SHIELD

Konnektivität

Öffentliches WLAN: die vernünftige Paranoia

Das reale Risikoniveau im Jahr 2025, was sich mit flächendeckendem HTTPS geändert hat, und die guten Praktiken, die relevant bleiben.

Veröffentlicht am 13 Min. Lesezeit Allgemein

Zuletzt überprüft:

An einen Switch angeschlossene Netzwerkkabel

Ein Berater zeigt mir stolz sein Setup in der Lobby eines Hotels in Singapur: kostenloses VPN am Vortag installiert, weil er „dem Hotel-WLAN niemals vertraut”. Während er mit mir redet, schiebt sein Telefon gerade seine Kontakte zum Analytics-Server des kostenlosen VPN-Anbieters. Das Hotelnetzwerk selbst war vollkommen banal. Die Bedrohung, die er fürchtete, existierte nicht; die, die er eingeladen hatte, lief in seiner Hosentasche.

Angle de lecture

Die übliche Falle

Der vorherrschende Diskurs über öffentliches WLAN schwankt zwischen zwei Karikaturen, und beide schaden Ihnen. Die erste, jene aus den 2010er-Jahren, die in den kopierten Sensibilisierungsschulungen überlebt: „Öffentliches WLAN ist tödlich gefährlich, öffnen Sie niemals Ihre Mails aus einem Café, ein Hacker kann alles sehen.” Diese Angst hat eine reale Wurzel — 2014 war das Abfangen einer Sitzung in einem offenen Netzwerk ein Zaubertrick für Anfänger — aber sie beschreibt ein Internet, das nicht mehr existiert. Damals lief der Großteil des Web-Verkehrs im Klartext. Die Firesheep-Erweiterung erlaubte 2010 jedem, die Facebook-Sitzungen der Tischnachbarn mit zwei Klicks zu stehlen. Diese Welt hat den Reflex „öffentliches WLAN = absolute Gefahr” geprägt.

Die zweite Karikatur ist das genaue Gegenteil, und sie gewinnt an Boden: „HTTPSSichere HTTP-Version, die die Kommunikation zwischen Browser und Server über TLS verschlüsselt. ist jetzt überall, alles ist verschlüsselt, öffentliches WLAN stellt kein Problem mehr dar.” Das ist in die andere Richtung falsch. HTTPS hat zwar die historische Angriffsfläche zum Einsturz gebracht, aber es deckt nicht alles ab, und einige Restvektoren sind genau jene, die niemand überwacht, weil man das Thema für erledigt erklärt hat.

Die richtige Position ist weder Panik noch Sorglosigkeit. Es ist die vernünftige Paranoia: genau zu wissen, was heute geschützt ist, was nicht, und sein Verhalten am realen Kontext auszurichten — ein Café in Köln ist nicht das WLAN einer Branchenkonferenz in Shenzhen. Das Problem beider vorherrschender Diskurse ist, dass sie eine absolute Regel vorschlagen. Es gibt aber keine absolute Regel. Es gibt ein Bedrohungsmodell, und es hängt davon ab, wer Sie sind und wo Sie sind.

Was HTTPS wirklich geändert hat — und was es nicht berührt hat

Seien wir präzise bei der Mechanik, denn von dort leitet sich alles Weitere ab. Vor der flächendeckenden Verbreitung von HTTPS — sagen wir vor 2018 für die kritische Masse — konnte ein Angreifer im selben Netzwerk den exakten Inhalt Ihrer Seiten lesen, Ihre Zugangsdaten im Klartext mitschneiden, Code in die besuchten Seiten einschleusen und Ihre Sitzungs-Cookies stehlen, um Ihre Identität zu usurpieren. Das war trivial. Heute sind über 95 % des in Chrome und Firefox geladenen Web-Verkehrs in HTTPS. Der Inhalt läuft Ende-zu-Ende verschlüsselt zwischen Ihrem Browser und dem Server. Ein Angreifer, der das Café-WLAN abschnüffelt, sieht verschlüsseltes Rauschen zu IP-Adressen. Er liest nicht Ihre Gmail-Mail, er stiehlt nicht Ihr Passwort auf einer gültigen HTTPS-Verbindung.

