Krack

Editorial: Updates für alle!?

Die Krack-Lücke betrifft alle WLAN-Clients. Aber was tun, wenn es keine Updates gibt?
Von

WLAN-Sicherheit im Sinkflug WLAN-Sicherheit im Sinkflug
teltarif.de
(Computer)-Sicherheitstechnisch handelt es sich hier um so etwas wie den GAU, den "größten anzunehmenden Unfall": Im WLAN-Standard ist eine Schwachstelle aufgetaucht, und nun müssen alle WLAN-Geräte gepatched werden. Die Liste ist lang, da WLAN-Schnittstellen inzwischen in immer mehr Geräte eingebaut werden: Smartphones, Laptops, Digitalkameras, WLAN-Repeater, WiFi-Drucker, NAS ("network attached storage")-Boxen und dergleichen mehr. WLAN-Router müssen theoretisch nicht aktualisiert werden, aber es hilft, auch bei ihnen Updates einzuspielen, da das die Risiken aus dem Betrieb ungepatchter Geräte zwar nicht komplett beseitigt, aber zumindest reduziert.

Unverständlich ist, dass es die Krack getaugte Lücke überhaupt in den WLAN-Standard geschafft hat. Schließlich reicht es zum Ausnutzen von Krack, ein bestimmtes Datenpaket erneut zu senden. Solche Retransmissionen sind im WLAN-Funknetz aber gang und gäbe - schließlich kann es immer passieren, dass aufgrund temporärer Störungen, zum Beispiel durch andere WLAN-Verbindungen in der Nähe, ein Datenpaket nicht richtig empfangen werden konnte und daher von der anderen Seite erneut übertragen wird. In der Folge kann es dann passieren, dass ein bereits verwendeter Sitzungsschlüssel erneut verwendet wird. Das wiederum hat in vielen Fällen zur Folge, dass Teile des Datenverkehrs entschlüsselt werden können. Besonders verletzlich ist die WLAN-Implementation von Linux und darauf basierten Systemen, insbesondere Android: Dort wird im Falle der Wiederholung eines bestimmten Pakets der geheime Schlüssel nämlich auf "0000000000" zurückgesetzt, so dass es der Angreifer ganz einfach hat, die Daten abzufangen.

Kein einfacher Angriff

WLAN-Sicherheit im Sinkflug WLAN-Sicherheit im Sinkflug
teltarif.de
Zum Ausnutzen von Krack ist ansonsten aber neben der Kenntnis der Lücke für den Angreifer auch noch eine gewisse Expertise und zudem eine örtliche Nähe zum anzugreifenden WLAN-Netz erforderlich. Zudem bleiben https-geschützte Internet-Verbindungen auch trotz Krack gesichert. Letztendlich reduziert Krack das Sicherheitsniveau von passwort-gesicherten WLANs in etwa auf das Niveau von offenen WLANs, wie sie beispielsweise an Flughäfen, in Hotels oder in Zügen zuhauf eingesetzt werden, ohne, dass es bisher deswegen zu vielen Sicherheitsproblemen kam.

Ein Angreifer, der die Verschlüsselung eines WLANs via Krack ausgehebelt hat, kann dann beispielsweise zwar feststellen, dass ein bestimmter User eine bestimmte Internet-Banking-Seite aufruft, aber er kann weder den Datenverkehr zum Online-Banking-Server noch dessen Antworten entschlüsseln. Dazu müsste er auch noch https aushebeln, das jedoch nach aktuellem Stand weiterhin als sicher gilt.

In der Folge ist es daher nicht zu erwarten, dass die Krack-Lücke millionenfach von gewöhnlichen Viren und Trojanern ausgenutzt wird, um sich selber weiterzuverbreiten oder Client-Rechner zum Mining von Kryptowährungen zweckzuentfremden. Für spezialisierte Angriffe auf Firmennetze oder Industriesteuerungen, wo man oft im Vertrauen darauf, dass das lokale Netz abgesichert ist, auf Verschlüsselung des internen Datenverkehrs verzichtet, taugt Krack dafür wahrscheinlich um so mehr.

Update empfehlenswert

Dennoch ist nicht nur Administratoren von Firmennetzen, sondern auch "normalen" Anwendern das Einspielen der Sicherheitspatches zum Beheben der Krack-Lücke anzuraten. So kann sich die Einschätzung, dass private Client-PCs und -Handys von Krack nicht oder nicht sonderlich betroffen sind, jederzeit ändern, wenn eine zweite Sicherheitslücke hinzukommt. Viele erfolgreiche Angriffe der Vergangenheit, gerade auch mithilfe automatisierter Toolkits, waren Multifaktor-Angriffe, die jeweils eine Kombination mehrerer Sicherheitslücken nutzten.

Erst recht sind Updates für Drucker, NAS-Boxen und die immer zahlreicheren Smart-Home-Geräte wichtig. Denn die von diesen veranlassten Datentransfers sind oft ungesichert. Und wenn es einem Schädling gelingt, sich auf solchen Geräten einzunisten, dann ist er oft besonders langlebig. Leider ist es bei diesen vielen Geräten oft besonders schwierig, sie überhaupt upzudaten, und oftmals liefern die Hersteller noch nicht mal Updates.

Update-los?

Was soll man aber tun, wenn der Hersteller keine Updates liefert? Nun, bei Geräten, bei denen seit Kauf weniger als zwei Jahre vergangen sind, steht dem Kunden grundsätzlich die gesetzliche Gewährleistung zu. Und dazu gehört, dass der Händler bei Fehlern, die schon beim Kauf enthalten waren - und das ist bei der Krack-Lücke sicher der Fall - kostenlos nachbessern muss. Scheitert die Nachbesserung, weil der Hersteller dem Händler keine Updates liefert, hat der Kunde sogar das Recht auf Rücktritt vom Kaufvertrag: Er muss dann zwar das Gerät zurückgeben, hat im Gegenzug aber Anspruch auf die Rückerstattung des vollen Kaufpreises, ohne Abzug einer Vergütung für die zwischenzeitlich erfolgte (Ab)Nutzung des Geräts.

Leider ist die Durchsetzung eines solchen Rücktritts gegen einen Händler eines update-unwilligen Herstellers alles andere als einfach. Bei billigen Geräten übersteigen die Rechtsanwalts- und Gerichtskosten für die Durchsetzung des Rücktrittsrechts den Wert der Ware deutlich. Und das Risiko, am Ende wegen eines Formfehlers den Prozess zu verlieren, oder wegen Zahlungsunfähigkeit des Händlers auf den eigenen Kosten sitzen zu bleiben, ist nicht unerheblich.

Das Ende vom Lied ist, dass viele Geräte ungepatcht bleiben werden. Netzwerk- und Computersicherheit: Sie existiert zunehmend nur auf dem Papier.

Weitere Editorials