KRACK: Updates für iOS und macOS stehen aus, Windows bereits gefixt

Die gestern bekannt gewordene WLAN-Sicherheitslücke KRACK betrifft alle drahtlos im Netzwerk agierenden Endgeräte, egal ob sie wie etwa Router zur Infrastruktur zählen oder als Client in Form eines Computers oder Mobilgeräts darauf zugreifen. Dementsprechend wichtig ist es, dass ihr die Software eures Geräteparks auf aktuellen Stand bringt – vorausgesetzt natürlich die Hersteller haben bereits entsprechende Updates veröffentlicht.

Von Apple liegt bislang kein offizielles Statement vor. Unter der Hand hat das Unternehmen offenbar mitgeteilt, dass der Fehler zwar in den letzten Beta-Versionen der Betriebssysteme iOS, macOS, watchOS und tvOS bereits behoben sei, die finale Freigabe steht allerdings noch aus. Spannend ist zudem die Frage, ob und wann Apple für die nicht mehr weiterentwickelten Netzwerkprodukte wie Time Capsule oder AirPort-Stationen entsprechende Updates bereitstellt.

Vorbildlich gibt sich dagegen Microsoft. Wie das Unternehmen mitteilt, wurde die Schwachstelle bereits letzte Woche mit den am 10. Oktober veröffentlichten Updates auf allen betroffenen Systemen behoben. Detaillierte Informationen diesbezüglich finden sich hier.

Auch die Hersteller von Netzwerkzubehör sind gefragt, ihren Kunden zeitnah mit Updates beiseite zu stehen. Als einer der ersten Hersteller Ubiquiti als Anbieter der von uns bereits ausführlich vorgestellten WLAN-Systeme UniFi und AmpliFi Updates und ausführliche Informationen bereitgestellt. Andere Unternehmen zeigen sich hier noch abwartend, so teilt der FRITZ!Box -Hersteller AVM mit, dass eine genauere Einschätzung noch nicht möglich sei, man aber „falls notwendig“ ein Update bereitstellen werde.

Wir wiederholen unsere Empfehlung, in den kommenden Tagen vermehrt auf bereitgestellte Updates zu achten bzw. deren Verfügbarkeit zu prüfen.

Das Bundesamt für Sicherheit in der Informationstechnik hat mittlerweile auch eine erweiterte Stellungnahme parat und rät sogar dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.

Die WPA2-Schwachstellen ermöglichen Angreifern das Mitlesen und Manipulieren von Datenpaketen, die über ein WLAN-Netzwerk gesendet oder empfangen werden. Sie betreffen insbesondere Geräte mit Android und Linux-Betriebssystemen. Windows- und Apple-Betriebssysteme sind eingeschränkt betroffen, hier können die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden. Um einen Angriff über die WPA2-Schwachstellen durchführen zu können, muss sich der Angreifer zudem im Funkbereich des WLAN-Signals aufhalten. Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11. Keinesfalls sollten Nutzer den WPA2-Sicherheitsstandard deaktivieren, da ältere verfügbare Sicherheitsstandards als unsicher gelten und dafür keine Patches zu erwarten sind.