Gefahren von öffentlichem WLAN (selbst mit HTTPS überall)

Vor ein paar Jahren war der Rat zur Nutzung eines Café-Netzwerks einfach und düster: Geh davon aus, dass jemand deinen Datenverkehr mitliest. Dann wurde HTTPS fast überall zum Standard, Browser fingen an, lautstark vor Klartext-Seiten zu warnen, und viele Leute hörten still auf, sich Sorgen zu machen.

Genau dieser zweite Teil ist das Problem. Die Gefahren von öffentlichem WLAN sind mit dem Sieg von HTTPS nicht verschwunden — sie haben sich verlagert. Der passive Lauscher, der früher dein Gmail-Passwort aus der Luft abgegriffen hat, ist größtenteils aus dem Markt gedrängt worden. Was bleibt, ist interessanter, gezielter und schwerer zu bemerken, weil das Schloss-Symbol alles in Ordnung aussehen lässt.

Dieser Beitrag geht durch, was HTTPS wirklich behoben hat, was nicht, und die Handvoll Gewohnheiten, die deine Angreifbarkeit in Netzwerken, die dir nicht gehören, spürbar verändern.

Was HTTPS wirklich gelöst hat

Ehre, wem Ehre gebührt. HTTPS — die verschlüsselte Version des Web-Protokolls — hat die größte, dümmste Version des Öffentliches-WLAN-Problems tatsächlich behoben.

2014 konnte jemand im selben Flughafennetzwerk wie du ein kostenloses Tool laufen lassen, zusehen, wie dein Browser Facebook lädt, und mit deinem Sitzungs-Cookie davonspazieren. Diese Klasse von Angriffen ist größtenteils tot. Die Kombination aus HTTPS-als-Standard, HSTS (ein Flag, das Browsern sagt „lade diese Seite nie wieder über einfaches HTTP“) und strengeren Cookie-Regeln bedeutet, dass beiläufiges passives Mitlauschen bei gängigen Seiten kaum noch etwas einbringt.

Wenn dein Bedrohungsmodell lautet „Ich will nicht, dass ein gelangweilter Teenager drei Tische weiter meine E-Mails liest“, hat HTTPS dich ans Ziel gebracht.

Beim Bedrohungsmodell eine Stufe höher wird es ehrlicher.

Was HTTPS nicht abdeckt

HTTPS verschlüsselt den Inhalt deiner Verbindung zu einem bestimmten Server. Es schützt nicht die Schritte, bevor diese Verbindung aufgebaut wird, und es schützt dich nicht vor dir selbst, wenn etwas leicht seltsam aussieht. Hier leben die Gefahren von öffentlichem WLAN noch.

Captive-Portal-Einschleusung

Die „Bedingungen akzeptieren“-Seite, die in Hotel- und Flughafen-WLAN aufpoppt, heißt Captive Portal. Damit sie funktioniert, muss das Netzwerk deine erste Web-Anfrage abfangen und irgendwohin umleiten, das es selbst wählt. Das ist ein Man-in-the-Middle by Design. Genehmigt, aber trotzdem ein Man-in-the-Middle.

Ein gut betriebenes Captive Portal ist harmlos. Ein schlecht betriebenes (oder ein absichtlich feindseliges) kann dir JavaScript ausliefern, gefälschte Software-Updates aufdrängen oder still jedes Gerät, das sich verbindet, profilieren. Dein Telefon zeigt das Portal oft in einem abgespeckten Browser ohne vollständige Adressleiste, was es schwerer macht zu erkennen, was du dir eigentlich ansiehst.

DNS-Hijack auf schwachen Resolvern

Wenn du bank.comtippst, fragt dein Gerät den DNS-Resolver des Netzwerks „Wie lautet die IP-Adresse dafür?“ In einem öffentlichen Netzwerk wird dieser Resolver von dem betrieben, dem der Zugangspunkt gehört.

