Der WPA3 WLAN-Sicherheitsstandard konzentriert sich vor allem auf WPA2-Defizite, um persönliche Netzwerke sowie Unternehmens- und IoT-WLAN-Netzwerke besser zu sichern.
Die Wi-Fi Alliance hat die erste große Sicherheitsverbesserung für WLAN seit ca. 14 Jahren eingeführt: WPA3. Die wichtigsten Ergänzungen des neuen Sicherheitsprotokolls sind ein größerer Schutz für simple Passwörter, individualisierte Verschlüsselung für persönliche und offene Netzwerke sowie eine noch sicherere Verschlüsselung für die Netzwerke von Unternehmen.
Der ursprüngliche Wi-Fi Protected Access (WPA) Standard kam bereits 2003 auf den Markt, um WEP zu ersetzen. Die zweite Version von WPA kam nur ein Jahr später heraus. Bei der dritten Version handelt es sich damit um ein lang erwartetes und willkommenes Upgrade, das der WLAN-Industrie, Unternehmen und Millionen von durchschnittlichen WLAN-Nutzern auf der ganzen Welt zu Gute kommen wird – auch, wenn sie das vielleicht noch nicht wissen.
WPA3 wurde im Januar angekündigt und mit dem Juni-Start des Zertifizierungsprogramms für WPA3-Personal der Wi-Fi Alliance offiziell gemacht. WPA3-Personal macht dabei eine individuellere Verschlüsselung möglich und WPA3-Enterprise ermöglicht es Unternehmen, den Schutz von sensiblen Daten in Netzwerken zu verbessern. Gemeinsam mit diesen zwei Optionen hat die Wi-Fi Alliance außerdem Wi-Fi Easy Connect, eine Funktion, die das Pairing von WLAN-Geräten ohne Bildschirm (wie beispielsweise IoT-Geräte) verbessern soll; sowie Wi-Fi Enhanced Open, eine optionale Funktion, die eine nahtlose Verschlüsselung in offenen WLAN-Hotspot-Netzwerken ermöglicht, enthüllt.
Ansprache der WPA2-Defizite
Das WPA2-Protokoll mit dem Advanced Encryption Standard (AES) hat bereits einige Sicherheitslücken des ursprünglichen WPA behoben, welches das Verschlüsselungsprotokoll Temporal Key Integrity Protocol (TKIP) verwendet hatte. WPA2 gilt außerdem als sehr viel sicherer als die schon längst begrabene WEB Security. Trotzdem weist WPA2 noch immer signifikante Schwachstellen auf, die sich während des letzten Jahrzehnts herausgestellt haben.
Eine kritische WPA2-Schwachstelle ist beispielsweise die Möglichkeit, das WPA2-Personal Passwort mit Brute-Force-Angriffen zu knacken. Dabei wird im Grunde wieder und wieder versucht, das Passwort zu erraten, bis es irgendwann geknackt ist. Und was dieses Problem noch zusätzlich verschlimmert: Sobald die Hacker die richtigen Daten aus den Funkwellen gefischt haben, können sie die Passwort-Rateversuche sogar durchführen, ohne lokal vor Ort zu sein, was für sie natürlich umso praktischer ist. Ist das Passwort einmal geknackt, dann können sie auch sämtliche Daten, die sie zuvor gesammelt haben und natürlich später noch sammeln werden, entschlüsseln.
Hinzu kam, dass die Komplexität des WPA2-Personal Passworts des Netzwerks direkt damit zusammenhängt, wie schwer es ist, es zu knacken. Hat das Netzwerk also nur ein simples Passwort (wie es wahrscheinlich meistens der Fall ist), dann ist das Durchbrechen der Sicherheitsmaßnahmen umso einfacher.
Eine weitere große Schwachstelle von WPA2-Personal, die besonders für Unternehmensnetzwerke zum Tragen kommt, ist, dass der Nutzer mit dem Passwort den Netzwerk-Traffic eines anderen Nutzers einsehen und Angriffe durchführen kann. Obwohl der Business-Modus von WPA/WPA2 einen Schutz vor Nutzer-zu-Nutzer-Spionage bietet, wird zu seiner Verwendung ein RADIUS-Server oder ein Cloud-Service benötigt.
Das größte Defizit seit der Markteinführung von WLAN ist allerdings das Fehlen jeglicher integrierter Sicherheit, Verschlüsselung oder Privatsphäre in offenen, öffentlichen Netzwerken. Jeder mit den richtigen Tools kann daher andere Nutzer, die mit demselben WLAN-Hotspot eines Cafes, Hotels oder anderen öffentlichen Bereiches verbunden sind, ausspionieren. Dieses Ausspionieren kann entweder passiv erfolgen – indem beispielsweise die besuchten Webseiten überwacht oder ungesicherte E-Mail-Logindaten erfasst werden – oder auch aktiv, indem zum Beispiel die Sitzung übernommen wird, um sich so Zugang zum Webseiten-Login eines Benutzers zu verschaffen.
