KRACK WLAN-Sicherheitslücke bedroht Unternehmen
23. Oktober 2017Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt. Weniger beachtet wurden bisher die Auswirkungen von KRACK auf den E-Mail-Verkehr. E-Mails sind grundsätzlich nur so sicher wie Postkarten. Wer Zugriff auf die Datenströme hat, kann E-Mails mitlesen und manipulieren. HTTPS schützt E-Mails nur beim Abruf vom Mailserver über den Browser. Für die Verschlüsselung der Verbindung zwischen Mailservern steht TLS-Verschlüsselung zur Verfügung.
Dr. Burkhard Wiegel, Geschäftsführer und Gründer des Berliner E-Mail-Verschlüsselungsspezialisten Zertificon, warnt davor, bei der E-Mail-Sicherheit ausschließlich auf TLS-Verschlüsselung zu vertrauen: „Die Transportverschlüsselung TLS wird nicht flächendeckend eingesetzt. Unsere eigenen Messungen haben ergeben, dass ca. 50 Prozent der E-Mails nicht TLS verschlüsselt sind. Wenn TLS eingesetzt wird, sind dies häufig veraltete Versionen. Auch das TLS-Zertifikatsmanagement ist nicht sicher. Denn Zertifikate werden selbst ausgestellt, Prüfmechanismen werden nicht genutzt. TLS ist anfällig für „Man-in-the-middle“-Attacken.“ Dr. Wiegel sieht sogar die grundsätzliche Gefahr durch TLS viel höher als bei der Sicherheitslücke KRACK: „Für Angreifer, die in der Lage sind, KRACK auszunutzen, ist das Hacken einer TLS-Verschlüsselung gar keine Herausforderung.“
Die Bedrohung für Unternehmen ist real. Wer sich in ein Gewerbegebiet begibt oder in den Ballungsräumen der Start-up-City Berlin ein Café aufsucht, hat sehr schnell physischen Zugang zu einer großen Auswahl an Firmen-WLANs und damit gegebenenfalls zur Kommunikation ganzer Unternehmen. Die Gefährdung wird vielfach unterschätzt. Dabei gibt es vielfältige Nutzungsszenarien für die E-Mail-Ausbeute eines Werktages. Eine der derzeit gefürchtetsten Attacken auf Unternehmen ist der CEO-Fraud. Die Aufklärung der Mitarbeiter zu dieser Betrugsmasche bleibt fruchtlos, wenn der Angreifer seine Story auf der Basis intimster Firmenkommunikation konstruieren kann. Doch auch der ungewollte Know-how-Transfer, Mitarbeiterabwerbung und Erpressungsversuche aller Art basieren auf Insider-Informationen, die über den Mailverkehr leicht zu erbeuten sind.
Einzig die Kombination aus E-Mail-Signatur und E-Mail-Verschlüsselung bietet Unternehmen, deren Geschäftspartnern und Kunden Sicherheit. Die Signatur bestätigt die Unversehrtheit der E-Mail-Inhalte und ihrer Anhänge, die Verschlüsselung dagegen bewahrt die gesamten Daten vor unberechtigtem Zugriff. Grundsätzlich sind Unternehmen und Privatpersonen gut beraten, sich beim E-Mail-Versand nicht alleine auf die Transportverschlüsselung wie WPA2 oder TLS zu verlassen. Wird nur der Übertragungsweg gesichert, bleiben die Daten darin schutzlos, wenn der sicher geglaubte Transporttunnel Lücken aufweist. Und die nächste Sicherheitswarnung kommt gewiss.
Ein großes Maß an Sicherheit sowohl für Privatnutzer als auch für Unternehmen bietet die Verschlüsselung der Inhalte. Wer seine E-Mails „Ende-zu-Ende“ verschlüsselt, schützt diese unabhängig von der Sicherheit der Transportstrecke. Wenn Angreifer Zugang zum WLAN bekommen oder sich in andere Datenleitungen hacken, bleiben als Beute nur nutzlose verschlüsselte Datenpakete. (rhh)