Ein falsch konfigurierter oder bösartiger Resolver kann lügen. Er kann dich zu einem Server schicken, der nicht deine Bank ist, und dann sein eigenes Zertifikat präsentieren. Moderne Browser warnen dich — aber nur, wenn das Zertifikat falsch ist, und nur, wenn du die Warnung liest, statt durchzuklicken.

SSL-Stripping auf falsch konfigurierten Seiten

SSL-Stripping ist ein alter Trick, der in eng begrenzten Fällen noch funktioniert. Der Angreifer sitzt zwischen dir und der Seite, die du erreichen willst. Du tippst example.com (ohnehttps://-Präfix), das Netzwerk fängt es ab, holt sich selbst die echte HTTPS-Seite und liefert dir eine einfache HTTP-Kopie.

Seiten, die HSTS-Preloading verwenden, sind immun. Seiten, die das nicht tun (typischerweise kleinere Dienste, interne Tools oder alles, was du über ein altes Lesezeichen erreichst), sind es nicht. Die Adressleiste zeigt still http:// statt des Schloss-Symbols, und die meisten Leute schauen nicht hin.

Schurken-Zugangspunkte und Evil Twins

Dieser ist es wert, richtig verstanden zu werden, denn er umgeht die meisten der oben genannten Abwehrmaßnahmen.

Dein Telefon merkt sich Netzwerke. Wenn es einen Beacon sieht (ein kleines Broadcast-Paket, das einen WLAN-Namen ankündigt), der zu einem passt, mit dem es sich schon einmal verbunden hat, kann es sich automatisch verbinden. Ein Angreifer mit handelsüblicher Hardware kann einen Beacon senden, der behauptet, Starbucks WiFi oder Hotel Guest zu sein, einen Deauthentifizierungs-Frame senden, um dein Telefon vom legitimen Netzwerk zu werfen, und zusehen, wie dein Gerät zu seinem hinüberwechselt, ohne dass du irgendetwas anfasst.

Von da an ist der Angreifer das Netzwerk. Er kontrolliert DNS. Er betreibt das Captive Portal. Er sieht, welche Apps auf deinem Gerät versuchen, welche Server zu erreichen, selbst wenn die Inhalte verschlüsselt sind. Er kann seine eigenen Captive-Portal-Seiten ausliefern, SSL-Stripping bei allem versuchen, das nicht vorgeladen ist, und in dem, was wie ein normaler Login-Ablauf aussieht, nach Zugangsdaten fragen.

Der Fachbegriff ist „Evil Twin“, und der stille Teil ist, dass dich nichts warnt, dass es passiert. Dein Telefon zeigt einfach das vertraute WLAN-Symbol.

Gewöhnung an Zertifikatswarnungen

Browser wurden gut im Warnen. Nutzer wurden gut im Ignorieren.

Wenn du eine ganzseitige rote Zertifikatswarnung siehst, bedeutet das fast immer, dass etwas mit der Verbindung nicht stimmt. Manchmal harmlos (ein abgelaufenes Zertifikat), manchmal nicht (ein aktiver Man-in-the-Middle). Die Lösung ist, nicht durchzuklicken. In der Praxis sind Leute durch Jahre schlecht konfigurierter Firmennetzwerke darauf trainiert, den „Trotzdem fortfahren“-Knopf zu drücken, ohne zu lesen.

In einem Café-Netzwerk kann genau dieser Knopf der ganze Angriff sein.

Wie ein Evil-Twin-Angriff wirklich funktioniert

Wenn du ein anschauliches Bild davon willst, wie das alles zusammenpasst, ist der Evil-Twin-Angriff das klarste Beispiel.

Der Angreifer bringt einen Laptop oder ein kleines tragbares Gerät in ein Café. Er lässt eine Software laufen, die drei Dinge nacheinander tut.

Erstens scannt sie die Luft nach nahen WLAN-Netzwerken und notiert den Namen (die SSID) des legitimen. Sagen wir, es ist Cafe Guest. Dann beginnt sie, ihre eigenen Beacon-Frames mit demselben Namen auszusenden, oft mit höherer Leistung, damit Geräte sie bevorzugen.

