Ob im Café, Zug, Hotel oder Zuhause: WLAN ist allgegenwärtig und wird gerne genutzt, beispielsweise um Mobile Daten und damit Geld zu sparen. Doch wie sicher sind unsere Daten in einem WLAN eigentlich?

Sind unverschlüsselte WLANs gefährlich?

Es gibt offene WLANs mit denen wir uns einfach verbinden können – manchmal müssen wir noch den Bedingungen der Betreiber*in auf einer Anmeldeseite (auch Captive Portal genannt) zustimmen.

Wenn ihr euch die Liste der verfügbaren WLANs auf dem Smartphone anzeigen lasst, seht ihr normalerweise ein Schlosssymbol bei dem Namen jedes Netzes (der SSID). Bei offenen WLANs fehlt dieses Symbol: Die Verbindung ist unverschlüsselt.

Das bedeutet,  dass E-Mails, Zugangsdaten oder die Inhalte von Webseiten im Klartext für jeden sichtbar durch die Luft schwirren und ohne großen Aufwand mitgelesen werden können. Das war früher, insbesondere vor den Snowden-Leaks, ein großes Problem, als viele Webseiten noch keine verschlüsselte Verbindung verwendeten.

Heute setzen die allermeisten Webseiten und nahezu alle E-Mail-Anbieter eine sogenannte Transportverschlüsselung ein und es können nicht mehr ohne weiteres die Inhalte mitgelesen werden.

Entsprechend geht von offenen WLANs bei weitem nicht mehr die gleiche Gefahr aus wie früher – auch wenn insbesondere VPN-Anbieter oder Sicherheitsfirmen vor ihnen warnen, um ihre Produkte zu verkaufen.

Dennoch bleiben Daten ungeschützt: So kann jede Person, die in Reichweite des WLANs ist und sich ein bisschen mit Computern auskennt, beispielsweise sehen, welche Webseiten  ihr besucht. Gesehen werden kann dabei jedoch nur die besuchte Domain (beispielsweise mobilsicher.de), aber nicht die einzelne aufgerufene Seite (also beispielsweise dieser Artikel).

Bei verschlüsselten WLANs, bei denen das Schlosssymbol angezeigt wird, müsst ihr bei der ersten Verbindung ein Passwort eingeben. Bei solchen WLANs können Außenstehende nicht ohne weiteres Daten sehen – mit ein paar Tricks, geht jedoch auch das. Dazu später mehr.

Die WLAN-Betreiber*in kann aber ohnehin immer sehen, welche Domains ihr besucht habt. Wer diese in verschlüsselten oder unverschlüsselten WLANs vor Mitsurfer*innen oder Betreiber*innen verbergen will, kann auf einen VPN zurückgreifen.

Allerdings werden genau diese Daten dann dem VPN-Anbieter verraten, entsprechend vorsichtig sollte man bei der Auswahl des Anbieters sein. Denn viele, auch kostenpflichtige VPNs, verschlimmern die Situation eher. Die einfachste Lösung ist es, einen VPN zu seinem Router aufzubauen, beispielsweise einer Fritzbox.

WLAN-Passwörter knacken

Auch wenn ihr euer WLAN-Passwort nur mit ausgewählten Personen teilt, können Angreifer*innen auf verschiedenen Wegen an eure Zugangsdaten gelangen. So lässt sich beispielsweise der Anmeldevorgang eurer Geräte am WLAN mitschneiden und daraus später das Passwort knacken. Das funktioniert vor allem, wenn ihr euer WLAN mit alten Verschlüsselungsprotokollen (WEP, WPA, aber auch WPA2) schützt und ein einfaches WLAN-Passwort nutzt, das beispielsweise in einem Wörterbuch vorkommt.

Gelingt dies, können sich Angreifer*innen nicht nur an eurem WLAN anmelden, sondern auch, ähnlich wie in einem unverschlüsselten WLAN sehen, welche Webseiten ihr besucht habt.

Angreifer*innen können auch mit anderen Tricks versuchen, an euer WLAN-Passwort zu gelangen. So können sie beispielsweise ein WLAN mit dem gleichen Namen aufspannen (Evil Twin), das mit der oben bereits angesprochenen Anmeldeseite nach eurem WLAN-Passwort fragt. Gebt ihr euer WLAN-Passwort dort unbedacht ein, haben es die Angreifer*innen.

Natürlich lässt sich mit so einer Anmeldeseite nicht nur nach dem WLAN-Passwort fragen, sondern auch nach allen möglichen anderen Zugangsdaten. Beispielsweise können kostenpflichtige WLANs mitsamt deren Anmeldeseite imitiert werden, auf der dann auch nach Zugangsdaten zu Social Media oder ähnlichem gefragt wird. Im Sommer 2024 schnappte die australische Polizei einen Mann, welcher mit dieser Technik die Zugangsdaten der Passagiere am Flughafen abgegriffen hatte.

Der „Nur-HTTPS-Modus“ schützt

Wie Eingangs geschrieben, findet unser Onlineleben heutzutage bis auf wenige Ausnahmen verschlüsselt statt. Wer auf Nummer sicher gehen will, kann im Browser den „Nur-HTTPS-Modus“ verwenden.

Der Modus sorgt dafür, dass Webseiten nur noch mit einer verschlüsselten Verbindung aufgerufen werden. Bei den wenigen Webseiten, die keine verschlüsselte Verbindung anbieten, gibt der Browser eine Warnung aus: Ihr könnt dann selbst entscheiden, ob ihr die Webseite trotzdem öffnen wollt oder nicht. Die Option sollte sowohl im Browser auf dem Smartphone, als auch auf dem Desktop aktiviert werden.

Die Funktion bewahrt euch davor, unbewusst auf einer unverschlüsselten Webseite zu landen und dort beispielsweise sensible Daten einzugeben. Gleichzeitig beseitigt sie einen der wenigen verbliebenen Angriffspunkte, an dem Angreifer*innen im WLAN oder Netzwerk versuchen, die verschlüsselte Verbindung zwischen euch und einer Webseite zu unterbinden und anschließend die unverschlüsselten Daten mitzulesen.