+++ Pressemitteilung +++

KRACK WLAN-Sicherheitslücke bedroht vor allem Unternehmen

Berlin, 20. Oktober 2017

Seit Montag ist die Sicherheitslücke KRACK in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können. Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt.

Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

Weniger beachtet wurden bisher die Auswirkungen von KRACK auf den E-Mail-Verkehr. E-Mails sind grundsätzlich nur so sicher wie Postkarten. Wer Zugriff auf die Datenströme hat, kann E-Mails mitlesen und manipulieren. HTTPS schützt E-Mails nur beim Abruf vom Mailserver über den Browser. Für die Verschlüsselung der Verbindung zwischen Mailservern steht TLS-Verschlüsselung zur Verfügung. Dr. Burkhard Wiegel, Geschäftsführer und Gründer des Berliner E-Mail-Verschlüsselungsspezialisten Zertificon, warnt davor, bei der E-Mail-Sicherheit ausschließlich auf TLS-Verschlüsselung zu vertrauen: „Die Transportverschlüsselung TLS wird nicht flächendeckend eingesetzt. Unsere eigenen Messungen haben ergeben, dass ca. 50% der E-Mails nicht TLS verschlüsselt sind. Wenn TLS eingesetzt wird, sind dies häufig veraltete Versionen. Auch das TLS-Zertifikatsmanagement ist nicht sicher. Denn Zertifikate werden selbst ausgestellt, Prüfmechanismen haben wenig wert. TLS ist anfällig für „Man-in-the-middle“-Attacken.“ Dr. Wiegel sieht sogar die grundsätzliche Gefahr durch TLS viel höher als bei der Sicherheitslücke KRACK: „Für Angreifer, die in der Lage sind, KRACK auszunutzen, ist das Hacken einer TLS-Verschlüsselung gar keine Herausforderung.“

Unverschlüsselte E-Mails können durch KRACK leicht mitgelesen werden
Bildnachweis: Zertificon Solutions

Die Bedrohung für Unternehmen ist real. Wer sich in ein Gewerbegebiet begibt oder in den Ballungsräumen der Start-up-City Berlin ein Café aufsucht, hat sehr schnell physischen Zugang zu einer großen Auswahl an Firmen-WLANs und damit gegebenenfalls zur Kommunikation ganzer Unternehmen. Die Gefährdung wird vielfach unterschätzt. Dabei gibt es vielfältige Nutzungsszenarien für die E-Mail-Ausbeute eines Werktages. Eine der derzeit gefürchtetsten Attacken auf Unternehmen ist der CEO-Fraud. Die Aufklärung der Mitarbeiter zu dieser Betrugsmasche bleibt fruchtlos, wenn der Angreifer seine Story auf der Basis intimster Firmenkommunikation konstruieren kann. Doch auch der ungewollte Know-how-Transfer, Mitarbeiterabwerbung und Erpressungsversuche aller Art basieren auf Insider-Informationen, die über den Mailverkehr leicht zu erbeuten sind.

Einzig die Kombination aus E-Mail-Signatur und E-Mail-Verschlüsselung bietet Unternehmen, deren Geschäftspartnern und Kunden Sicherheit. Die Signatur bestätigt die Unversehrtheit der E-Mail-Inhalte und ihrer Anhänge, die Verschlüsselung dagegen bewahrt die gesamten Daten vor unberechtigtem Zugriff.

Grundsätzlich sind Unternehmen und Privatpersonen gut beraten, sich beim E-Mail-Versand nicht alleine auf die Transportverschlüsselung wie WPA2 oder TLS zu verlassen. Wird nur der Übertragungsweg gesichert, bleiben die Daten darin schutzlos, wenn der sicher geglaubte Transporttunnel Lücken aufweist. Und die nächste Sicherheitswarnung kommt gewiss.

Ein großes Maß an Sicherheit sowohl für Privatnutzer als auch für Unternehmen bietet die Verschlüsselung der Inhalte. Wer seine E-Mails ende-zu-ende verschlüsselt, schützt diese unabhängig von der Sicherheit der Transportstrecke. Wenn Angreifer Zugang zum WLAN bekommen oder sich in andere Datenleitungen hacken, bleiben als Beute nur nutzlose verschlüsselte Datenpakete.

Verschlüsselung wird häufig als wenig effizient und nicht wirtschaftlich wahrgenommen. Diese Einschätzung ist veraltet. In vielen Unternehmen sind sogenannte Secure Email Gateways zur E-Mail-Verschlüsselung und -Signatur heutzutage Bestandteil der Standard IT-Infrastruktur. Diese Gateways arbeiten weitgehend automatisiert im Hintergrund, ohne dass die Mitarbeiter sich mit dem Thema Verschlüsselung beschäftigen müssen.

Um geschäftliche E-Mails auch auf Endgeräten, Servern, internen Strecken sowie im WLAN und in Mobilfunknetzen zu schützen, kann ein Secure Email Gateway zur „Organizational Ende-zu-Ende-Verschlüsselung“ erweitert werden. Mit diesem Schutzniveau wäre selbst der Bundestagshack 2015 wirkungslos geblieben und auch KRACK verliert seinen Schrecken.

Zwei Whitepaper mit weiterführenden Informationen und kryptografischen Grundlagen der E-Mail-Verschlüsselung für Unternehmen gibt es im Bereich White Paper.


Pressemitteilung im PDF-Format herunterladen
Grafik im PNG-Format herunterladen (1000x668px – 87 KB)