Zweitens sendet sie Deauthentifizierungs-Frames an Clients, die bereits mit dem echten Netzwerk verbunden sind. Deauth-Frames sind ein normaler Teil davon, wie WLAN funktioniert — sie sagen einem Gerät „du wurdest getrennt, bitte verbinde dich neu“. In den meisten Netzwerken sind sie nicht authentifiziert, was bedeutet, dass jeder sie senden kann. Telefone im echten Netzwerk werden hinausgeworfen und suchen nach einem Ort, um sich neu zu verbinden.

Drittens präsentiert der Angreifer ein Captive Portal. Es könnte nach einer E-Mail und einem Passwort fragen, „um auf kostenloses WLAN zuzugreifen“. Es könnte die Login-Seite des Hotels nachahmen. Es könnte dich auch einfach still durchlassen, deinen Datenverkehr über seine eigene Verbindung leiten und alles protokollieren. Aus Sicht deines Telefons bist du online. Aus Sicht des Angreifers ist er jetzt dein Internetanbieter.

Die Abwehr besteht nicht darin, Paket-Header zu lesen. Sie besteht darin, den Angriff uninteressant zu machen — indem du dich nicht automatisch mit unbekannten Netzwerken verbindest, indem du deinen sensiblen Datenverkehr durch etwas leitest, in das das lokale Netzwerk nicht hineinsehen kann, und indem du keine Zugangsdaten auf Seiten eingibst, die du nicht bewusst angesteuert hast.

Ist öffentliches WLAN 2026 sicher?

Ehrliche Antwort: sicher genug für die meisten Dinge, nicht sicher genug für alles.

Nachrichten lesen, ein Rezept nachschlagen, durch soziale Medien scrollen — in Ordnung. Die Kosten, wenn dieser Datenverkehr schiefgeht, sind gering, und die Schutzmaßnahmen in modernen Browsern sind echt.

Dich bei deiner Bank anmelden, auf ein Arbeits-Admin-Panel zugreifen, eine Überweisung freigeben oder dich bei einem neuen Dienst anmelden, der dir einen Wiederherstellungscode schickt — das sind höherwertige Momente, in denen die Lücke zwischen „wahrscheinlich in Ordnung“ und „definitiv in Ordnung“ zählt. Die billige Antwort, um diese Lücke zu schließen, ist, sie nicht in Netzwerken zu erledigen, die du nicht kontrollierst.

Fünf praktische Schritte

Keiner davon erfordert, über Paket-Frames nachzudenken. Es sind Gewohnheiten.