WPA3-Personal ermöglicht eine sicherere und individuellere Verschlüsselung
WPA3 verbessert die allgemeine WLAN-Verschlüsselung. Dies wird durch die „Simultaneous Authentication of Equals“ (SAE) gewährleistet, die die Pre-Shared Key (PSK) Authentifizierungsmethode früherer WPA-Versionen ersetzt. Auf dieses Weise wird eine bessere Funktionalität sichergestellt, sodass WPA3-Netzwerke mit einfachen Passwörtern für Hacker nicht mehr so einfach mithilfe von nicht lokalen, Wörterbuch-basierten Angriffen mit brachialer Rechenkraft zu knacken sind, wie es bei WPA/WPA2 der Fall war. Natürlich ist ein einfaches Passwort auch weiterhin leicht zu erraten, wenn ganz einfach versucht wird, sich direkt mit einem Gerät mit dem WLAN zu verbinden. Dabei handelt es sich allerdings um eine sehr viel unpraktischere Hacking-Methode.
Die Verschlüsselung mit WPA3-Personal ist sehr viel individueller. Nutzer in einem WPA3-Netzwerk können daher nicht den WPA3-Personal Traffic eines anderen Nutzers ausspionieren – auch dann nicht, wenn sie über das WLAN-Passwort verfügen und erfolgreich mit dem Netzwerk verbunden sind. Sollte ein Außenstehender das Passwort herausfinden, dann ist es außerdem nicht möglich, den Datenaustausch passiv abzufangen und so die Sitzungsschlüssel herauszufinden, was eine bessere Sicherheit des Netzwerk-Traffics gewährleistet. Es können außerdem keine Daten entschlüsselt werden, die vor dem Knacken des Passwortes gesammelt wurden.
Wi-Fi Easy Connect ist eine optionale Funktion, die vor kurzem bekanntgegeben wurde. Sie wird wahrscheinlich auf vielen WPA3-Personal Geräten zum Einsatz kommen und eventuell die Wi-Fi Protected Setup (WPS)-Funktion, die mit WPA/WPA2 eingeführt wurde, ersetzen oder ergänzen. Wi-Fi Easy Connect wurde entwickelt, um die Verbindung von Bildschirm-losen und IoT-Geräten mit dem WLAN zu erleichtern. Hierbei könnte eine Button-Methode ähnlich wie bei WPS zum Einsatz kommen. Es könnten aber auch zusätzliche Methoden wie das Scannen eines QR-Codes des Gerätes mit dem Smartphone ergänzt werden, um das Gerät sicher zu verbinden.
WPA3-Enterprise ist auf großflächiges WLAN ausgelegt
Für WPA3-Enterprise gibt es für einen noch besseren Schutz eine optionale 192-Bit Sicherheit. Hierbei könnte es sich um eine willkommene Funktion für Regierungsbehörden, große Unternehmen und andere hochsensible Umgebungen handeln. Je nach der spezifischen RADIUS-Server-Implementierung könnte der 192-Bit Sicherheitsmodus in WPA3-Enterprise allerdings Updates in Verbindung mit der EAP-Serverkomponente des RADIUS-Servers erfordern.
Wi-Fi Enhanced Open bietet Verschlüsselung für öffentliche Netzwerke
Eine der besten Verbesserungen, die die Wi-Fi Alliance vorgenommen hat, ist Wi-Fi Enhanced Open. Dieses sorgt dafür, dass die WLAN-Kommunikation offener Netzwerke (ohne Passphrase oder Passwort) zwischen den Zugangspunkten und individuellen Klienten mithilfe von Opportunistic Wireless Encryption (OWE) einzigartig verschlüsselt werden kann. Um den Managementdatenverkehr zwischen dem Zugangspunkt um den Nutzer-Geräten zu sichern, werden zudem Protected Management Frames verwendet.
Wi-Fi Enhanced Open verhindert somit, dass die Nutzer den Internet-Traffic anderer Nutzer einsehen und Angriffe wie die Übernahme einer Sitzung durchführen können. All das passiert vollkommen im Hintergrund, ohne, dass die Nutzer ein Passwort eingeben oder etwas anderes tun müssen, als sich wie gewohnt mit dem offenen Netzwerk zu verbinden.
Obwohl Wi-Fi Enhanced Open eigentlich kein offizieller Teil der WPA3-Spezifikationen ist, wird es wahrscheinlich gleichzeitig mit WPA3 in Produkte integriert werden. Im Grunde handelt es sich um eine optionale Funktion, die Anbieter in ihre Produkte integrieren können. Die Unterstützung der unverschlüsselten alten Verbindungen ist ebenfalls optional. Es könnte also die Möglichkeit geben, dass einige AP und Router-Anbieter in Zukunft, falls WPA3 nicht genutzt wird, die Verwendung von Wi-Fi Enhanced Open erzwingen (oder automatisch aktivieren).