Das ist ein massiver, realer Fortschritt, und man muss es klar sagen: Eine berufliche Mail aus dem WLAN eines Hotels über eine gültige HTTPS-Sitzung zu senden, kompromittiert nicht den Inhalt dieser Mail. Das ist keine beruhigende Näherung, das ist die kryptografische Realität. Die generische Angst „man kann alles sehen” ist überholt.

Aber HTTPS verschlüsselt nicht alles, und hier kommt es auf die Nuance an. Was es selbst bei perfekter Funktion auslecken lässt: die Verbindungsmetadaten. Der Beobachter im Netzwerk sieht nicht den Inhalt Ihrer Banking-Sitzung, aber er sieht, dass Sie mit der Domain Ihrer Bank sprechen, zu welcher Uhrzeit, wie lange und mit welchem Volumen. Dieses Leck läuft über zwei Kanäle: das DNSSystem, das Domainnamen in IP-Adressen auflöst. Ein stark unterschätzter Überwachungs- und Zensurvektor., falls Ihre Namensauflösungs-Anfragen im Klartext hinausgehen — was bei vielen Konfigurationen die Voreinstellung bleibt — und das SNI-Feld (Server Name Indication) des TLSTransport-Verschlüsselungsprotokoll, Grundlage von HTTPS und moderner Web-Sicherheit.-Handshakes, das den Namen des besuchten Servers ganz zu Beginn der verschlüsselten Verbindung im Klartext ankündigt. Encrypted Client Hello (ECH) beginnt, dieses letzte Loch zu schließen, aber sein Rollout bleibt 2026 partiell.

Über die Metadaten hinaus entziehen sich mehrere Verkehrskategorien weiterhin dem HTTPS-Schutz. Captive Portals werden konstruktionsbedingt im Klartext ausgeliefert. Manche mobilen Apps machen noch interne APIDaten über Daten: wer hat was geschrieben, wann, wo, an wen.-, Analytics- oder Update-Aufrufe in unverschlüsseltem HTTP — die browserseitige Verbreitung sagt nichts über schlecht programmierte Apps aus. Alte Mail-Protokolle ohne explizites TLS (IMAP/POP3/SMTP im Klartext) schleppen sich noch in vergessenen Unternehmenskonfigurationen herum. Und Seiten, die kein HSTSHTTP-Header, der zukünftige Besuche einer Domain auf HTTPS erzwingt. implementieren, bleiben einem SSLstrip-Downgrade ausgesetzt: Ein Angreifer in MITMAngriff, bei dem ein Akteur sich in eine Kommunikation zwischen zwei Parteien einschaltet, die sich für direkt verbunden halten.-Position zwingt die Verbindung zurück auf HTTP, bevor der Browser das HTTPS verriegelt hat. Die großen Plattformen sind in den HSTS-Listen der Browser vorgeladen und damit geschützt; die weniger geläufige Seite Ihres Dienstleisters deutlich weniger.

Das reale Bedrohungsmodell, Vektor für Vektor

Hören wir auf, die abstrakte Angst vor dem „Café-Hacker” zu schüren, und listen wir die konkreten Vektoren auf, die 2026 ausnutzbar bleiben. Sie ordnen sich in einige Familien, nach abnehmender realer Häufigkeit.

Das bösartige Captive Portal. Das ist der mit Abstand am meisten unterschätzte Vektor. Wenn Sie dem WLAN eines Hotels, eines Flughafens oder eines Zuges beitreten, landen Sie auf einer Captive-SeiteOffenes oder gemeinsam genutztes WLAN (Hotel, Café, Konferenz) — besonderes Bedrohungsmodell. — Willkommen, Akzeptieren von Bedingungen, Eingabe eines Codes. Diese Seite wird in HTTP ausgeliefert. Ein feindliches Netzwerk kann ein gefälschtes Portal präsentieren, das Sie auffordert, sich mit Ihrer E-Mail-Adresse und einem Passwort zu „authentifizieren”, oder das Sie einlädt, ein „Sicherheitszertifikat” zu installieren, um Internetzugang zu erhalten. Dieses Zertifikat erlaubt es, einmal installiert, Ihren HTTPS-Verkehr zu entschlüsseln — es macht Ihr eigenes Gerät zum Komplizen des MITM. Die Regel ist einfach und absolut: einen Zimmercode, zur Not. Ihre Zugangsdaten, niemals. Ein Zertifikat, niemals.

Der Evil Twin. Ein Angreifer betreibt einen Access Point mit derselben SSID wie ein erwartetes Netzwerk: Airport_Free_WiFi, Starbucks_Guest, ConferenceWiFi. Ihr Gerät kann sich, wenn es ein Netzwerk dieses Namens gespeichert hat, automatisch und stillschweigend damit verbinden. Einmal in diesem vom Angreifer kontrollierten Netzwerk wird alles Weitere — DNS-Spoofing, gefälschtes Portal, Downgrade-Versuch — trivial, weil er die Infrastruktur beherrscht. Deshalb ist die automatische Verbindung mit offenen Netzwerken eine schlechte Idee und das Bereinigen der gespeicherten Netzwerke keine Spielerei.

Das DNS-Spoofing. Ohne aktives DoHProtokoll, das DNS-Anfragen in HTTPS verschlüsselt und sie vor dem ISP verbirgt. oder DoTDoH-Variante mit direktem TLS statt HTTPS. gehen Ihre Auflösungs-Anfragen im Klartext hinaus, und das Netzwerk kann nach Belieben darauf antworten. Sie tippen den Namen Ihrer Bank, der feindliche Resolver schickt die IP einer gefälschten Seite zurück. Theoretisch rettet Sie HTTPS: Das Zertifikat der gefälschten Seite wird nicht validieren, und der Browser zeigt eine Warnung an. In der Praxis klickt ein nicht zu vernachlässigender Bruchteil der Nutzer „trotzdem fortfahren”. Die DNS-Verschlüsselung beseitigt diesen Vektor an der Wurzel.

WPA2 mit geteiltem Schlüssel. Das technische Detail, das fast niemand kennt: In einem WPA2-PSK-Netzwerk, in dem alle Clients dasselbe Passwort teilen — der Standardfall in Hotels und Cafés — kann ein Client, der dieses Passwort kennt und den Assoziations-Handshake eines Opfers mitgeschnitten hat, dessen Sitzungsschlüssel ableiten und seinen WPA2-Verkehr entschlüsseln. Anders gesagt: Ein „passwortgeschütztes” Netzwerk, das von 200 Personen geteilt wird, ist gegenüber diesen 200 Personen kaum privater als ein offenes Netzwerk. WPA3 (mit SAE) korrigiert das, bleibt aber im Hotelbestand in der Minderheit.

Das Traffic-Fingerprinting. Selbst unter VPN und HTTPS kann ein passiver Beobachter die Timing-Muster, die Volumina und die Paketsequenzen analysieren, um Ihre Aktivität abzuleiten. Das ist ein ausgefeilter Angriff, relevant für wirklich exponierte Profile und staatliche Gegner, nicht für den durchschnittlichen Geschäftsreisenden. Ich erwähne ihn, um ehrlich über die Obergrenze des Modells zu sein, nicht um Angst zu schüren.

Der richtige Ansatz: kalibrieren, nicht ritualisieren

Der pragmatische Wechsel besteht darin, aufzuhören, DIE universelle Regel zu suchen, und nach dem momentanen Risikoniveau zu denken. Öffentliches WLAN ist nicht absolut gefährlich oder sicher; es ist es in Abhängigkeit davon, was Sie transportieren, wer Sie sind und in welcher Rechtsordnung Sie sind. Drei Maßnahmen ändern wirklich etwas, und sie kosten fast nichts; der Rest ist Folklore.

Erstens, sein DNS auf Systemebene verschlüsseln. Das ist die rentabelste und am meisten vernachlässigte Maßnahme. Aktiviertes DoHProtokoll, das DNS-Anfragen in HTTPS verschlüsselt und sie vor dem ISP verbirgt. oder DoTDoH-Variante mit direktem TLS statt HTTPS. lässt das DNS-Spoofing und das Leck Ihrer Auflösungs-Anfragen zum Netzwerkbetreiber auf einen Schlag verschwinden. Das konfiguriert man einmal, auf OS-Ebene, und es schützt Sie danach in allen Netzwerken — nicht nur im öffentlichen WLAN. Das ist Sicherheit, die nicht von Ihrer momentanen Disziplin abhängt, also hält sie.

Zweitens, das Captive Portal standardmäßig als feindliche Zone behandeln. Niemals dort einen anderswo wiederverwendeten Zugangsdaten eingeben, niemals dort ein Zertifikat installieren und idealerweise das Portal in einem dedizierten Fenster öffnen, statt den Hauptbrowser dort herumspazieren zu lassen. Die meisten Kompromittierungen „über öffentliches WLAN” sind keine kryptografischen Meisterleistungen: Es sind Menschen, die ihr Passwort auf einer gefälschten Seite getippt haben.

Drittens, den richtigen Kanal je nach Einsatz wählen. Für eine wirklich heikle Sitzung ist öffentliches WLAN nicht das zu lösende Problem — es ist der zu vermeidende Kanal. Die 4G/5G-Tethering-Verbindung oder eine lokale eSIMIntegrierte und umprogrammierbare SIM-Karte, die mehrere Anbieterprofile unterstützt. gibt Ihnen ein Netzwerk, das Sie beherrschen, ohne Evil Twin und ohne Captive Portal. Das VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt. hat seine Rolle — es verschlüsselt den Transit und schließt den Vektor des lokalen Netzwerks — aber unter zwei oft vergessenen Bedingungen: Es muss aktiviert werden, bevor man dem Netzwerk beitritt (sonst sind Ihre IP und Ihre ersten DNS-Anfragen bereits im Klartext hinausgegangen), und es darf kein kostenloses VPN sein, dessen Geschäftsmodell gerade darin besteht, das zu monetarisieren, was Sie zu schützen glauben.

Das Wesentliche dieses Ansatzes hält in einer Idee: Man sichert öffentliches WLAN nicht, indem man ängstliche Rituale hinzufügt, man sichert es, indem man zwei oder drei Schutzmaßnahmen einrichtet, die funktionieren, ohne dass man daran denken muss, und dann die schweren Maßnahmen den Kontexten vorbehält, die sie wirklich rechtfertigen.

Was das konkret bedeutet

Für Sie als Privatperson

Das reale Risikoniveau im Jahr 2025 ist moderat, nicht katastrophal. Hier die drei Dinge, die sich lohnen, diese Woche machbar, für weit weniger als 200 €.

1. Aktivieren Sie verschlüsseltes DNS auf allen Ihren Geräten. Auf neueren iPhones und Android in den Netzwerkeinstellungen oder über ein Konfigurationsprofil; auf macOS und Windows auf Systemebene. Wählen Sie einen seriösen Resolver (Quad9, Cloudflare oder den Ihres vertrauenswürdigen Anbieters). Es ist kostenlos, dauert zehn Minuten und beseitigt den DNS-Vektor in allen Netzwerken, die Sie danach kreuzen. Die Details im Artikel zu DNS.

2. Schalten Sie die automatische Verbindung mit offenen Netzwerken ab und bereinigen Sie die Liste der gespeicherten Netzwerke. Standardmäßig aktivierte Einstellung auf den meisten Telefonen, und genau das macht den Evil Twin so effektiv. Deaktivieren Sie gleich danach das WLAN, wenn Sie es nicht nutzen: Ein eingeschaltetes WLAN-Telefon sendet permanent die Namen der Netzwerke, die es kennt, was sowohl dem kommerziellen Tracking als auch dem Evil Twin dient.

