In den letzten Tagen konnte man sich in den Fach- und Mainstreammedien kaum vor dem Begriff KRACK retten. Selbst Tageszeitungen wie die Süddeutsche Zeitung platzierten Informationen dazu prominent auf der ersten Seite. Dahinter steht ein gewachsenes Interesse an IT-Sicherheit. Die Bedeutung dieses Themas in unserer hochgradig digitalisierten Gesellschaft ist inzwischen auch in breitere Kreise vorgedrungen und wird folglich nicht mehr nur in den Fachmedien rezipiert.
Im Grunde genommen ist KRACK aber nicht mal besonders schlimm, sondern ein Paradebeispiel wie gut es ablaufen kann. Bereits eine Woche nach Bekanntwerden der Lücke hat Windows einen Patch verteilt, macOS ist hier mutmaßlich etwas langsamer aber spätestens mit dem nächsten Minorrelease ist auch die Apple Softwarewelt abgesichert. Die großen Linux-Distributionen reagierten ebenfalls schnell. Bereits nach wenigen Tagen hatten alle entsprechende Updates für wpa_supplicant in die Paketquellen eingespeist. Gleichzeitig haben viele Router ebenfalls Updates bekommen. Die Liste der einzelnen Hersteller-Reaktionen kann man bei Heise ansehen.
Gleichzeitig hat KRACK aber den Fokus auf die schwärende Wunde namens Android gerichtet. Es ist ein offenes Geheimnis, dass die Art und Weise wie Google Android über die Smartphone-Hersteller vertreibt eine einzige Katastrophe ist. Google hat ein Interesse an einem sicheren Android, nicht umsonst gibt es monatlich Patches für das System. Die Hersteller wollen jedoch nur Geräte verkaufen, ist das Produkt aus dem Verkaufszyklus, verlieren sie das Interesse. Das gleiche gilt für viele IoT-Geräte, auch wenn die Betriebssysteme hier noch heterogener sind.
Experten und versierte Nutzer überrascht das nicht. Die Missstände sind seit Jahren bekannt und genau so lange geloben Google und die Hersteller schon Besserung. Die meisten normalen Kunden interessieren sich nicht so für die Details. Dass auch Smartphones Updates brauchen um sicher zu bleiben, ist eine Schlussfolgerung, die sich nicht jedem sofort aufdrängt. Dass namhafte Kommentatoren nun nach einem staatlichen Zwang zur Update-Garantie rufen ist richtig, versagt der Markt, muss der Staat im Interesse seiner Bürger handeln.
Die Linux-Community hat daran auch ein besonderes Interesse. Zwar war die Linux-Implementierung von WPA wohl besonders anfällig, aber die großen Distributoren schlossen die Lücke auch besonders schnell. In den Zeitungen musste man aber oft lesen, dass Android, IoT und Linux über einen Kamm geschoren werden. Linux stand nun als besonders unsicher da. Hier rächt sich die Anpassungsfähigkeit an alle Geräteklassen.
Android ist kein Traum, sondern ein Alptraum. Der Linux-Basis, gepaart mit dem teilweise offenen Quellcode hat hier nur ein falsches Gefühl von Sicherheit erzeugt.
