Sicheres WLAN: Der Verschlüsselungsstandard WPA3

Die Datenübertragung per WLAN unterliegt einem ständigen Wettlauf zwischen Hackerangriffen und Schutzmaßnahmen. Im Juni 2018 verabschiedete die Wi-Fi Alliance den neuen Sicherheitsstandard Wi-Fi Protected Access 3, kurz WPA3. Seit Juli 2020 ist der Standard Pflicht für alle Geräte, die das „WiFi Certified“ Logo der Wi-Fi-Allianz tragen. WPA3 war notwendig, da es Angreifern 2017 durch die KRACK-Sicherheitslücke gelungen ist, Zugang zu WPA2-verschlüsselten Netzwerken zu erhalten. WPA2 gilt seitdem als unsicher. Ein Update bzw. Umstieg auf WPA3 ist daher sowohl im privaten Umfeld als auch im Bereich Business WLAN dringend empfohlen. Neben der höheren Sicherheit, hat WPA3 aber noch weitere interessante Funktionen – beispielsweise für die Bereiche Public Hotspots und Smart Home – im Gepäck.

Von WPA2 zu WPA3

Mit WPA2 hatte die Wi-Fi Alliance 2004 einen Sicherheitsstandard für Funknetzwerke nach den WLAN-Standards IEEE802.11a, b, g, n und ac implementiert. Im Vergleich zum Vorgänger WPA, der auf dem Temporal Key Integrity Protocol (TKIP) basiert, wird bei WPA2 als Verschlüsselungsmethode Advanced Encryption Standard (AES) genutzt. So konnten bereits einige Verbesserungen in Punkto Sicherheit erzielt werden, beispielsweise beim Austausch des Pre-Shared-Key und unter der Voraussetzung, dass ein starkes (komplexes und langes) Passwort verwendet wird. Der aktuelle Standard WPA3 geht noch einen Schritt weiter und eignet sich dank der 192-bit-Encryption auch für Netzwerke mit höchsten Sicherheitsanforderungen. WPA3 basiert auf Simultaneous Authentification of Equals (SAE), was den Pre-shared Key (PSK) von WPA2 ablöst. Die Schwachstellen, welche sich die KRACK-Sicherheitslücke zunutze macht, wurden damit ausgehebelt.

Sicherer Schlüsselaustausch dank Simultaneous Authentification of Equals (SAE)

WPA3 macht das Verbinden mit einem Netzwerk deutlich sicherer: Durch den Einsatz des Sicherheitsprotokolls Simultaneous Authentification of Equals (SAE) gelingt es Angreifern nicht mehr, den zur Datenübertragung zwischen zwei Geräten notwendigen Austausch eines Schlüssels (Handshake) abzufangen. Mit der neuen Methode, die auch unter dem Namen Dragonfly bekannt ist, kann jedes Gerät den Schlüssel auf Echtheit prüfen, ohne dass es einzelne Teile des Passworts übertragen muss. Zudem ist es Angreifern dank Forward Secrecy nicht möglich, im Vorfeld aufgezeichnete Datenpakete nachträglich zu entschlüsseln. Da für jede Datenübertragung zwischen zwei Geräten ein temporärer Schlüssel genutzt wird, können Hacker im Falle eines erfolgreichen Angriffs auch nur diese Daten abfangen, nicht aber Daten einer anderen Session. Ebenso wenig gelingt es, Clients aus WLAN-Netzen oder -Hotspots abzumelden, um eine erneute Anmeldung zu erzwingen und damit den WPA-Handshake aufzuzeichnen und so an das Passwort zu gelangen. Bei WPA3 sind Nutzer auch durch kurze, einfache Passwörter besser geschützt.

Mehr Sicherheit für öffentliche Hotspots durch Wi-Fi Enhanced Open

Am Bahnhof mal schnell in den Hotspot einloggen und die E-Mails checken? Oder im Café noch die Präsentation fürs Meeting hochladen? Öffentliche Netzwerke machen es möglich. Durch die Implementierung von Enhanced Open System in WPA3 ist das Einloggen in öffentliche Hotspots nun noch sicherer. Unter dem alten WPA2 Standard konnte jeder, der in einem öffentlichen Netzwerk surft, die Aktivitäten der anderen Nutzer beobachten. Mit WPA3 ist dies nicht mehr möglich. Smartphones, Tablets und Notebooks, die sich mit einem WPA3-Hotspot verbinden, bekommen einen eigenen individuellen Schlüssel zugewiesen. Gemäß dieser Opportunistic-Wireless-Encryption-Methode kann der Datenverkehr nicht mehr ausgelesen werden. Das WLAN benötigt weiterhin kein Passwort und bleibt somit für jeden öffentlich zugänglich.

Vereinfachte Konfiguration im Smart Home dank Wi-Fi Easy Connect

Mit der neuen Funktion Wi-Fi Easy Connect können Nutzer Geräte des Internet of Things (IoT) einfacher mit dem heimischen Netzwerk verbinden. Meist besitzen Smart-Home-Geräte keine Displays oder Input-Möglichkeiten. Um sie dennoch schnell und unkompliziert mit dem WLAN zu verbinden, ohne manuell auf den WLAN-Schlüssel zuzugreifen, genügt das Scannen eines QR-Codes: Hierzu müssen Nutzer lediglich mit einem Smartphone den QR-Code am Router sowie am gewünschten Gerät scannen. Beide Geräte sind im Anschluss einfach und sicher miteinander verbunden.

Einsatz in sicherheitsrelevanten Bereichen mit WPA3 Enterprise

WPA3 unterscheidet wie WPA2 zwischen Enterprise und Personal Mode. Neben etlichen neuen Features für die WLAN-Nutzung mit privaten Endgeräten, wurden mit dem neuen Standard auch das Sicherheitslevel für Business WLAN-Umgebungen deutlich erhöht. Die dritte WPA-Generation setzt bei der Authentifizierung auf eine 192-Bit-Minimum-Verschlüsselung. Dadurch ist WPA3 im Enterprise-Mode zur geschäftlichen Nutzung besonders stark verschlüsselt und kommt daher auch in sicherheitsrelevanten Bereichen, wie Regierungsorganisationen, Behörden oder sensiblen Industrieunternehmen zum Einsatz.

Geräte per Software auf WPA3 updaten

Neue Geräte sind – je nach Hersteller – bereits seit 2018 mit WPA3 ausgestattet. Dennoch finden sich in vielen Haushalten und auch in Unternehmen noch häufig Geräte, die über WPA2 verfügen. Aufgrund der verbesserten Sicherheitsfeatures empfiehlt es sich, baldmöglichst auf den neuen WPA3-Standard umzusteigen. D-Link Geräte wie WLAN Access Points, Router und Kameras haben häufig schon WPA3 an Bord. Speziell für die D-Link Access Points, die im Business Wireless Umfeld zum Einsatz kommen, wie zum Beispiel die Nuclias Access Points, ist WPA3 per Firmware Update bereits verfügbar bzw. schon in Vorbereitung. In Zukunft werden immer mehr neue D-Link Produkte WPA3 unterstützen.