Ratgeber

Fremde WLANs nutzen

Ein Artikel von , veröffentlicht am 01.09.2015, bearbeitet am15.11.2024

Die drahtlose Verbindung ins Internet, WLAN, ist eine praktische Sache. Sie ist meistens schneller und günstiger als die mobile Datenübertragung. Wer WLAN-Zugänge mit Smartphone oder Tablet nutzen möchte, sollte jedoch ein paar Punkte beachten.

Ob im Café, Zug, Hotel oder Zuhause: WLAN ist allgegenwärtig und wird gerne genutzt, beispielsweise um Mobile Daten und damit Geld zu sparen. Doch wie sicher sind unsere Daten in einem WLAN eigentlich?

Sind unverschlüsselte WLANs gefährlich?

Es gibt offene WLANs mit denen wir uns einfach verbinden können – manchmal müssen wir noch den Bedingungen der Betreiber*in auf einer Anmeldeseite (auch Captive Portal genannt) zustimmen.

Wenn ihr euch die Liste der verfügbaren WLANs auf dem Smartphone anzeigen lasst, seht ihr normalerweise ein Schlosssymbol bei dem Namen jedes Netzes (der SSID). Bei offenen WLANs fehlt dieses Symbol: Die Verbindung ist unverschlüsselt.

Das bedeutet,  dass E-Mails, Zugangsdaten oder die Inhalte von Webseiten im Klartext für jeden sichtbar durch die Luft schwirren und ohne großen Aufwand mitgelesen werden können. Das war früher, insbesondere vor den Snowden-Leaks, ein großes Problem, als viele Webseiten noch keine verschlüsselte Verbindung verwendeten.

Heute setzen die allermeisten Webseiten und nahezu alle E-Mail-Anbieter eine sogenannte Transportverschlüsselung ein und es können nicht mehr ohne weiteres die Inhalte mitgelesen werden.

Verschlüsselte Webseiten erkennt man an dem „https“ statt „http“ am Anfang der Internetadresse. Was es damit auf sich hat, erklären wir hier.

Entsprechend geht von offenen WLANs bei weitem nicht mehr die gleiche Gefahr aus wie früher – auch wenn insbesondere VPN-Anbieter oder Sicherheitsfirmen vor ihnen warnen, um ihre Produkte zu verkaufen.

Dennoch bleiben Daten ungeschützt: So kann jede Person, die in Reichweite des WLANs ist und sich ein bisschen mit Computern auskennt, beispielsweise sehen, welche Webseiten  ihr besucht. Gesehen werden kann dabei jedoch nur die besuchte Domain (beispielsweise mobilsicher.de), aber nicht die einzelne aufgerufene Seite (also beispielsweise dieser Artikel).

Bei verschlüsselten WLANs, bei denen das Schlosssymbol angezeigt wird, müsst ihr bei der ersten Verbindung ein Passwort eingeben. Bei solchen WLANs können Außenstehende nicht ohne weiteres Daten sehen – mit ein paar Tricks, geht jedoch auch das. Dazu später mehr.

Die WLAN-Betreiber*in kann aber ohnehin immer sehen, welche Domains ihr besucht habt. Wer diese in verschlüsselten oder unverschlüsselten WLANs vor Mitsurfer*innen oder Betreiber*innen verbergen will, kann auf einen VPN zurückgreifen.

Allerdings werden genau diese Daten dann dem VPN-Anbieter verraten, entsprechend vorsichtig sollte man bei der Auswahl des Anbieters sein. Denn viele, auch kostenpflichtige VPNs, verschlimmern die Situation eher. Die einfachste Lösung ist es, einen VPN zu seinem Router aufzubauen, beispielsweise einer Fritzbox.

WLAN-Passwörter knacken

Auch wenn ihr euer WLAN-Passwort nur mit ausgewählten Personen teilt, können Angreifer*innen auf verschiedenen Wegen an eure Zugangsdaten gelangen. So lässt sich beispielsweise der Anmeldevorgang eurer Geräte am WLAN mitschneiden und daraus später das Passwort knacken. Das funktioniert vor allem, wenn ihr euer WLAN mit alten Verschlüsselungsprotokollen (WEP, WPA, aber auch WPA2) schützt und ein einfaches WLAN-Passwort nutzt, das beispielsweise in einem Wörterbuch vorkommt.

