WLAN-Sicherheit und FragAttacks

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche Sicherheitsmaßnahmen jeder Nutzer treffen sollte.

Was bisher geschah

(CK) In den letzten Wochen sind immer häufiger Hiobsbotschaften über die „neue“ Schwachstelle der „FragAttacks“ in Zusammenhang mit der Sicherheit von WLAN-Netzwerken aufgetaucht. Der Sicherheitsforscher Mathy Vanhoef hat diverse Schwachstellen im Design aller gängiger WLAN-Protokolle gefunden sowie mangelhafte Umsetzungen durch die Hersteller von Netzwerkgeräten und entsprechender Software dazu. In Kurzform geschildert geht es um 12 einzelne Schwachstellen, welche man sich inkl. der Möglichkeiten einer Ausnutzung auf der Webseite des Forschers im Detail durchlesen kann: https://www.fragattacks.com/.  Dabei handelt es sich um eine Sammlung von Schwachstellen, welche sich unter gewissen Umständen ausnutzen lassen können. Dies bedarf jedoch einen teils erheblichen technischen Aufwand und Angreifer sind auf entsprechende weitere Schwachstellen in angeschlossenen Systemen angewiesen, um daraus ein wirkliches Schadenspotential zu realisieren.

Um die Schwachstelle besser einschätzen zu können, ist ein gewisses Grundverständnis der WLAN-Technologie notwendig, die im Grunde darauf basiert, dass alle Geräte in Funkreichweite alle Datenpakete im WLAN empfangen können und ebenso welche versenden können. Im Regelfall werden jedoch die Paketinhalte (nicht jedoch die Absender- und Empfängeradressen) mit einem der gängigen Verschlüsselungsmöglichkeiten WEP, WPA oder WPA3 vor fremdem Mitlauschen geschützt. Das empfangende Gerät kümmert sich dabei dann normalerweise nur um die Datenpakete, welche für dieses bestimmt sind und ignoriert die anderen. Daher ist grundsätzlich davon auszugehen, dass ein WLAN deutlich anfälliger für Angriffe ist und Schwachstellen (vor Ort) viel einfacher ausgenutzt werden können, als das beispielsweise in einem kabelgebundenen LAN der Fall ist, wo zumindest ein physikalischer Zugriff auf den Datenstrom durch ein Kabel sichergestellt werden muss. Bei allen eingesetzten Verschlüsselungsmethoden eines WLAN, wobei WEP schon seit vielen Jahren als geknackt und somit sehr unsicher gilt, werden jedoch Daten zwischen den Endpunkten ausgetauscht, um eine Verschlüsselung zu „vereinbaren“. Dieser Schlüsselaustausch kann jedoch auch von allen anderen Geräten mitgelesen und manipuliert werden. Daher sind neben einem möglichst sicheren Verfahren auch noch die Schlüssellängen relevant, da die Schlüssel als sog. Hashwert ebenfalls übermittelt werden und bei kurzen Schlüsseln in Sekundenschnelle gecrackt werden können. Selbst bei dem neuen WPA3 Standard gibt es bereits einige Schwachstellen, welche in der Theorie ausgenutzt werden können.

Welche Risiken bestehen beim Einsatz von WLAN?

Durch diese grundsätzliche Angreifbarkeit der kabellosen Verbindungen durch Angreifer in unmittelbarer Nähe, sollte man sich den vorhandenen Risiken bewusstwerden und entsprechende Maßnahmen ergreifen. Bereits mit überschaubarer Technik und einigen Tutorials auf YouTube lässt sich das WLAN des Nachbarn, Internetcafés oder Unternehmens „hacken“. Das ist zwar ein Straftatbestand und kann entsprechend geahndet werden – jedoch ist die Wahrscheinlichkeit äußerst gering, dass a) überhaupt zu entdecken und b) den verursachenden Angreifer zu entdecken. Sicher ist nur, dass er (bzw. seine Technik) sich im räumlichen Empfangsradius des WLAN aufhalten muss, solange er den Angriff durchführt. Dabei sollte man jedoch auch bedenken, die eigenen Geräte wie Smartphones haben nur eine sehr geringe WLAN-Reichweite und Angreifer können mit entsprechenden Antennen auch viel weiter entfernt sitzen, um das WLAN anzugreifen, als es die „Reichweite“ des eigenen Laptops oder Smartphones es vermuten lässt.

