Kommentar: KRACK knackt WPA2 – und wir stehen im Regen
Die Schwachstelle in der WLAN-VerschlĂĽsselung wirft eine wichtige Frage auf: Wie sieht es eigentlich mit der Patch-Versorgung durch die Hersteller aus? Miserabel, wenn nicht endlich der Staat eingreift, findet heise-Security-Chef JĂĽrgen Schmidt.
Der von belgischen Forschern demonstrierte Angriff auf die aktuelle WLAN-Verschlüsselung ist kein Super-GAU. Sehr wichtige Dinge sollten ohnehin durch explizite Transportverschlüsselung via TLS und wenn möglich mit Ende-zu-Ende-Verschlüsselung gesichert sein – und damit außer Reichweite von KRACKern.
KRACK ist ein ernstes Problem, das die Sicherheit in bestimmten Szenarien in Frage stellt – aber es lässt sich beheben. Genauer: Es ließe sich beheben – wenn die Hersteller von Geräten mit WLAN sich dazu herablassen, uns Updates zu spendieren. Das haben einige auch schon getan. Aber viele Android-Smartphones haben schon lange kein Sicherheits-Update zu sehen bekommen – und sie werden das wohl auch in diesem Fall nicht mehr.
Der Staat muss eingreifen
Doch es geht nicht nur um Computer, Handys und Router. WLAN ist der aktuelle Standard für Vernetzung auch im Internet der Dinge. Und die große Mehrzahl der Dinge mit WLAN wird bis zum Ende ihrer Lebenszeit mit dem kaputten WPA2 arbeiten. Oder glauben Sie, dass Ihr AV-Receiver, die Spiele-Konsole, der Staubsauger und all anderen die smarten Dinge in unseren Haushalten ein KRACK-Update erhalten? Träumen Sie weiter...
Diese Situation wird sich auch nicht von selber ändern. Deshalb muss der Staat an dieser Stelle regulierend eingreifen. Wünschenswert wäre eine Verpflichtung der Hersteller, Sicherheits-Updates über einen Zeitraum von mehreren Jahren nicht nur bereit zu stellen, sondern auch dafür Sorge zu tragen, dass diese das Gerät erreichen.
Jetzt sofort: Update-Kennzeichnung
Diese Update-Pflicht ist das Fernziel; ihre konkrete Einführung ist derzeit aber leider unrealistisch. Deshalb brauchen wir einen ersten Schritt in diese Richtung. Eine durchaus realistische Forderung ist, dass die Hersteller und Verkäufer von Geräten mit Netzwerkfunktionen *dokumentieren* müssen, ob und wie lange sie Sicherheits-Updates bereit stellen.
Eine reine Kennzeichnungspflicht klingt angesichts der von unsicheren Geräten ausgehenden Gefahr nach sehr wenig. Es ist aber ein wichtiger Schritt. Denn es ermöglicht nicht nur eine informierte Entscheidung des Käufers. Es ist auch der erste Schritt zu einer konkreten Einführung von Haftung der Hersteller für die Folgen von Sicherheitsproblemen.
Wenn ein Hersteller offen dokumentiert, dass er Geld damit verdient, Geräte zu verkaufen, die eine Gefahr für die Allgemeinheit sind, sich aber nicht darum kümmern will, diese Gefahr zu beseitigen, handelt er zumindest fahrlässig. Und mit dieser "Fahrlässigkeit" haben wir einen Hebel, um existierendes, rechtliches Instrumentarium in Stellung zu bringen. Ich behaupte nicht, dass mit einer Kennzeichnungpflicht für Sicherheits-Updates alles gut wird. Aber sie ist ein wichtiger, erster Schritt, den wir jetzt tun müssen. (axk)