Deutsche Cyberschützer empfehlen, derzeit auf Online-Banking und Online-Shopping per WLAN zu verzichten. Grund ist eine Sicherheitslücke bei der Verschlüsselung. Aber wie schlimm ist die wirklich?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die Nachricht reagiert, dass belgische Forscher eine schwerwiegende Sicherheitslücke bei WLAN-Verbindungen entdeckt haben und eine Warnung ausgesprochen: Laut BSI sollen Nutzer beim Online-Banking und Online-Shopping vorerst auf WLAN verzichten und nur auf kabelgebundene Internetverbindungen zurückgreifen. Kabelgebunden heißt: Das Routerkabel direkt an den Laptop anschließen.

Nicht alle Geräte sind betroffen

Die Schwachstellen in den WLAN-Netzwerken würden es Hackern möglich machen, Daten mitzulesen und zu manipulieren. Die Sicherheitslücken betreffen insbesondere Geräte mit Android ab Version 6+ und Linux-Betriebssysteme. Für Linux gibt es inzwischen ein Sicherheitsupdate. Windows- und Apple-Betriebssysteme sind nach Angaben des Bundesamtes in geringerem Maße betroffen, hier können Hacker die Schwachstellen offenbar nicht so gut ausnutzen.

Problem: Verschlüsselungsverfahren WPA2

Wer per WLAN im Internet surft, der macht das normalerweise über eine gesicherte Verbindung. In den meisten Fällen wird dafür das Verschlüsselungsverfahren WPA2 verwendet. Es soll sicherstellen, dass keine Fremden drahtlos übertragene Daten mitschneiden oder verändern können. Und auch das Einloggen ohne Berechtigung soll dadurch verhindert werden. Doch genau da gibt jetzt offenbar eine Sicherheitslücke.

Angriff simuliert – Sicherheitslücke gefunden

Sicherheitsforscher aus Belgien haben einen Angriff simuliert, denn sie KRACK genannt haben. Dabei haben sie festgestellt: Man kann die Verschlüsselung aufbrechen, sich ins WLAN einwählen, alles mitlesen und sogar manipulieren. Betroffen sind nicht nur WLAN-Router, sondern theoretisch alle Geräte, die sich kabellos ins Internet einwählen können.

Wie gefährlich ist das?

Wahrscheinlich ist aber alles gar nicht so schlimm. Schutz bietet nämlich auch das Internetprotokoll HTTPS (zu erkennen in der Adresszeile des Browsers, zum Beispiel an einem Schlüssel). Viele Anbieter von Online-Banking, E-Mail oder Sozialen Netzwerken setzen sowieso darauf. Die Deutsche Kreditwirtschaft sagt, das Online-Banking der Banken und Sparkassen werde immer über diese gesicherte HTTPS-Datenverbindung abgewickelt.

Tech-Firmen stopfen Sicherheitslücke

Einen Tag nach Bekanntwerden der Sicherheitslücke in der WLAN-Verschlüsselung haben außerdem erste Anbieter von Geräten und Software die Schwachstelle gestopft. Mehrere Spezialisten für Netzwerk-Technik wie Cisco, Intel, Netgear und Aruba veröffentlichten entsprechende Sicherheits-Updates. Bei Microsoft wurde die Sicherheitslücke bereits in den neu veröffentlichten Software-Aktualisierungen berücksichtigt. Apple schloss die Lücke in den aktuellen Beta-Versionen seiner Betriebssysteme, die demnächst für alle verfügbar sein sollten.