Die FragAttack Schwachstellen sind eben auch nur ein Beispiel, warum es auf eine gute WLAN-Absicherung ankommt, und stellen im Detail keine besondere Risikoquelle dar, die nicht sowieso beim Einsatz von WLANs bestehen.

Risiko Nr. 1 ist natürlich das Mitlesen von Daten, was z.B. durch eine aktuelle Schwachstelle in den verwendeten WLAN-Protokollen (Design-Schwachstelle) oder durch eine schlechte Verschlüsselung (Krypto-Schwachstelle), eröffnet werden kann.

Risiko Nr. 2 ist die Manipulation von Datenpaketen, gerade bei den von Vanhoef in einem Video gezeigten Angriffen auf das Internet der Dinge (IoT) am Beispiel eines smarten Stromschalters, den er an- und ausstellen kann. Dabei könnten ebenso andere Geräte von betroffen sein.

Risiko Nr. 3 sind Schwachstellen in anderen Systemen im Netzwerk, welche ausgenutzt werden können und darüber möglicherweise Zugriff auf valide Zugriffe ins WLAN zu bekommen. Als Beispiel sei hier ein alter Windows 7 Laptop (oder älter) genannt, der schon lange keine Updates mehr bekommt, über den ein Angreifer jedoch die Zugangsdaten auslesen oder gleich noch viele weiter Daten entwenden kann, um dann auf ganz andere Art und Weise an seine „Beute“ zu gelangen.

Bausteine für ein sicher(er)es WLAN!

Gerade durch die aktuellen Verlagerungen von Arbeitsplätzen aus den meist kabelgebundenen Netzwerken der Unternehmen in das häufig WLAN betriebene Home-Office ergeben sich zahlreiche Probleme, welche man analysieren und die Risiken entsprechend verringern sollte.

  1. Zunächst sollte man prüfen, wo man überhaupt einen WLAN-Zugriff benötigt. Wo immer ein Kabel genutzt werden kann, sollte dies erfolgen. Muss ich für Kunden oder die privaten Geräte der Mitarbeiter ein WLAN bereitstellen, dann sollte dieses komplett vom Unternehmensnetzwerk getrennt sein.
  2. Sowohl die Software, aber auch die entsprechende Hardware sollte für den WLAN-Betrieb stets aktuell gehalten werden. Ein alter aber nur mit WEP arbeitender WLAN-Router muss gegen einen aktuellen ausgetauscht werden. Die Schlüssel für das Passwort zum WLAN müssen ausreichend lang sein und die Firmware der Geräte, aber auch angeschlossener Systeme sollte immer auf dem aktuellen Stand sein.
  3. Dann muss die Konfiguration des WLAN (insb. des Routers) entsprechen korrekt sein und möglichst wenige Angriffsmöglichkeiten zulassen. So sollten dienste wie WPS deaktiviert und Standardpasswörter gegen eigene ausgetauscht werden.

Wie bei dem klassischen Zwiebelschalenprinzip sollte auch das heimische WLAN fürs Home-Office, aber eben auch der mobile Arbeitsplatz, mit mehreren Sicherheitsebenen ausgestattet sein. Viele Unternehmen stellen sich auf den Standpunkt, dass ihre ganzen webbasierten Anwendungen doch über eine TLS Verschlüsselung (https://) verfügen. Aber auch hier gibt es gute und schlechte Verschlüsselungsparameter, welche nicht direkt jedem Nutzer ersichtlich sind.

  • Neben den schon erwähnten Bausteinen 1-3 sollten alle genutzten Dienste natürlich wie beschrieben auf Basis einer sicheren Internetverbindung nur über SSL/TLS kommunizieren.
  • Darüber hinaus ist zusätzlich der Einsatz von VPN-Technologien sinnvoll, welche einen verschlüsselten Tunnel zwischen den betroffenen Geräten bzw. Netzwerken zur Kommunikation aufbauen und somit bei Sicherheitslücken in anderen Schichten eben noch eine zusätzliche Schutzschicht bieten können. Hierfür gibt es mittlerweile entsprechende VPN Dienste wie z.B. Surfshark oder NordVPN, welche auch auf sehr vielen Endgeräten lauffähig sind und welche nicht erst umständlich selbst betrieben und eingerichtet werden müssen.
  • Der letzte Baustein ist – wie meist – die Sensibilisierung der Mitarbeiter für die Gefahren des WLAN. Gerade beim Einsatz im eigenen Home-Office, wo der Arbeitgeber keine Vorgaben für die technische Umsetzung des privaten WLANs machen kann bzw. darf, ist man auf die Unterstützung der Mitarbeiter angewiesen z.B. das VPN immer zu aktivieren, die eigenen Systeme aktuell zu halten, etc.

