CAS Information Security & Risk Management 2018: Was bringt uns WPA3?

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Was bringt uns WPA3?

Im Zuge der Digitalisierung und der Mobilität wird der Zugriff auf Daten von überall immer wichtiger. Zum Beispiel im Gesundheitswesen können Prozesse zum Austausch von Informationen (Krankenakte) durch die Digitalisierung (Datenabfrage über das WLAN via Tablet) stark beschleunigt werden. Aber gerade im Gesundheitswesen haben wir kritische Daten, die geschützt werden müssen. Auch wächst der Anteil von WLAN-Geräten stetig weiter. Sei es durch den Einsatz von IoT oder auch im anderen Bereichen wie zum Beispiel zur Steuerung von Gebäudeautomation, Abrufen von Informationen usw. Wir leben in einer immer stärker vernetzten Welt und verwenden täglich x-mal WLAN–Infrastrukturen, um unsere Daten abzurufen. Meistens machen wir uns keine Gedanken, was alles passieren könnte. So steigt auch unser Vertrauen in die Technik, je öfter wir damit konfrontiert sind und je öfter wir bewusst oder auch unbewusst Daten über WLAN-Infrastrukturen abrufen. Gerade deshalb muss zur Übertragung der Daten der optimale Schutz zur Sicherheit gewährleistet werden. Im neuen Sicherheitsprotokoll WAP3 wird die Sicherheit für das Wi-Fi noch einmal verbessert und optimiert. Was aber ist WPA eigentlich? WPA (Wi-Fi Protected Access) ist ein Sicherheitsstandard für drahtlose Netzwerke. WAP setzt auf dem Sicherheitsprotokoll WEP (Wired Equivalent Privacy) auf. Im Gegensatz zum WEP, wurde beim WAP eine Benutzerauthentifizierung eingebaut und WAP setzt auf einen dynamischen Schlüssel. Mit der Einführung von WPA2 wurde die Verschlüsselungsmethode RC4 durch AES (Advanced Encryption Standard) ersetzt. WAP2 galt bis zur Entdeckung der Sicherheitslücke KRACK als relativ sicher. Obwohl es in der Zwischenzeit ein Update für die Sicherheitslücke gibt, kann man davon ausgehen, dass auf vielen WLAN Devices das Update nicht eingespielt wurde und so ein Angriff auf ungeschützte WLANs immer noch möglich ist. Gerade bei WLANs, die nicht professionell betreut werden, ist die Gefahr, dass die Sicherheitslücke nicht gefixt wurde immer noch sehr hoch. Auf der CES in Las Vegas wurde durch die Wi-Fi Alliance® der neue Standard WPA3 angekündigt. Was bringt der neue Sicherheitsstandard WPA3? Das Ganze lässt sich auf vier Punkte zusammenfassen: Punkt 1) Die Verbindung mit Geräten ohne Display vereinfachen Der Prozess für die Konfiguration und Einbindung in WLANs mit Geräten ohne Display ist oft sehr schwierig. WAP3 unterstützt diesen Prozess und ermögliche eine einfache Einbindung. Punkt 2) Verbesserter Schutz in offenen WLANs In öffentliche Netzten wird oft kein Passwort verlangt und sie sind unverschlüsselt. So ist es relativ leicht, Daten von Mitbenutzenden abzuhören. Mit WAP3 wird neu die Verbindung verschlüsselt, damit niemand Zugriff auf die übertragenen Daten hat. Punkt 3) Schutz für mangelhafte Passwörter Schlecht gewählte oder einfache Passwörter, die nicht den Empfehlungen entsprechen sind leicht angreifbar. WAP3 schützt diese Passwörter, auch wenn sie die Komplexitätsempfehlungen nicht erfüllen. Punkt 4) 192-Bit-Verschlüsselung Unternehmen und Regierungen mit höheren Anforderungen an ihre WLANs. WAP3 unterstützt eine 192-Bit-Verschlüsselung, um diese Anforderungen neu abzudecken. Nun, allein mit dem neuen WPA3-Standard ist die Sache noch nicht erledigt. Einerseits braucht es WLAN-Infrastrukturen, die für WPA3 zertifiziert sind. Andererseits müssen auch die angeschlossenen Geräte für das neue Protokoll zertifiziert sein. Auch wenn es wahrscheinlich bald WAP3-zertifizierte Geräte auf dem Markt geben wird, wird es sicher noch lange dauern, bis alle Devices ausgewechselt sind, und diese ebenfalls den neuen Standard verwenden. Am Schluss kommt auch noch der Faktor Mensch dazu: Wie sensibel gehe ich mit meinen Daten um? Aber auch: Setze ich konsequent den neuen Standard um?

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.