WPA2 Sicherheitslücke praktische Hilfe & Empfehlungen des BSI

Wer die Medien der letzten Woche verfolgt hat, wird darauf mehrfach hingewiesen worden sein, dass nun sein eigenes WLAN Netzwerk zu Hause als unsicher gilt.

Was ist dafür eigentlich der Grund?

Was sagst das BSI dazu?

Und was kann man wirklich unternehmen um sicher zu sein?

Die WPA2 Sicherheitslücke

Der Grund weshalb es niemanden über mehre Jahre aufgefallen ist, dass die sichere Authetifizierung an WLAN-Routern über WPA2 nicht sicher ist, darf man getrost dem US-Dienst “CIA” und auch dem deutschen Geheimdienst “BND” zuschreiben. Denn die Lücke wurde bereits nach Informationen die auch aus dem Fundus von Edward Snowden stammen dürfte bereits vor 6 Jahren bekannt gewesen sein. Die Geheimdienste wollten diese Lücke aber lieber selbst nutzen, anstelle diese Informationen öffentlich zugänglich zu machen. Was zur Folge hatte, dass heute beinahe 96% aller im einsatz befindlichen Wifi Router und auch die Endgeräte schklußendlich mit einer unsicheren Lösung ausgestattet sind. Das betrifft damit Milliarden von Geräten weltweit!

Diese Sicherheitslücke macht es möglich, dass Fremde sich einen Zugang selbst in das eigene Netzwerk des Routers verschaffen können, und damit wie andere Geräte auch die das Netzwerk nutzen, verschiedene Zugriffe wegen der geringeren Sicherheitsvorkehrungen im eigenen Netzwerk durchführen können. Die am gefährlichsten vermutete Möglichkeit ist es, die Daten aller Nutzer die den Router verlassen umzuleiten und damit mitlesen zu können. Was auch zum Beispiel Bankdaten betreffen kann.

Das Problem der WPA2 Problematik.

Also wie gerade beschrieben ist das erste Problem, dass es sozusagen jedes Gerät das am Markt oder sich im Einsatz befindet betrifft, weshalb es keine schnelle Lösung dazu geben kann. Das zweite Problem dabei ist, dass es eben sehr lohnende neue Angriffszenarien ermöglicht die nicht lange auf sich warten lassen werden. Und Drittens ist es leider so, dass die meisten Endgeräte gegen Angriffe aus dem eigenen lokalen Netzwerk eben wenig bis kaum geschützt sind. (Siehe die automatischen Windows Freigaben innerhalb des eigenen Netzwerkes).

Es ist also relativ gesehen ein echt dringendes und ernsthaftes Problem soweit, welches aber keine schnellen Lösung erhalten wird. Bis jeder Nutzer neue Router und neue Endgeräte hat, werden wir mit dieser Sicherheitslücke einfach leben müssen!

Was sagt das BSI dazu?

Logo des Bundesamtes für Sicherheit und InformationstechnikDas deutsche BSI kümmert sich mit Empfehlungen gerne um die Sicherheit auch von Privatnutzern. Dabei verschweigen sie aber, dass benachbarte Dienste wie der BND davon ja schon seit Jahren wissen musste!

Nun gut, was empfehlen nun die Herren des BSI?
In Kürze kann man die Aussagen zusammenfassen auf:

  • Das Problem wird noch lange bestehen
  • Es gibt keine Abhilfe
  • Schütze jedes einzelne Gerät als wäre es nicht im eigenen Netzwerk.
  • Verwende zur Datenübertragung VPN-Tunnel um die Gefahr einer Überwachung oder Ausspähung von sensiblen Daten zu entgehen.

Der betreffende Abschnitt des BSI lautet:

“Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel. Auch das kabelgebundene Surfen ist weiterhin sicher. Unternehmen sollten ihre Mitarbeiter sensibilisieren und geeignete Maßnahmen zur Absicherung ihrer Firmennetzwerke ergreifen. Sicherheitsupdates wurden bereits von verschiedenen Herstellern angekündigt und sollten umgehend durch den Nutzer eingespielt werden, sobald sie zur Verfügung stehen,” erklärt Arne Schönbohm, Präsident des BSI. (Link: Beitrag des BSI)

Die Aussage mit dem VPN-Tunnel ist deshalb schon bemerkenswert, da dies natürlich immer schon eines der wichtigsten Argumente für die Verwendung eines VPNs ist. Man sichert in diesem Fall aber nur ein und ausgehende Daten über das Internet vor dem Zugriff vermeintlicher Hacker, welche sich bereits mit dem eigenen Netzwerk verbunden haben.

Was kann man nun tun?

Die WPA2 Lücke wird uns über Jahre noch beschäftigen und eine Lösung wird es eben in absehbarer zeit nicht geben. Man kann keine Updates einspielten auf allen Geräten und selbst wenn man dies über Updates lösen kann, so werden diese vermutlich nur neuere Hardwargeräte und niemals alle betreffen können. Daher müssen wir einen Weg finden, damit umzugehen.

Daher die folgenden praktischen Tipps, die Dein Netzwerk absichern werden:

  1. Überprüfe sämtliche Sicherheitseinstellungen aller in Deinem Netzwerk befindlicher Geräte.
    Lege bei jedem einzelnen, wo Du es kannst fest, dass diese keine Freigaben oder geringeren Sicherheitseinstellungen innerhalb des eigenen Netzwerkes aufweisen als diese es tun würden wenn Sie frei erreichbar wären. Das betrifft in erster Linie auch NAS (Speicherlösungen), Windows Computer, Mac OS Computer, der Zugriff auf den Router selbst (Passwortschutz und SSL Verschlüsselung als MUSS beim Zugriff auf die Konfiguration, usw.
  2. Entferne nach Möglichkeit alle nicht schützbaren Geräte im eigenen Netzwerk.
    Also zum Beispiel USB-Datensticks die als Netzwerkfestplatte dienen und am Router angeschlossen sind. Geh davon aus, dass auch fremde Zugriff zu Deinem Router haben könnten und daher auf diese Daten auch zugreifen werden.
  3. Setze alle vorhandenen Firewalls der einzelnen Geräte zurück auf “Standardeinstellung” und lösche damit sämtliche im laufe der zeit vergebenen Freigaben um diese neu einzurichten.
  4. Überprüfe alle Geräte darauf, dass keinerlei Freigaben von Ordnern oder geteilten Daten im eigenen Netzwerk ermöglicht werden.
  5. Nutze für alle Deine Aktitäten im Internet einen VPN-Anbieter Deines Vertrauens.
    Sofern es Dir möglich ist, nutze diesen VPN-Service immer und 24h am Tag (eventuell auch durch die Verwendung eines VPN-Routers!)

Das Hauptproblem können aber NAS oder Onlinespeicherlösungen im eigenen Netzwerk sein, denn diese synchronisieren und lassen üblicherweise Zugriffe aus dem eigenen Netzwerk mit stark vermindeten Sicherheitseinstellungen zu. Daher überprüfe die Einstellungen deines NAS (Synology, QNap usw) und lege fest, dass diese geräte auch im eigenen Netzwerk nur so eingeschränkt und sicher wie aus dem Internet erreicht werden können.

 

 


Erstellt am: 10/31/2017

Schreibe einen Kommentar