Gerne stehen wir Ihnen mit unseren Cybersecurity-Experten auch hierbei mit Rat und Tat zur Verfügung.

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Ein IT-Sicherheitsvorfall kann für Unternehmen schwerwiegende Folgen haben.

Combined Shape

Der Digital Operational Resilience Act (DORA) soll in der EU einen einheitlichen Rahmen für ein effektives und umfassendes Management von…

Combined Shape

21.05.2024 Podcast | Update-News, Datenschutz, Informationssicherheit

Begleite uns in die Welt der Künstlichen Intelligenz (KI) und ihrer neuen Regulierung!

Combined Shape

In diesem Podcast nehmen wir dich mit auf eine Reise durch die Vorbereitung auf NIS-2.

Combined Shape

In dieser Folge geht es um die Chancen und Risiken des Einsatzes von KI in Unternehmen. Es geht um Anforderungen, rechtliche Unsicherheiten und…

Combined Shape

In dieser Folge geht es um den Wert der Priavtsphäre und warum Datenschutzmanagement wichtig ist.

Combined Shape

Gute Nachrichten! Die Ära der Passwörter ist vorbei!

Combined Shape

In diesem Podcast geht es um das Thema ISO-Zertifizierungen im digitalen Zeitalter.

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In unserer neusten Folge geht es um das wichtige Thema Business Continuity Management.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zusammenspiel von physischer Sicherheit und…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die technische Anwendung von Datenschutz auf…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um Business Continuity Management.

Combined Shape

22.03.2022 Podcast | Informationssicherheit

In der neuen Folge geht es um die anlasslose Prüfung durch das BayLDA.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

02.11.2021 Podcast | Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Videoüberwachung.

Combined Shape

19.10.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenpannen.

Combined Shape

In der neuen Folge geht es um Sicherheit in Lieferketten und welche Rolle die Dienstleister dabei spielen.

Combined Shape

13.04.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

Die neue Folge behandelt den Drittstaatentransfer mit aktuellem Bezug zum US-Anbieter Mailchimp, nachdem eine Beschwerde gegen ein Unternehmen…

Combined Shape

30.03.2021 Podcast | Informationssicherheit

Im aktuellen Podcast geht es um den aktuellen Vorfall und die Sicherheitslücken bei Microsoft Exchange.

Combined Shape

02.03.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um KI und wie diese mit datenschutzrechtlichen Anforderungen zusammenzubringen ist.

Combined Shape

02.02.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um den Hype um die neue, exklusive Social Media Plattform Clubhouse und ihren Datenschutz.

Combined Shape

In der neuen Folge geht es um Incident Management und IT-Sicherheitsvorfälle.

Combined Shape

10.11.2020 Podcast | Informationssicherheit

In der neuen Folge geht es um die Sicherheit von Passwörtern, die Auswirkungen von unsicherer Passwortverwaltung und dem Einsatz von Passwortmanagern.

Combined Shape

27.10.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datensammelflut bei Alltagsgegenständen.

Combined Shape

29.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um den TISAX® Standard zur Informationssicherheit.

Combined Shape

01.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die sichere Softwareentwicklung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Sprachassistenten und Kameras im Gesundheitswesen.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Security Awareness und Social Engineering im Zusammenhang…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die aktuelle IT-Security Bedrohungslage für Unternehmen.

Combined Shape

26.05.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In dieser Folge geht es um Startups und Unternehmensgründung und die pragmatische Umsetzung vom Datenschutz und der Informationssicherheit sowie das…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Arbeitszeiterfassung per App oder in der Cloud.

Combined Shape

28.04.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In der Folge geht es um die Einführung von Microsoft 365 (vormals bekannt als Office 365) sowie die Risiken aus Sicht eines Unternehmens.

Combined Shape