KRACK: Und die Moral von der Geschichte

Der mediale Aufschrei war riesig. Online- und Print-Medien, Hörfunk und Fernsehen hatten in den vergangenen Wochen intensiv über die WPA2-Sicherheitslücke KRACK berichtet. Dabei verlief die Berichterstattung teilweise sehr unterschiedlich: von nüchtern und sachlich in der IT-Fachpresse bis zur reißerischen Darstellung in der Publikumspresse war alles dabei. Doch wen wundert es? Schließlich ging es um die Angreifbarkeit einer technischen Errungenschaft, die uns mittlerweile privat und beruflich nahezu überall begleitet: das Drahtlosnetzwerk.

Böse Zungen könnten behaupten, dass wir uns mittlerweile an die wöchentlichen Enthüllungen neuer Sicherheitslücken in Soft- und Hardwaresystemen gewöhnt haben dürften. Und ja, vieles wird von den Medien aufgebauscht und überspitzt dargestellt, teilweise werden sogar – vermutlich unbewusst – falsche Fakten gestreut. Vieles wird eben heißer gekocht, als es gegessen wird.

Die etwas andere Sicherheitslücke

Bei Krack war es ähnlich. Die Bedrohung ist sicherlich nicht vom gleichen Kaliber wie Mirai oder WannaCry. Dennoch ist es eine ernstzunehmende Schwachstelle, die man nicht ignorieren darf. Sowohl Unternehmen als auch Privatanwender sollten Access Points, WLAN-Clients und Router schnellstmöglich mit aktuellen Sicherheits-Patches updaten.

Konkret zielt ein Angriff über die KRACK-Schwachstelle auf die WPA-Anmeldung und betrifft vor allem den Station-Mode (WLAN-Client-Modus, also alle mit WLAN betriebenen Notebooks, Tablets, Smartphones) sowie einige weitere Protokolle, unter anderem 802.11r (Roaming-Beschleunigung) und den Mesh-Standard 802.11s. Insgesamt sind damit zunächst einmal sehr viele WLAN-Produkte betroffen. Trotzdem sind großflächige Angriffe unwahrscheinlich: der Angriff muss vor Ort stattfinden – also in Funkreichweite der WLAN-Geräte – und es ist maximal das Abhören der Verbindung möglich, nicht jedoch ein Zugriff auf das Funknetz oder die Access Points und Clients selbst. Hinzu kommt, dass auf vielen Verbindungen inzwischen eine weitere Verschlüsselung stattfindet („https:“), so dass hier selbst ein Abhören nichts bringt.

Für Massenangriffe aus der sicheren Anonymität des Internets eignet sich KRACK somit nicht. Dennoch ist das Patchen wichtig: schließlich sind quasi alle WLAN-Geräte betroffen, die die entsprechenden Standards oder Betriebsmodi unterstützen.

Das Glücksspiel mit den Security Updates

KRACK dürfte uns aber in einem Punkt die Augen geöffnet haben: Die Update-Politik bei sicherheitsrelevanten Ereignissen gleicht einem Glücksspiel. Während viele Hersteller vorbildlich schnell KRACK-Sicherheits-Updates lieferten, bleiben Millionen von Nutzern besonders von Android-Smartphones vermutlich auf der Lücke sitzen. Besitzer unzähliger Billig-Router und WLAN-fähiger Smart-Home-Geräte dürfte dasselbe Schicksal ereilen. Als Nutzer ist man somit in zahlreichen Fällen der Willkür der Hersteller ausgeliefert.

Die Update-Pflicht muss her

Genau diese Situation führt zu einer Forderung, die nicht erst seit heute besteht: Sicherheits-Updates müssen endlich zur Pflicht werden! Zumindest müssten Hersteller dazu verpflichtet werden, klar zu deklarieren, wie lange ein Produkt Sicherheits-Updates erhält. Das kann zum Beispiel direkt auf der Produktverpackung oder auf der Produkt-Webseite passieren. Wir lösen das so, dass wir unseren Partnern und Kunden ein transparent auf unserer Webseite einsehbares Software Lifecycle Management zur Verfügung stellen.

