Security Alert: KRACK

Sicherheitsforscher weisen auf Schwachstellen im Sicherheitsstandard WPA2-Protokoll hin, aufgrund dessen sich verschlüsselte Daten zwischen einem Access Point und Client einsehen lassen. Durch diesen KRACK genannten Angriff könnten Angreifer etwa persönliche Informationen auslesen oder Daten manipulieren.

Betroffen sind demnach alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen. Bis die Hersteller entsprechende Sicherheits-Updates liefern, rät das BSI zur Vorsicht:

Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher. Unternehmen sollten ihre Mitarbeiter sensibilisieren und geeignete Maßnahmen zur Absicherung ihrer Firmennetzwerke ergreifen. Sicherheitsupdates wurden bereits von verschiedenen Herstellern angekündigt und sollten umgehend durch den Nutzer eingespielt werden, sobald sie zur Verfügung stehen.

Was ist bisher gescheuen?

• Die amerikanischen Netzwerkausrüster Aruba und Ubiquiti liefern bereits Updates.
• Microsoft, hat die Lücke in allen noch unterstützten Windows-Versionen bereits vor gut einer Woche am letzten Oktober-Patchday geschlossen.
• Google will Updates für betroffene Android-Geräte am 6. November liefern. Ob und wann das entsprechende Update bei Android-Geräten dritter Hersteller ankommt, ist noch nicht abzusehen.
• Apple hat die Schwachstelle in den neuesten Entwickler- und Beta-Versionen der Betriebssysteme iOS und macOS bereits behoben. Anwender sollten das Update daher in einigen Wochen zur Verfügung gestellt bekommen.

(Mein persönlicher CERT per Email.)

---

(Kommentieren)