Für eine sichere Zukunft im WLAN: Das soll WPA3 können

WPA3-Symbol schwebt über einer GroßstadtViele Jahre galt die WLAN-Verschlüsselung WPA2 (Wi-Fi Protected Access) als Bollwerk zur einfachen Absicherung von Drahtlosnetzwerken. Doch dann kam KRACK und fügte WPA2 einen merklichen Imageschaden zu. Zwar lieferten wir und viele andere Hersteller auch schnell die nötigen Patches, um die Kommunikation zwischen WLAN Clients, Routern und Access Points wieder wirksam abzusichern – dennoch machte KRACK klar, dass WPA2 an einer gewissen Altersschwäche litt und es langfristig modernere Lösungen für die passwortbasierte Authentifizierung im WLAN braucht.

Entsprechend ließ die Ankündigung der Wi-Fi Alliance, mit WPA3 eine neue Zeitrechnung anbrechen zu lassen, nicht lange auf sich warten. Im Zentrum der Überarbeitung: die genutzten Verfahren zu Authentifizierung und Verschlüsselung.

Neue Herausforderungen

Denn genau hier liegen aus heutiger Sicht die Schwächen von WPA2. Als das Protokoll 2004 das Licht der Welt erblickte, spielten viele Themen, die heute an der Tagesordnung sind, einfach noch keine Rolle. Dazu zählen Gäste-WLANs oder die Verknüpfung von Drahtlosnetzwerken mit dem Internet of Things, die ganz spezifische Herausforderungen mit sich bringen.

Nun soll WPA3 die Lücken schließen, die der rasante Fortschritt der Digitalisierung aufgetan hat. Die Wi-Fi Alliance hat insgesamt vier neue Funktionen angekündigt, die für das nötige Mehr an Sicherheit sorgen sollen. Zwar sind die technischen Details noch nicht ganz klar, ein erster Blick auf die Pläne der Wi-Fi Alliance lohnt aber allemal.

Sicher surfen im WLAN-Hotspot

Viele offene Drahtlosnetzwerke, die als Gäste-WLANs in Cafés, Hotels oder Flughäfen genutzt werden, arbeiten ohne jede Verschlüsselung. Möchten User diese Netze mit dem gebotenen Maß an Sicherheit nutzen, müssen sie entsprechende Vorsichtsmaßnahmen ergreifen. Zu den wichtigsten zählen sicherlich der Einsatz einer VPN-Lösung und die Nutzung entsprechend abgesicherter Websites mit SSL-Zertifikat.

Mit WPA3 soll die Sicherheit in offenen WLANs nun auch ohne Zusatzmaßnahmen erheblich verbessert werden. Opportunistic Wireless Encryption (OWE) heißt die neue Funktion, die eine individuelle Verschlüsselung der Nutzerdaten ermöglichen soll – und zwar selbst dann, wenn für die Einwahl in das WLAN kein Passwort genutzt wurde. Man-in-the-Middle-Attacken dürfte damit ein wirksamer Riegel vorgeschoben werden.

Verbessertes Handshake-Verfahren

Im Fall von KRACK war es das von WPA2 genutzte Handshake-Verfahren, durch das Angreifer den an sich verschlüsselten Datenverkehr hätten mitschneiden können. Folgerichtig soll WPA3 ein deutlich robusteres Handshake-Verfahren nutzen, das selbst bei schwachen oder kurzen Passwörtern ein sehr hohes Maß an Sicherheit bietet. Positive Resonanz dafür gab es bereits vom Security-Experten Mathy Vanhoef, der die Sicherheitslücke KRACK entdeckte. Dieser zeigte sich auf Twitter sehr angetan von den Plänen.

Mehr Sicherheit für IoT & kritische Netze

Eine ebenfalls wichtige Neuerung, die WPA3 bringen wird: die bessere Verknüpfung von WLAN und IoT-Devices. Zukünftig sollen Geräte, die über keine oder nur sehr kleine Displays verfügen, einfach und komfortabel Sicherheitskonfigurationen erhalten. Leider wissen wir Stand heute nicht genau, wie das realisiert werden sollen – der Ansatz jedenfalls klingt vielversprechend.

Zu guter Letzt soll es dank einer 192-bit Security Suite eine stärkere Verschlüsselung für kritische WLANs geben. Damit adressiert die Wi-Fi Alliance die hohen Sicherheitsanforderungen von Drahtlosnetzwerken, die von der Regierung, Sicherheitsbehörden, vom Militär oder Unternehmen mit extrem hohen Secuity-Ansprüchen betrieben werden.

Langsamer Übergang

Trotz der großen Ankündigung: bis die immerhin schon seit 2015 laufende Arbeit an WPA3 abgeschlossen ist, wird es wohl noch ein paar Monate dauern. Und selbst danach wird der Übergang vom alten Sicherheitsprotokoll zum neuen eher schleichend verlaufen. Clients und Netzwerkgeräte müssen gleichermaßen WPA3 unterstützen, damit wir von den neuen Features und Verbesserungen profitieren können.

Doch längst nicht alle Geräte werden sich einfach so aktualisieren lassen – zu groß sind die Herausforderungen, die WPA3 für die WLAN-Chipsets mit sich bringt. Bis eine nahezu lückenlose Verbreitung von WPA3 erreicht ist, werden sicherlich einige Jahre ins Land gehen, innerhalb derer Bestandsgeräte herausaltern. Zudem wird es noch eine Weile dauern, bis wir Gerätehersteller zuverlässig sagen können, welche unserer Geräte mit einem WPA3-Upgrade rechnen dürfen – aktuell sind einfach noch zu wenige technische Details zu WPA3 bekannt.

Angst um die Sicherheit ihrer Installationen müssen WLAN-Anwender dennoch nicht haben. Denn parallel zu WPA3 entwickelt die WiFi-Alliance auch WPA2 stetig weiter und macht das Protokoll noch robuster – und auch das Handshake-Verfahren, das ursprünglich zu der KRACK-Problematik geführt hatte, ist längst gefixt. Damit wird WPA2 auch weiterhin für ein hohes Sicherheitsniveau in privaten und firmeninternen WLAN-Netzen sorgen.

Trotzdem ist eines klar: WPA3 steht bei uns ganz oben auf unserer WLAN-Feature-Liste. Und ich bin optimistisch, dass wir bereits zur CeBIT mehr erzählen können.

Getagged mit: , , , , , , , , , ,
2 Kommentare zu “Für eine sichere Zukunft im WLAN: Das soll WPA3 können
  1. Christoph von Wittich sagt:

    Wird es dann auch eine sichere Anbindung der APs an die Infrastruktur mit IEEE 802.1AE MACsec geben?

    • LANCOM Social Media Team sagt:

      Hallo Herr von Wittich,

      der MAC Security Standard IEEE 802.11AE ist ähnlich wie WPA3 von der Leistungsfähigkeit des in dem jeweiligen Gerät verbauten Chipsatzes abhängig. Ansonsten sind WPA3 und der MAC Security Standard zwei völlig unterschiedliche Dinge. Aktuell unterstützen die meisten Chipsatz-Hersteller IEEE 802.11AE noch nicht. Wann entsprechende Lösungen verfügbar sind und in welcher Form IEEE 802.11AE in unseren Produkten implementiert wird, können wir zum gegenwärtigen Zeitpunkt nicht sagen.

      Mit freundlichen Grüßen,

      das LANCOM Social Media Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.