Die Einführung von WPA3 könnte Jahre dauern
Was das Timing angeht, wird die breite Adoption von WPA3 nicht über Nacht erfolgen. Die ersten WLAN-Geräte, die WPA3 unterstützen, sollten gegen Ende 2018 auf den Markt kommen. Die WPA3-Unterstützung ist allerdings noch immer eine optionale Funktion, die für die Wi-Fi Alliance Zertifizierung noch für bis zu zwei Jahre keine Pflicht sein könnte. Einige Anbieter könnten die WPA3-Funktionalität als optionale Software-Updates für bestehende Geräte anbieten. Dafür gibt es allerdings keine Garantie. Es ist außerdem wichtig, anzumerken, dass einige WPA3-Funktionen ein Hardware-Update für die Produkte erfordern könnten.
Hinzu kommt, dass es Jahre dauert wird, bis Konsumenten und Unternehmen upgraden.
Selbst wenn ein Nutzer einen WPA3-fähigen Laptop oder ein Smartphone kauft, sollte er im Hinterkopf behalten, dass zur Nutzung der Sicherheitsvorteile auch das Netzwerk WPA3 unterstützen muss. Ein WPA3-Gerät wird sich allerdings auch weiterhin mit WPA2-Netzwerken verbinden können.
Zuhause hat ein Nutzer natürlich die volle Kontrolle über das Netzwerk und kann sich daher entscheiden, seinen Router und seine Geräte auf WPA3 upzugraden. Die Kosten für größere Netzwerke könnten allerdings auf eine sehr lange Adoptions-Periode von WPA3 für Unternehmen hindeuten. Dasselbe könnte auch für kleine, öffentliche WLAN-Hotspots gelten, da das drahtlose Internet für gewöhnlich keinen Umsatz einbringt. Nutzer, die auf die Sicherheit achten und in öffentlichen Netzwerken stets eine VPN-Verbindung nutzen, müssen diese somit wohl noch ein paar weitere Jahre verwenden.
WPA3-Personal bietet einen Übergangsmodus für die graduelle Umstellung auf ein WPA3-Personal Netzwerk an, bei dem sich WPA2-Personal Geräte auch weiterhin verbinden können. Die vollen Vorteile von WPA3-Personal können allerdings nur ausgeschöpft werden, wenn sich das Netzwerk im WPA3-only Modus befindet. Die genauen Vorteile, die im Übergangsmodus verloren werden und ihre Auswirkung auf die Sicherheit, sind momentan noch unbekannt. Hierbei könnte es sich daher durchaus um einen Grund handeln, wieso manche das WPA3-Netzwerk vielleicht erst dann verwenden wollen, wenn noch mehr WPA3-Endnutzergeräte auf den Markt gekommen sind.
Potenzielle Wi-Fi Enhanced Open Einschränkungen
Ein weiteres Problem, das mit Wi-Fi Enhanced Open in Erwägung gezogen werden muss, ist, dass manche Nutzer dadurch das Gefühl haben könnten, sicherer zu sein, als sie es tatsächlich sind. Es ist daher wichtig, zu verstehen, dass es keine umfassende Sicherheit gewährleistet – auch, wenn die Nutzer von individueller Verschlüsselung profitieren, die verhindert, dass ihr Traffic eingesehen werden kann. Das liegt daran, dass die Nutzer nicht wie in einem WPA3-Netzwerk authentifiziert und somit noch immer anfälliger für eventuelle Angriffe sind, als wenn sie sich beispielsweise Zuhause, auf der Arbeit oder in der Schule mit einem privaten Netzwerk verbinden.
Bei der Verwendung eines Wi-Fi Enhanced Open Netzwerks sollten Sie daher im Hinterkopf behalten, dass jegliche offen geteilte Netzwerke auf dem Gerät des Benutzers noch immer für andere Nutzer zugänglich sein könnten. Bedenkt man, dass der Zugang nicht Passwort-geschützt ist, dann kann man außerdem davon ausgehen, dass Wi-Fi Enhanced Open nicht dabei behilflich sein wird, Netzwerk-Fallen mit Netzwerk-Attrappen zu verhindern.
Momentan geben die meisten WLAN-Geräte nicht eindeutig die Art der verwendeten WLAN-Sicherheit des Netzwerkes an. Das könnte mit Wi-Fi Enhanced Open zu Problemen führen, da Nutzer mit einem unterstützten Gerät nicht einfach feststellen können, ob Drittanbieter-Netzwerke wie öffentliche Hotspots diesen Schutz nutzen. Möglichkeiten zu finden, wie die Sicherheitsfähigkeiten von Netzwerken besser auf den Geräten angezeigt werden können, ist für Geräteanbieter und Betriebssysteme daher eine wichtige Aufgabe. Wir hoffen beispielsweise, dass in Zukunft klar angezeigt wird, ob Netzwerke Wi-Fi Enhanced Open aktiviert haben und dass in diesem Fall eine Warnung wie auch für Netzwerke ganz ohne Sicherheitsmaßnahmen zu sehen sein wird.
Schreibe einen Kommentar