"Hier gibt's freies WLAN" | Bildquelle: dpa

Sicherheitslücke bei WLAN-Verschlüsselung Experten warnen vor Panikmache

Stand: 17.10.2017 12:24 Uhr

Die Meldung über eine Sicherheitslücke im heimischen WLAN dürfte gestern viele verunsichert haben - vor allem, als dann das zuständige Bundesamt aufrief, vorerst auf Online-Banking und Shopping im Netz zu verzichten. Doch Experten halten die Warnung für überzogen.

Nach dem Bekanntwerden einer Sicherheitslücke beim Verschlüsseln von WLAN-Hotspots gestern hatte das Bundesamt für Sicherheit in der Informationstechnik noch am Abend eine Warnung herausgegeben: Wer mit dem Standardverfahren WPA2 sein WLAN sichert, sollte auf Online-Banking und Einkäufe im Netz verzichten; so lange, bis Updates verfügbar seien.

Sicherheitslücken im WLAN-Netz
tagesschau 20:00 Uhr, 17.10.2017, Marion Kerstholt, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Experten vom Chaos Computer Club halten diese Warnung allerdings für überzogen. "Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen, wenn die Kanäle jeweils selbst (mit https:// oder VPN) verschlüsselt sind", sagte der Sprecher des Clubs, Linus Neumann, der Nachrichtenagentur dpa.

Das BSI hatte vom Einkaufen im Netz via WLAN gewarnt, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien laut BSI derzeit sicher: "Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof", hieß es. Neumann sieht das anders: "In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen." Vermutlich riete das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme.

Auch IT-Unternehmen relativieren Gefahr

Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müsse. Zudem gebe es auch keine Hinweise darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden sei.

WPA2 ist ein Verschlüsselungsverfahren zur Absicherung eines WLAN, das bislang als sicher galt. Ältere Standards wie WPA und WEP wurden schon vor Jahren als nicht mehr sicher ausgemustert. Sicherheitsforscher der Katholischen Universität Löwen hatten nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren entdeckt, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke habe ermöglicht, die Verschlüsselung zu knacken.

Über dieses Thema berichteten am 17. Oktober 2017 tagesschau24 um 11:30 und 12:30 Uhr in der Wirtschaft sowie MDR aktuell um 13:18 Uhr.

Darstellung: