Woher die Angst kommt

Die Warnungen vor öffentlichen WLANs sind so alt wie das WLAN selbst. Und sie waren einmal berechtigt: Vor zehn Jahren wurden die meisten Websites unverschlüsselt übertragen. Wer im selben Netzwerk saß, konnte mit frei verfügbaren Tools tatsächlich mitlesen – E-Mails, Passwörter, Suchanfragen. Das war keine Theorie, das war Alltag auf Sicherheitskonferenzen.

Seitdem hat sich das Internet grundlegend verändert. Nur die Warnungen sind geblieben.

Was sich seit damals geändert hat: HTTPS

Die wichtigste Veränderung hat vier Buchstaben: HTTPS. Das Schloss-Symbol in der Adressleiste Ihres Browsers bedeutet, dass die Verbindung zwischen Ihrem Gerät und der Website verschlüsselt ist – unabhängig davon, ob Sie zu Hause, im Hotel oder im Zug sitzen.

Und HTTPS ist heute nicht mehr die Ausnahme, sondern die Regel. Laut Google-Transparenzbericht werden über 95% aller Chrome-Seitenaufrufe über HTTPS geladen. Ihre Bank, Ihr E-Mail-Anbieter, Ihre Lieblings-Nachrichtenseite, Ihr Online-Shop – sie alle verschlüsseln längst automatisch.

Das bedeutet: Selbst in einem offenen WLAN kann ein Angreifer im selben Netzwerk Ihre Passwörter, Ihre E-Mails oder Ihre Bankdaten nicht einfach mitlesen. Die Verschlüsselung findet zwischen Ihrem Browser und dem Server der Website statt – das WLAN dazwischen ist nur der Transportweg, und auf dem Transportweg sieht der Mithörer nur verschlüsselten Zeichensalat.

Was ein Angreifer trotzdem sehen kann

Heißt das, dass öffentliches WLAN völlig unbedenklich ist? Nicht ganz. Auch mit HTTPS bleiben ein paar Dinge sichtbar:

• Welche Websites Sie besuchen – nicht was Sie dort tun, aber dass Sie beispielsweise sparkasse.de, spiegel.de oder tinder.com aufrufen. Die Domain ist beim Verbindungsaufbau kurzzeitig sichtbar (über DNS-Anfragen und den sogenannten SNI-Header).
• Wie viel Datenverkehr Sie erzeugen – ein Angreifer könnte erkennen, ob Sie gerade einen Film streamen oder nur E-Mails lesen.
• Wann Sie online sind – Zeitstempel Ihrer Verbindungen.

Das ist kein Zugriff auf Ihre Daten, aber es ist ein Blick auf Ihr Surfverhalten. Ob das für Sie relevant ist, hängt von Ihrer persönlichen Bedrohungslage ab. Für die allermeisten Menschen im Alltag: eher nicht.

Die wirklichen Gefahren – und sie haben wenig mit dem WLAN zu tun

Die Risiken, die im öffentlichen WLAN lauern, sind meistens dieselben, die auch zu Hause lauern – nur dass man im Café aufmerksamer darüber nachdenkt.

Gefälschte Netzwerke: Ein Angreifer kann ein WLAN mit dem Namen „Hotel Lobby Free WiFi“ aufspannen, das aussieht wie das echte Hotelnetz. Wer sich damit verbindet, leitet seinen gesamten Datenverkehr durch das Gerät des Angreifers. Auch hier schützt HTTPS den Inhalt – aber der Angreifer sieht Ihre DNS-Anfragen und kann versuchen, Sie auf manipulierte Websites umzuleiten.

Captive Portals mit Phishing-Charakter: Manche öffentlichen WLANs verlangen eine Anmeldung über eine Webseite. Hier werden gelegentlich mehr Daten abgefragt, als nötig wären – E-Mail-Adresse, Name, Zimmernummer. Das ist weniger ein technischer Angriff als ein Datensammelgeschäft.

Shoulder Surfing: Die trivialste und zugleich unterschätzteste Gefahr im Café ist der Mensch am Nachbartisch, der auf Ihren Bildschirm schaut. Kein VPN der Welt hilft dagegen – nur ein Blickschutzfilter auf dem Display oder ein Platz mit dem Rücken zur Wand.

Brauche ich jetzt ein VPN im Café?

Hier muss ich ehrlich sein – auch gegenüber unserem eigenen VPN-Artikel von April. Dort haben wir geschrieben, dass öffentliche WLANs „der klassische und stärkste Anwendungsfall“ für ein VPN seien. Das stimmt im Prinzip – aber es verdient eine Einordnung.

