SECURITY17. Oktober 2017

BSI rät von WLAN-Nutzung für das Online-Banking ab – WPA2 ist (bis zu Updates) nicht mehr ganz sicher

profit_image/bigstock.com

Der Sicherheitsstandard WPA2, der insbesondere zur Verschlüsselung von WLAN-Netzwerken empfohlen wird, ist über Schwachstellen verwundbar – d.h Daten können mitgelesen oder sogar manipuliert werden. Betroffen sind demnach alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen (mehr dazu bei heise: “Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt’. Das BSI rät dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Trans­ak­tionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.

Die WPA2-Schwachstellen ermöglichen Angreifern das Mitlesen und Manipulieren von Datenpaketen, die über ein WLAN-Netzwerk gesendet oder empfangen werden. Laut Heise “handle sich dabei um einen Design-Fehler des WPA2-Protokolls, das die erneute Nutzung des Keys nicht unterbinde.”

Sie betreffen insbesondere Geräte mit Android und Linux-Betriebssystemen. Windows- und Apple-Betriebssysteme sind eingeschränkt betroffen, hier können die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden. Um einen Angriff über die WPA2-Schwachstellen durchführen zu können, muss sich der Angreifer zudem im Funkbereich des WLAN-Signals aufhalten. Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11. Keinesfalls sollten Nutzer den WPA2-Sicherheitsstandard deaktivieren, da ältere verfügbare Sicherheitsstandards als unsicher gelten und dafür keine Patches zu erwarten sind.

>BSI

Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher. Unternehmen sollten ihre Mitarbeiter sensibilisieren und geeignete Maßnahmen zur Absicherung ihrer Firmennetzwerke ergreifen. Sicherheitsupdates wurden bereits von verschiedenen Herstellern angekündigt und sollten umgehend durch den Nutzer eingespielt werden, sobald sie zur Verfügung
stehen.”

Arne Schönbohm, Präsident des BSI

Die Deutsche Kreditwirtschaft widerspricht der Darstellung des BSI: Online-Banking sei durch eine eigene Verschlüsselung sicher und nicht auf die WLAN-Verschlüsselung angewiesen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert