WPA3 – Was kann der Verschlüsselungsstandard?
Die Verschlüsselung von WLAN-Netzwerken ist sowohl für private Haushalte als auch für Unternehmen von großer Bedeutung. Schließlich sollen Dritte keinen Zugriff auf das Netzwerk erlangen. Neuester Standard zur Verschlüsselung ist WPA3, welches sicherer sein soll als sein Vorgänger.
Wir erklären im folgenden Artikel, worin die Unterschiede zu WPA2 bestehen und was WPA3 besser kann.
Was genau ist WPA3?
Der Wi-Fi Protected Access, kurz WPA (übersetzt etwa sowas wie „geschützter WLAN Zugang“), ist ein Sicherheitsprotokoll, mit dessen Hilfe WiFi-Netzwerke verschlüsselt und geschützt werden. WPA3 bezeichnet die neueste Version dieses Protokolls und löst nach vielen Jahren seinen Vorgänger WPA2 ab. Dieser hatte zuletzt immer mehr Schwachstellen offenbart. Deshalb entwickelte man ein überarbeitetes Protokoll.
Primäre Ziele der Entwicklung von WPA3 waren die Optimierung der Benutzerfreundlichkeit sowie der Verschlüsselungsstärke. Trotz aller Verbesserungen ist WPA3 allein nicht ausreichend, um WiFi-Netzwerke vollumfänglich gegen Angriffe durch Dritte zu schützen.
WPA2 mit Sicherheitslücken
Hauptproblem des Vorgängers WPA2 ist eine Angriffsmethode, die man im Fachjargon KRACK nennt. Dahinter verbirgt sich die Problematik, dass Angreifer direkt auf das Netzwerk zugreifen konnten. Bis zur Entdeckung dieses Problems mussten Dritte warten, bis der Nutzer eine Verbindung zum Router aufbaute. Erst dann hatten sie überhaupt die Möglichkeit, das Passwort auszuspähen. Aufgrund der Sicherheitslücke wurde es ermöglicht, diesen Schritt zu überspringen und das Passwort ohne Umwege abzugreifen. Einzige Bedingung hierfür ist, dass sich der Angreifer im Funkbereich des Routers befindet. Da alle gängigen Router der letzten Jahre mit WPA2-Verschlüsselungen arbeiten, besteht somit ein Risiko für einen Großteil aller Netzwerke. Mithilfe von WPA3 wird dieser Form des Angriffs nun ein Riegel vorgeschoben.
Trotz der Sicherheitslücke von WPA2 muss niemand sofort in Panik verfallen. Zwar kann ein Hacker über die Lücke auf das System zugreifen, dabei aber ausschließlich unverschlüsselten Datenverkehr abfangen, der zwischen Endgerät und Router stattfindet. Sind Daten oder Webseiten beispielsweise per HTTPS verschlüsselt, so kann der Angreifer diese nicht auslesen.
Wie sicher ist WPA3?
Dahinter verbirgt sich ein neuartiges Verfahren, das den Schlüsselaustausch absichert. Jedes an das Netzwerk angeschlossene Gerät kann das WLAN-Kennwort selbstständig überprüfen, ohne dass es die Schlüssel oder Daten über den Router respektive den Access Point lenkt. Diese Neuerung sorgt dafür, dass die generelle Angriffsfläche deutlich kleiner ist als bei WPA2.
Weiterhin arbeitet WPA3 mit sogenannten Protected Management Frames (PMF). Diese verschlüsselten Steuerungspakete sorgen dafür, dass Angreifer keine Abmeldungen von Clients im WLAN mehr vornehmen können. Durch diese Abmeldungen setzte man bei einem solchen Angriff auf die Neuanmeldung desjenigen Clients, um damit das Passwort herausfinden zu können. PMF wurde von einigen Routerherstellern (z. B. bei den FRITZ!Boxen von AVM) bereits für WPA2 mit angeboten.
Unterschiede der WPA3-Versionen
Das Verschlüsselungssystem WPA3 ist derzeit in zwei Versionen erhältlich, die sich hinsichtlich der Anforderungen des Endbenutzers voneinander unterscheiden. Einerseits gibt es eine Ausführung für den privaten Gebrauch, andererseits eine Version für den geschäftlichen Gebrauch. Grob betrachtet finden sich zunächst keine signifikanten Unterschiede, wenngleich WPA3-Enterprise über bessere Sicherheitsvorkehrungen verfügt.
WPA3-Personal arbeitet mit einer 128-Bit-Verschlüsselung. Zur Authentifizierung wird zudem einen SAE-Handshake genutzt, mit dessen Hilfe Brute-Force-Angriffe abgewehrt werden. Dies gilt auch für tendenziell unsichere und vermeintlich einfach zu knackende Passwörter, da Brute-Force-Attacken bei WPA3 schlichtweg keinen Sinn ergeben. Weiterhin wird bei jeder neuen Verbindung einer neuer Satz an Verschlüsselungsschlüsseln generiert. Dies sorgt dafür, dass Dritte selbst bei Kompromittierung nur einen Teil der Daten erlangen und somit keinen Zugriff erhalten.