Ein VPN fügt eine zusätzliche Verschlüsselungsschicht hinzu und verbirgt auch die besuchten Domains vor Mithörern im Netzwerk. Das ist real. Aber: HTTPS erledigt bereits die schwere Arbeit. Die Inhalte Ihrer Kommunikation – Passwörter, Nachrichtentexte, Kontodaten – sind auch ohne VPN verschlüsselt, solange die Website HTTPS nutzt. Was das VPN zusätzlich schützt, ist im Wesentlichen die Information, welche Websites Sie besuchen.

Ob Ihnen das den Aufwand wert ist, hängt von Ihrer Situation ab:

• Sie checken kurz die Nachrichten im Flughafen-WLAN? HTTPS reicht.
• Sie arbeiten regelmäßig mit vertraulichen Firmendaten im Coworking-Space? Ein VPN ist sinnvoll – und Ihr Arbeitgeber stellt wahrscheinlich ohnehin eines zur Verfügung.
• Sie reisen in Länder mit Internetzensur? Ein VPN ist unverzichtbar – aber aus ganz anderen Gründen.

Die VPN-Industrie verdient Milliarden damit, die Gefahren öffentlicher WLANs dramatischer darzustellen, als sie heute sind. Das soll nicht heißen, dass VPNs nutzlos wären – wir haben die echten Vorteile in unserem VPN-Artikel ausführlich beschrieben. Aber der Satz „Ohne VPN im Café sind Sie schutzlos“ war 2012 richtig und ist 2026 übertrieben.

Was wirklich hilft: Fünf Regeln für unterwegs

Statt eines VPNs brauchen die meisten Menschen im öffentlichen WLAN vor allem gesunden Menschenverstand und ein paar einfache Gewohnheiten:

1. Prüfen Sie den Netzwerknamen. Fragen Sie an der Rezeption oder beim Personal nach dem genauen WLAN-Namen. Verbinden Sie sich nicht blind mit dem stärksten offenen Signal.

2. Achten Sie auf HTTPS. Bevor Sie irgendwo ein Passwort eingeben, schauen Sie auf das Schloss-Symbol in der Adressleiste. Kein Schloss? Keine Eingabe.

3. Vergessen Sie das Netzwerk danach. Die meisten Geräte merken sich WLAN-Netze und verbinden sich automatisch wieder. In den WLAN-Einstellungen können Sie gespeicherte Netzwerke löschen – oder die automatische Verbindung deaktivieren.

4. Halten Sie Ihr System aktuell. Die größte Gefahr im öffentlichen WLAN ist nicht der Mithörer, sondern ein veraltetes Betriebssystem mit bekannten Sicherheitslücken. Updates sind Ihre erste Verteidigungslinie.

5. Nutzen Sie Zwei-Faktor-Authentifizierung. Selbst wenn jemand Ihr Passwort abfangen könnte (was bei HTTPS extrem unwahrscheinlich ist) – mit einem zweiten Faktor kommt er trotzdem nicht in Ihr Konto.

Fazit: Weniger Panik, mehr Aufmerksamkeit

Öffentliches WLAN ist heute deutlich sicherer, als sein Ruf vermuten lässt. HTTPS hat die Spielregeln grundlegend verändert. Die Horrorgeschichten von abgefangenen Passwörtern stammen aus einer Zeit, als die meisten Websites noch unverschlüsselt waren – und diese Zeit ist vorbei.

Das heißt nicht, dass Sie bedenkenlos jedes offene Netzwerk nutzen sollten. Es heißt, dass die Gefahr an einer anderen Stelle liegt, als viele denken: nicht beim verschlüsselten Datenverkehr, sondern bei gefälschten Netzwerken, bei nachlässigen Gewohnheiten und bei der schlichten Tatsache, dass jemand im Café über Ihre Schulter schauen kann.

Letzte Woche saß ich selbst in einem Hotellobby-WLAN und habe kurz gezögert, bevor ich mich eingeloggt habe. Alte Gewohnheit. Dann habe ich auf das Schloss in der Adressleiste geschaut, meine Mails gecheckt – und den Laptop danach zugeklappt. Nicht aus Angst, sondern weil der Kaffee alle war.

Wie halten Sie es mit öffentlichem WLAN? Sind Sie vorsichtig, entspannt oder irgendwo dazwischen? Schreiben Sie es in die Kommentare – wir sind gespannt.