Eine Update-Pflicht bei Sicherheitslücken und eine transparente Kennzeichnung bzw. Offenlegung der Update-Politik müssen gesetzlich verankert werden, Nutzer und Unternehmen müssen sich auf einen Mindestsicherheitsstandard der von ihnen erworbenen Produkte verlassen können.

Die richtige Wahl treffen

Bis dahin ist es allerdings noch ein weiter Weg. Solange wir noch keine verlässlichen Regelungen haben, müssen wir uns selber helfen. Bei Neuanschaffungen muss es also heißen, immer zu hinterfragen, wie die Update-Politik des Herstellers aussieht. Wie hat der Hersteller sich beim Thema Sicherheits-Updates bisher verhalten? Denn eins ist sicher: Es wird immer wieder Sicherheitslücken und Schwachstellen in IT-Systemen geben. Wer dann betroffen ist, konnte bereits Schaden minimieren, wenn er vorher die richtige Wahl getroffen hat.

Getagged mit: , , , , , ,
2 Kommentare zu “KRACK: Und die Moral von der Geschichte
  1. Christoph v. W. sagt:

    Es ist ja schön, das man nun bei LANCOM sicher sein kann 5 Jahre lang Sicherheitsupdates zu bekommen – aber leider werden sicherheitsrelevante Dinge immer wieder als Feature „verkauft“. Damit kann man im schlimmsten Fall einen neu gekauften Router nach 2 Jahren wegwerfen, weil er neue Sicherheitsrelevante Funktionen wie z.B. TLS 1.3 nicht mehr erhält.

    Ich wollte z.B. einen 9100+ und einen WLC 4100 kaufen – aber warum sollte ich soviel Geld ausgeben, wenn die Geräte vielleicht in 2 Wochen abgekündigt werden? Wenn es zumindest für die großen Geräte 5 Jahre nach Abkündigung noch Featureupdates geben würde, hätte ich nicht lange überlegen brauchen…

    Die ganze beworbene Planungssicherheit ist leider ein schlechter Witz, solange es keine Daten zu einer voraussichtlichen Abkündigung der zur Zeit noch aktuellen Geräte gibt.

    • LANCOM Social Media Team sagt:

      Sehr geehrter Herr von Wittich,

      vielen Dank für Ihren Beitrag. Grundsätzlich unterscheiden wir sehr deutlich zwischen Features und Security Fixes. Security Fixes werden auch für ältere LCOS-Versionen zur Verfügung gestellt – in einigen Fällen sogar für extrem alte Produkte, die nicht mehr Teil des Software Lifecycle Managements sind. Dies war beispielsweise bei KRACK der Fall.
      Neue Features finden sich hingegen fast ausschließlich in aktuellen LCOS-Versionen. Nur in besonderen Fällen werden auch „kleinere“ Features nachträglich in alte LCOS-Versionen implementiert. Dabei muss das Produkt bzw. dessen Hardwareplattform natürlich das neue Feature technisch unterstützen. Wie lange dies möglich ist, kann leider kaum genau vorhergesagt werden.

      Bei TLS 1.3 handelt es sich um ein umfangreiches, neues Feature. TLS 1.3 ist kein Security Fix, das eine bestehende Sicherheitslücke schließt. Aus technischen Gründen lässt sich TSL 1.3 auch nicht in alten LCOS-Versionen abbilden.

      Mit freundlichen Grüßen,
      Ihr LANCOM Social Media Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Wenn Sie einen Kommentar hinterlassen, speichert das System automatisch folgende Daten:

  • Ihren Namen oder Ihr Pseudonym (Pflichtangabe / wird veröffentlicht)
  • Ihre E-Mail-Adresse (Pflichtangabe / wird nicht veröffentlicht)
  • Ihre IP (Die IP wird nach 60 Tagen automatisch gelöscht)
  • Datum und Uhrzeit des abgegebenen Kommentars
  • Eine Website (freiwillige Angabe)
  • Ihren Kommentartext und dort enthaltene personenbezogene Daten
  • Ich erkläre mich auch damit einverstanden, dass alle eingegebenen Daten und meine IP-Adresse nur zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Widerrufsmöglichkeiten

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.