Sicherheitslücke Chaos Computer Club kritisiert WPA2-Warnung als „überzogen“
Berlin (dpa) - Der Appell des Bundesamtes für Sicherheit in der Informationstechnik, wegen einer Sicherheitslücke im WLAN-Protokoll WPA2 keine Bankgeschäfte mehr über ein drahtloses Netzwerk zu tätigen, ist bei Experten auf Kritik gestoßen.
„Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen, wenn die Kanäle jeweils selbst (mit https:// oder VPN) verschlüsselt sind“, sagte der Sprecher des Chaos Computer Clubs, Linus Neumann, der Deutschen Presse-Agentur.
Das BSI hatte am Montagabend öffentlich dazu aufgefordert, zunächst auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten.
Auch vom Einkaufen im Netz via WLAN warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien derzeit sicher: „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof“, heißt es beim BSI.
CCC-Sprecher Neumann sieht das anders: „In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme.“
Zuvor hatten bereits führende IT-Unternehmen die tatsächliche Gefahr der Lücke im Verschlüsselungsprotokoll relativiert. Microsoft verwies darauf, dass ein Angreifer sich in unmittelbarer Nähe des WLAN aufhalten müssen. Außerdem müsse er in der Lage sein, eine technisch aufwendige „Man-in-the-middle“-Attacke auszuführen. Es gebe auch keine Hinweise darauf, dass die Lücke in der Praxis bislang irgendwo ausgenutzt worden sei.