Hannover. Eine Sicherheitslücke beim WLAN-Standard beunruhigt Nutzer von Smartphones und Laptops. Experten der Katholischen Universität Löwen haben eine Schwachstelle im Verschlüsselungsverfahren WPA2 entdeckt, mit dem üblicherweise WLAN-Hotspots abgesichert werden. Hacker könnten WLAN-Verbindungen belauschen und manipulieren, warnte der belgische Sicherheitsforscher Mathy Vanhoef am Montag. Die Telekom stuft die Lücke als "sehr ernstzunehmend" ein.

Was ist WPA2?

Es handelt sich um ein Verfahren zur Verschlüsselung des Datenverkehrs in drahtlosen Netzen. Es soll dafür sorgen, dass sich nur Nutzer mit dem richtigen Passwort in ein WLAN einloggen können. Außerdem soll es verhindern, dass die drahtlos übertragenen Daten von Unbefugten mitgeschnitten werden. Es wird bei den meisten WLAN in Privathaushalten und an öffentlichen Orten verwendet.

Welche Geräte sind verwundbar?

Das Problem steckt in einem industrieweiten Standard bei der Verschlüsselung. Deshalb sind nicht nur einzelne Modelle betroffen, sondern Smartphones, PCs und Router zahlreicher Hersteller. „Falls Ihr Gerät WLAN unterstützt, ist es wahrscheinlich betroffen“, erklären die Forscher.

Wann besteht im Alltag eine Gefahr?

Nur dann, wenn ein Hacker mit demselben WLAN verbunden ist wie seine Opfer. Er muss sich also in maximal rund 100 Metern Entfernung zum Router aufhalten. Millionenfache Angriffe über das Internet sind nicht möglich.

Trotzdem ist generell Vorsicht gefragt: Das Bundesamt für Sicherheit in der Informationstechnik ruft Internetnutzer auf, bis auf weiteres keine privaten Daten über drahtlose Netzwerke zu versenden. Auf Online-Shopping und Online-Banking solle solange verzichtet werden, bis ein Sicherheits-Update zur Verfügung steht.

Welche Daten können Hacker kopieren?

Nutzt jemand die Lücke aus, kann er den Datenverkehr anderer Nutzer im selben WLAN mitschneiden. Dabei bekommt er aber häufig nur Buchstabensalat zu Gesicht. Denn viele Websites verschlüsseln ihre Kommunikation mit dem Nutzer zusätzlich über den Standard https - also unabhängig vom WLAN. Zugangsdaten zum Online-Banking und zu großen sozialen Netzwerken sind deshalb kaum gefährdet. Die Forscher betonen aber, dass einige Anbieter Fehler bei der https-Verschlüsselung machten und einige kleine Firmen den Datenverkehr gar nicht verschlüsselten. In solchen Fällen sehen die Angreifer die Daten im Klartext und können zum Beispiel Passwörter oder Kreditkartendaten missbrauchen.

Was soll man jetzt unternehmen?

Es wäre übertrieben, auf die Nutzung von WLAN-Hotspots zu verzichten. Man sollte aber darauf achten, dass man vertrauliche Daten nur über https übermittelt. Sieht man ein grünes Schloss in der Adresszeile des Browsers, ist https aktiv. Die Vertraulichkeit beim Chatten garantieren Apps mit Ende-zu-Ende-Verschlüsselung wie Threema und Whatsapp.

Wie reagieren die Hersteller auf das Problem?

Beheben lässt sich das Problem durch Updates für die Geräte, zum Beispiel WLAN-Router. Man werde betroffene Geräte identifizieren und Updates schnellstmöglich bereitstellen, sagte ein Telekom-Sprecher. Das Berliner Unternehmen AVM - Hersteller der Fritzbox - erklärte, man werde „falls notwendig wie gewohnt ein Update bereitstellen“. Ob auch Updates für Smartphones nötig sind, ist unklar.

Von Christian Wölbert