3. Reservieren Sie 4G/eSIM für heikle Sitzungen. Bank, beruflicher Zugang, Dokumentensignatur: Gehen Sie über das mobile Tethering statt über das Hotel-WLAN. Eine lokale eSIM auf Reisen kostet ein paar Euro und gibt Ihnen einen Kanal, den niemand in Ihrer Umgebung kontrolliert. Wenn Sie auf ein VPN bestehen, nehmen Sie einen bezahlten und seriösen Anbieter und aktivieren Sie es, bevor Sie dem Netzwerk beitreten, niemals danach.

Für Sie als CISO / IT-Leitung / Geschäftsführung

Konferenzen und Fachmessen sind bevorzugte Ziele für Akteure der Wettbewerbsaufklärung. Die Überlegung ist mechanisch: Ein einziger Raum konzentriert zwei Tage lang Entscheider einer ganzen Branche mit ihren Arbeitsgeräten und heruntergefahrener Deckung. Das Konferenz-WLAN ist standardmäßig als nicht vertrauenswürdiges Netzwerk zu behandeln.

1. Das Konferenz-WLAN ist ein nicht beherrschtes Netzwerk, Punkt. Sie wissen nicht, wer es betreibt, wer sonst noch damit verbunden ist, noch ob ein Evil Twin im Saal läuft. Das Bedrohungsmodell ist nicht „ein Script-Kiddie”, es ist ein Konkurrent oder ein Dienstleister für Wirtschaftsspionage mit Budget. Direkte Konsequenz: Sie erlassen eine „Nur 4G/eSIM”-Richtlinie für jedes Gerät, das auf Veranstaltungsreisen sensible Daten trägt, und Sie stellen die Datentarife bereit, die diese Regel reibungslos anwendbar machen.

2. Der Schutz kann nicht auf der individuellen Wachsamkeit beruhen. Ihre Mitarbeitenden werden ihre Zugangsdaten auf einem glaubwürdigen Captive Portal eintippen und ein Zertifikat installieren, wenn eine gut gemachte Seite es von ihnen verlangt. Das ist eine beobachtete Tatsache, keine Hypothese. Direkte Konsequenz: Sie schieben verschlüsseltes DNS und ein Unternehmens-VPN per verwalteter Konfiguration (MDMZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen.) aus, mit automatischer Aktivierung in nicht erkannten Netzwerken, statt sich auf eine Checkliste zu verlassen, die niemand befolgt.

3. Die hardwareseitige Trennung ist die einzige solide Garantie für exponierte Profile. Für eine Führungskraft in M&A oder einen Juristen in einer heiklen Akte in einer Rechtsordnung mit ausgereifter Abhörfähigkeit ersetzt keine WLAN-Konfiguration ein Gerät, das nichts Kritisches enthält. Direkte Konsequenz: Sie integrieren den Netzwerkkanal in das Bedrohungsmodell der Reise und richten die WLAN-Richtlinie an einer Zero-TrustPrinzip: niemals standardmäßig vertrauen, jede Anfrage verifizieren.-Logik aus — das Netzwerk ist nie vertrauenswürdig, Identität und Verschlüsselung tragen die Sicherheit.