WPA3-Enterprise besitzt diese Funktionen ebenfalls. Hinzu kommen ein zusätzlicher Schutz für sensible Netzwerke wie sie beispielsweise bei Regierungen oder Finanzinstituten zu finden sind. Um die Sicherheit zu erhöhen, enthält WPA3-Enterprise einen optionalen Sicherheitsmodus. Dieser verfügt mindestens über eine 192-Bit-Verschlüsselung (oft auch höher).
Der größte Unterschied zwischen beiden Versionen ist auf der Authentifizierungsebene zu finden. WPA3-Personal baut, wie bereits erwähnt, auf die Simultaneous Authentication of Equals, kurz SAE. Hierbei verwenden alle Nutzer innerhalb des privaten Netzwerks dasselbe WLAN-Passwort. Der Wechsel vom ehemaligen PSK-System (Pre-Shared Key) bei WPA2 zu SAE sorgt dafür, dass man selbst mit Kenntnis des aktuellen Passworts keine vorher aufgezeichneten Daten nachträglich entschlüsselen kann. Dem gegenüber steht die Lösung für Unternehmen, die eine Vielzahl an Funktionen vereint. Damit kann sich jeder Nutzer mit individuellen Zugangsdaten in das System einloggen.
Benötigt man WPA3 dringend?
Ob und wie dringend ein Wechsel auf WPA3 erfolgen sollte, ist primär von den Daten abhängig, die geschützt werden sollen. Je sensibler die Daten sind, desto eher empfiehlt sich ein Wechsel.
Problematisch bei der Umstellung ist die Tatsache, dass es bislang vergleichsweise wenige Geräte sowie Systeme auf dem Markt gibt, die WPA3 unterstützen.
Diese Geräte unterstützen WPA3 bereits
WPA3 wurde von der Wi-Fi Alliance bereits 2018 veröffentlicht. Dennoch nimmt die Anzahl der kompatiblen Geräte nur langsam zu. Seitens der Hersteller könnte man zahlreiche Geräte mit der neuen Sicherheitsverschlüsselung aktualisieren. Da die Hersteller selbstverständlich finanzielle Interessen verfolgen, wird dies nur in einem geringen Maß erfolgen. Wahrscheinlicher ist es, dass man neue Router sowie Betriebssysteme für mobile Endgeräte auf den Markt bringt, die die WPA3-Unterstützung mit sich bringen.
Einige Unternehmen wie Google, Apple oder AVM als Hersteller der FRITZ!Box bieten diese Unterstützung schon jetzt an. Für Android gibt es sie seit der Version 10, für iOS seit Version 13. Wer bereits einen Router mit WPA3 besitzt, der schützt seine Daten via Smartphone oder Tablet bereits auf diese Weise.
Besitzer von IoT- sowie Smart Home-Geräten können ebenfalls von WPA3 profitieren. Die Benutzerfreundlichkeit wurde dahingehend verbessert, dass man die Geräte per QR-Code mit dem WiFi verbinden kann. Insbesondere bei Geräten ohne Display erleichtert das die Anbindung und die Sicherstellung der gewünschten Netzwerksicherheit.
Lassen sich alle Systeme von WPA2 auf WPA3 umstellen?
Ob ein Gerät auf WPA3 umgestellt werden kann, ist vom jeweiligen WLAN (respektive dem Router bzw. Access Point) abhängig. Während einzelne Anbieter dies ermöglichen, besteht die Option bei anderen nicht. Ausschlaggebend hierfür ist meist die Tatsache, dass noch nicht alle Endgeräte WPA3 unterstützen. Vor einer Umstellung sollte man zunächst sichergestellen, dass das WLAN-System den WPA3-Standard unterstützt.
Nicht jeder möchte sofort das gesamte Heimnetzwerk auf WPA3 umrüsten. In einer solchen Situation gibt es eine Alternative – den sogenannten Transition Modus. Er bietet die Möglichkeit, WPA2 und WPA3 parallel zu nutzen.
Zusammenfassung
WPA2 | WPA3 | |
---|---|---|
Worum handelt es sich? | Ein Sicherheitsprotokoll, was von der Wi-Fi Alliance 2004 vorgestellt wurde. Die veralteten Protokolle WEP und WPA sollten damit ersetzt werden. | WPA3 ist die neue Generation von WPA, wurde 2018 veröffentlicht und hat bessere Sicherheitsmerkmale; schützt das Netzwerk auch mit schwachen Passwörtern, die sonst durch Brute-Force-Attacken oder durch erraten geknackt werden könnten. |
Methoden | Nutzt AES-Verschlüsselung statt RC4 (wie bei WEP und WPA). CCMP ersetzt TKIP (bei WPA). | 128-Bit-Verschlüsselung bei WPA3-Personal, 192-Bit bei WPA3-Enterprise. WPA3 ersetzt auch den Pre-Shared Key (PSK) mit SAE. Damit wird ein sichererer Schlüsselaustausch gewährleistet. |
Sicherheit | WPA2 ist besser als WEP und WPA und wird durch die Deaktivierung von WPS noch etwas sicherer. Wenn die Möglichkeit besteht, sollte aber WPA3 genutzt werden. | WPA3 ist sicherer als WPA2. Es sollte – wenn möglich – bevorzugt genutzt werden. |
Protected Management Frames (PMF) | WPA2 unterstützt PMF seit Anfang 2018. Ältere Router ohne Firmware-Aktualisierung unterstützen PMF meist nicht. | WPA3 nutzt die Protected Management Frames – PMF. |