1. Schalte das automatische Verbinden mit unbekannten Netzwerken aus.Auf dem iPhone findest du das unter Einstellungen → WLAN → Auto-Hotspot, und pro Netzwerk unter WLAN → (Netzwerkname) → Automatisch verbinden. Der Punkt ist, dein Gerät dazu zu bringen, dich zu fragen, bevor es sich mit etwas mit vertrautem Namen verbindet. Sieh dir unsere Schritt-für-Schritt-Anleitung zur VPN-Einrichtung auf dem iPhone für verwandte Schritte an.
2. Bevorzuge nach Möglichkeit Mobilfunk oder deinen eigenen Hotspot. Eine 5G-Verbindung ist nicht perfekt privat, aber sie hat einen einzigen, verantwortlichen Betreiber, und es gibt keinen einfachen Weg für einen Fremden, sich mitten hineinzudrängen. Für alles Sensible unterwegs ist der Hotspot deines Telefons meist die bessere Antwort als das Hotelnetzwerk.
3. Nutze ein VPN für die Momente, die zählen. Ein VPN, kurz für virtuelles privates Netzwerk, leitet deinen Datenverkehr durch einen verschlüsselten Tunnel zu einem Server, dem du vertraust, sodass das lokale Netzwerk nur diese eine Verbindung sieht und nichts darüber, wohin sie geht. Das neutralisiert die meisten der obigen Kategorien: Das Captive Portal kann dich noch nerven, aber es kann deine DNS-Abfragen nicht sehen, kann bei den Seiten, die du besuchst, kein SSL strippen und kann nicht profilieren, welche Apps du benutzt. Wenn dir die Idee neu ist, deckt unser Grundlagenartikel dazu, was ein VPN eigentlich ist, die Basics ab, und unser Leitfaden zu VPNs unterwegs geht ins Detail. Snap ist eine Option, die um diese Haltung herum gebaut ist, aber die breitere Gewohnheit zählt mehr als die Marke.
4. Klick in öffentlichen Netzwerken niemals durch Zertifikatswarnungen. Wenn du eine ganzseitige Browser-Warnung zu einem Zertifikat siehst, schließe den Tab. In deinem Heimnetzwerk ist es fast immer eine falsch konfigurierte Seite; im Café-WLAN könnte jemand aktiv mittendrin sitzen. Die Kosten, falsch zu liegen, sind hoch genug, dass „später noch mal versuchen“ die richtige Voreinstellung ist.
5. Heb dir sensible Logins und Transaktionen für vertrauenswürdige Netzwerke auf. Online-Banking, Passwort-Zurücksetzungen, alles mit einem Wiederherstellungscode oder Zwei-Faktor-Ablauf — das ist die kleine Reibung wert, zu warten, bis du wieder im Mobilfunk oder Heim-WLAN bist. Der Bequemlichkeitsgewinn, sie am Flughafen zu erledigen, ist die Asymmetrie dessen, was schiefgehen kann, nicht wert.

Was ein VPN behebt und was nicht

Zu diesem Punkt gibt es viel Lärm, also lohnt es sich, konkret zu sein.

Ein VPN behebt:

• Die Fähigkeit des lokalen Netzwerks, deine DNS-Abfragen zu sehen
• SSL-Stripping (dein Datenverkehr durchquert das feindselige Netzwerk nicht im Klartext)
• Captive-Portal-Profilierung, nachdem du das Captive Portal passiert hast
• Die Fähigkeit eines Schurken-Zugangspunkts, irgendetwas Nützliches über deine Aktivität zu erfahren

Ein VPN behebt nicht:

• Eine Zertifikatswarnung, durch die du trotzdem klickst
• Phishing-Seiten, bei denen du dich aktiv anmeldest
• Schadsoftware, die bereits auf deinem Gerät ist
• Die Tatsache, dass die Websites, die du besuchst, dich weiterhin über Konten und Cookies identifizieren können

Es ist ein scharfes Werkzeug für eine bestimmte Klasse von Gefahren in öffentlichem WLAN. Es ist kein magischer Schild, und Produkte, die es als solchen verkaufen, übertreiben, was es leistet. Unser Überblick über gängige VPN-Mythen geht mehr auf die Lücke zwischen Marketing und Realität ein.

Fazit

HTTPS hat die einfache Version des Problems gelöst. Die schwierigere Version, die Schicht unter der Verbindung, in der DNS, Captive Portals und Schurken-Zugangspunkte leben, bleibt meist unsichtbar, bis etwas schiefgeht.

Du musst kein Netzwerktechniker werden, um damit vernünftig umzugehen. Schalte das automatische Verbinden aus, sei skeptisch gegenüber Captive Portals, klick nicht durch Zertifikatswarnungen und nutze Mobilfunk oder ein VPN, wenn es wirklich darauf ankommt.

Wenn du den VPN-Teil sauber auf iOS erledigt haben willst — keine E-Mail bei der Anmeldung, keine Verbindungsprotokolle, Abrechnung still über deine Apple ID — Snap ist um genau diese Haltung herum gebaut. macOS ist in Arbeit. So oder so ist das Wichtigste nicht, welche App du installierst; es ist, dass du aufhörst, das Café-Netzwerk so zu behandeln, als wäre es dein eigenes.