates zur Verfügung stehen und spielen sie verfügbare Updates zeitnah ein.
    Es ist davon auszugehen, dass viele Hersteller in den nächsten Tagen und Wochen Updates bereitstellen werden, die die WPA2-Schwachstelle schließen und damit einen Krack-Angriff verhindern.

WPA2-Lücke „KRACK“: AVM FRITZ!Box ist sicher, Repeater bekommen Update17. Oktober 2017
KRACK: WPA2-Protokoll nicht mehr sicher16. Oktober 2017

Teilen

Hinterlasse deine Meinung

Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.