Fehler, die man ständig sieht

  • „Das Fünf-Sterne-Hotel ist sicherer als ein Café.” Kein Zusammenhang. Die großen Hotels, die interessante Profile beherbergen, sind attraktivere Ziele, nicht besser geschützte. Die Qualität des Zimmerservice sagt nichts über die Sicherheit des Netzwerks aus.
  • „Das Netzwerk hat ein Passwort, also ist es für mich verschlüsselt.” Bei WPA2 mit geteiltem Schlüssel können die anderen Clients, die das Passwort kennen, potenziell Ihren Verkehr entschlüsseln. Ein von 200 Personen geteiltes Passwort isoliert Sie nicht von diesen 200 Personen.
  • „Ich aktiviere das VPN, sobald ich auf eine wichtige Seite gehe.” Zu spät. Ihre echte IP und Ihre ersten DNS-Anfragen sind bereits hinausgegangen. Das VPN wird aktiviert, bevor man dem Netzwerk beitritt, sonst kommt es nach der Schlacht.
  • „HTTPS ist überall, ich muss nichts mehr tun.” HTTPS schützt den Inhalt, nicht die Metadaten, nicht das Captive Portal, nicht die Apps, die heimlich HTTP machen, nicht die Seiten ohne HSTS gegenüber einem SSLstrip.
  • „Das kostenlose VPN schützt mich.” Das Geschäftsmodell eines kostenlosen VPN besteht darin, Ihren Verkehr zu monetarisieren. Sie ersetzen eine hypothetische Bedrohung im lokalen Netzwerk durch eine sichere Bedrohung beim Anbieter.
  • Das „Sicherheitszertifikat” des Portals installieren, um Zeit zu sparen. Das heißt, dem Angreifer die Fähigkeit zu geben, Ihr gesamtes HTTPS zu entschlüsseln. Niemals.

Umsetzbare Checkliste

  • N1 Das Schloss und die Gültigkeit des HTTPS-Zertifikats prüfen, bevor man irgendeinen Zugangsdaten eingibt
  • N1 Niemals einen wiederverwendeten Zugangsdaten eingeben oder ein Zertifikat auf einem Captive Portal installieren
  • N1 Verschlüsseltes DNS (DoH oder DoT) auf Systemebene auf allen Geräten aktivieren
  • N1 Die automatische Verbindung mit offenen Netzwerken abschalten und die gespeicherten Netzwerke bereinigen
  • N1 Das WLAN deaktivieren, wenn es nicht genutzt wird (Anti-Tracking und Anti-Evil-Twin)
  • N2 Das VPN aktivieren, BEVOR man dem Netzwerk beitritt, niemals danach — und bezahlt, niemals kostenlos
  • N2 Das 4G/5G-Tethering oder eine lokale eSIM für heikle Sitzungen bevorzugen
  • N2 Bei aktivem VPN das Fehlen eines DNS-Lecks prüfen
  • N2 Verschlüsseltes DNS und Unternehmens-VPN per MDM ausschieben, mit automatischer Aktivierung außerhalb des Corporate-Netzwerks
  • N3 Nur-4G/eSIM-Richtlinie für Geräte mit sensiblen Daten im Konferenz-/Messekontext
  • N3 Dediziertes Gerät ohne kritische Daten für exponierte Profile in einer Rechtsordnung mit ausgereifter Abhörfähigkeit

Zum Weiterlesen

Die Wi-Fi Alliance dokumentiert die Beiträge von WPA3 (SAE) gegenüber WPA2, nützlich, um zu verstehen, warum das geteilte Passwort die Clients untereinander nicht isoliert. Das BSI veröffentlicht praxisnahe Empfehlungen zum sicheren mobilen Arbeiten und Reisen, die die WLAN-Haltung mit dem Rest der Reisevorbereitung in Einklang bringen — zu lesen, wenn Sie eine Unternehmensrichtlinie aufbauen.

Drei Artikel ergänzen diesen zu denselben Vektoren. DNS: die Namensauflösung härten detailliert die DoH/DoT-Konfiguration, die den rentabelsten Vektor schließt. VPN: 95 % des Marketings sind gelogen erklärt genau, was ein VPN schützt, was es nicht berührt und welche Anbieter Ihr Vertrauen verdienen. Und Reise-eSIM deckt den einfachsten Ersatzkanal ab, wenn Sie das Hotelnetzwerk schlicht vermeiden wollen. Die vernünftige Paranoia ist keine Stimmung, sie ist eine Konfiguration: Sind diese drei Bausteine einmal an Ort und Stelle, wird das öffentliche WLAN wieder zu dem, was es immer hätte sein sollen — ein banaler Dienst, weder wundersam noch erschreckend.

Quellen und weiterführende Literatur

Verwandte Artikel