Gelingt dies, können sich Angreifer*innen nicht nur an eurem WLAN anmelden, sondern auch, ähnlich wie in einem unverschlüsselten WLAN sehen, welche Webseiten ihr besucht habt.

Angreifer*innen können auch mit anderen Tricks versuchen, an euer WLAN-Passwort zu gelangen. So können sie beispielsweise ein WLAN mit dem gleichen Namen aufspannen (Evil Twin), das mit der oben bereits angesprochenen Anmeldeseite nach eurem WLAN-Passwort fragt. Gebt ihr euer WLAN-Passwort dort unbedacht ein, haben es die Angreifer*innen.

Natürlich lässt sich mit so einer Anmeldeseite nicht nur nach dem WLAN-Passwort fragen, sondern auch nach allen möglichen anderen Zugangsdaten. Beispielsweise können kostenpflichtige WLANs mitsamt deren Anmeldeseite imitiert werden, auf der dann auch nach Zugangsdaten zu Social Media oder ähnlichem gefragt wird. Im Sommer 2024 schnappte die australische Polizei einen Mann, welcher mit dieser Technik die Zugangsdaten der Passagiere am Flughafen abgegriffen hatte.

Der „Nur-HTTPS-Modus“ schützt

Wie Eingangs geschrieben, findet unser Onlineleben heutzutage bis auf wenige Ausnahmen verschlüsselt statt. Wer auf Nummer sicher gehen will, kann im Browser den „Nur-HTTPS-Modus“ verwenden.

Wie ihr diesen Modus aktiviert und viele andere wichtige Einstellungen vornehmt, erklären wir hier für Firefox und hier für Chrome.

Der Modus sorgt dafür, dass Webseiten nur noch mit einer verschlüsselten Verbindung aufgerufen werden. Bei den wenigen Webseiten, die keine verschlüsselte Verbindung anbieten, gibt der Browser eine Warnung aus: Ihr könnt dann selbst entscheiden, ob ihr die Webseite trotzdem öffnen wollt oder nicht. Die Option sollte sowohl im Browser auf dem Smartphone, als auch auf dem Desktop aktiviert werden.

Die Funktion bewahrt euch davor, unbewusst auf einer unverschlüsselten Webseite zu landen und dort beispielsweise sensible Daten einzugeben. Gleichzeitig beseitigt sie einen der wenigen verbliebenen Angriffspunkte, an dem Angreifer*innen im WLAN oder Netzwerk versuchen, die verschlüsselte Verbindung zwischen euch und einer Webseite zu unterbinden und anschließend die unverschlüsselten Daten mitzulesen.

Weitere Artikel

Ratgeber 

Blue Mail-App im Test: Nicht empfehlenswert

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Mehr
Ratgeber 

Auch im Urlaub sicher in Kontakt bleiben

Wer im Ausland von außergewöhnlichen Ereignissen überrascht wird, ist schnell von der üblichen Kommunikation abgeschnitten. Diese Erfahrung machten auch Türkei-Reisende, als es infolge des Putschversuchs zu Sperrungen kam. Doch nicht nur dort müssen Reisende mit Einschränkungen rechnen.

Mehr
Ratgeber 

Kahoot: Diese Daten sendet die Quiz-App

Mit Kahoot können Lehrkräfte für ihre Klassen Quizze und Umfragen anlegen. Die App funktioniert für Schüler*innen ohne Registrierung, ihr Datensendeverhalten bewerten wir hier als gerade noch akzeptabel. Lehrer*innen mit Android-Geräten sollten jedoch genau abwägen.

Mehr
Ratgeber 

Quiz zum Safer Internet Day 2018: Kinder und Smartphones

Wer Kinder hat, kommt um das Thema Smartphone in der Erziehung nicht herum. Wissen Sie, wo Gefahren lauern und wie Sie Ihr Kind davor schützen können? Mit unseren fünf Fragen zum Safer Internet Day 2018 können Sie Ihr Wissen testen.

Mehr