So surfen Sie sicher!

Dass Deutschland bei öffent­lichen WLAN-Hot­­spots hin­terher hinkt, ist nicht neu. Der Grund dürfte klar sein. Die WLAN-Stö­­rer­haftung! Dieses wohl ein­zig­artige Rechts­kon­strukt, bei dem der Anbieter eines Hot­spots kos­ten­pflichtige Abmah­nungen für Rechts­ver­let­zungen ris­kiert, die fremde Nut­ze­rinnen und Nutzer über seinen Zugang begehen. Immerhin gibt es seit einiger Zeit eine auf breiter Basis von Gesell­schaft und Politik geführte Dis­kussion und Geset­zes­ent­würfe, um diese Bremse einer immer weiter fort­schreiten Digi­ta­li­sierung der Gesell­schaft zu besei­tigen.

Abseits dieser Dis­kussion werden öffent­liche drahtlose Inter­net­zu­gänge bereits vielfach genutzt und erfreuen sich großer Beliebtheit sowohl bei Pri­vat­per­sonen als auch in der Geschäftswelt. Doch wie ist es um die Sicherheit der Hotspot-Nutzer bestellt?

Öffent­liche Hot­spots sind meist nicht sicher, das ist richtig. Meist wird der Daten­verkehr über das WLAN eines Hot­spots unver­schlüsselt über­tragen. Deshalb sind öffent­liche Draht­los­netz­werke ein beliebtes Ziel für „Man-in-the-Middle-Angriffe“. Dabei über­nimmt der Angreifer die voll­ständige Kon­trolle über den Daten­verkehr der Teil­nehmer und kann diesen ein­sehen und/oder mani­pu­lieren.

Böse Falle: Fake Hot­spots

Typisch für Man-in-the-Middle-Angriffe sind soge­nannte Fake-WLAN-Hot­­spots. Hier setzen Angreifer „gefälschte“ Hot­spots auf, die meistens nach öffent­lichen Draht­los­netz­werken bekannter Hotspot-Anbieter benannt sind oder nur minimale Unter­schiede auf­weisen und deren mög­li­cher­weise vor­ge­schaltete Login-Seite perfekt vom „echten“ Hotspot kopiert wurde. Selbst­ver­ständlich leiten sie den Daten­verkehr auch in das Internet weiter. Das oft ahnungslose Opfer soll ja nicht unmit­telbar gewarnt werden.

Oft bieten diese Fake-Hot­­spots eine sehr viel bessere WLAN-Signal­­stärke als der echte Hotspot. Die Folge: Ein Nutzer – bezie­hungs­weise sein End­gerät – bucht sich in der Regel beim Hotspot mit der besten WLAN-Qua­­lität ein, und die Falle schnappt zu! Kri­mi­nelle können dann auf die gesamte Daten­kom­mu­ni­kation des ahnungs­losen Opfers zugreifen.

Wie leicht es Kri­mi­nelle dabei offenbar haben, zeigt ein Expe­riment, bei dem im Auftrag eines IT-Sicher­heits-Unter­­nehmens 2014 in London ein mani­pu­lierter WLAN-Hotspot auf­ge­setzt wurde. Innerhalb kür­zester Zeit wählten sich 250 Geräte in das Netz ein, rund 33 Per­sonen sen­deten beden­kenlos Daten über den Fake-Hotspot. In einem realen Sze­nario wäre dies ein gefun­denes Fressen für Kri­mi­nelle gewesen.

Jeder Hotspot-User sollte sich der mög­lichen Risiken eines WLAN-Hot­­spots bewusst sein – und ihnen ent­gegen wirken. Denn es gibt schon heute wir­kungs­volle Mög­lich­keiten, um öffent­liche WLANs sicher zu nutzen und sich zu schützen.

Sicheres Surfen ist möglich!

Trotzdem kann Ent­warnung gegeben werden. Selbst für sicher­heits­kri­tische Anwen­dungen wie Online-Banking können Hot­spots heute beden­kenlos genutzt werden. Vor­aus­ge­setzt, man trifft die rich­tigen Sicher­heits­vor­keh­rungen.

Es muss ein “Vir­tu­elles pri­vates Netzwerk”(VPN) auf­gebaut werden – und zwar unmit­telbar nach dem Ver­bin­dungs­aufbau zum Hotspot. Außerdem muss der GESAMTE Daten­verkehr des End­ge­rätes durch den soge­nannten VPN-Tunnel geleitet werden. So kann der Hotspot-Nutzer auch von unterwegs ohne Bedenken auf sein pri­vates oder lokales Netzwerk zugreifen – und von dort sicher im Internet surfen.

Damit das funk­tio­niert, braucht man einen VPN Client bzw. eine VPN Software auf dem End­gerät. Über den Client wird ein Ende-zu-Ende ver­schlüs­selter Tunnel durch das Internet zum VPN-Gateway in der Firma oder zum VPN-fähigen Router zuhause auf­gebaut. Selbst einige preis­werte Heim-Router bieten heute die Mög­lichkeit, einen solchen VPN-Tunnel auf­zu­bauen oder sind leicht ent­spre­chend zu erweitern. Bei den Business Routern ist das Standard.

Der gesamte Daten­verkehr, der über diesen VPN-Tunnel fließt, ist sicher. Er könnte zwar von den Kri­mi­nellen auf dem Fake-Hotspot mit­ge­lesen werden. ABER: Selbst mit den Res­sourcen einer NSA oder ähn­licher Orga­ni­sa­tionen ist er nicht ent­schlüs­selbar, wenn ver­nünftige, starke Pass­wörter oder — besser noch — Zer­ti­fikate zum Aufbau des VPN-Tunnels genutzt werden. Damit ist der Zugriff vom Hotspot auf das Firmen- oder Heimnetz perfekt abge­si­chert.

Außerdem lassen sich durch das VPN auch geschäft­liche oder private Res­sourcen zu Hause sicher von unterwegs nutzen.

Hotspot-Nutzer, die so vor­gehen, pro­fi­tieren vom gleichen Sicher­heits­standard wie zu Hause oder bei der Arbeit und können jeg­lichen Hotspot ohne Bedenken nutzen.

VPN Clients gibt es übrigens für alle Betriebs­systeme, viele davon sogar kos­tenlos. Bei iOS und Android ist ein solcher in den aktu­ellen Ver­sionen ebenso bereits inte­griert wie in Linux. Für Windows gibt es diverse kos­tenlose und kom­mer­zielle Clients zur Instal­lation. Wer genau wissen will, wie sich eine sichere VPN-Ver­­­bindung über ein öffent­liches Draht­los­netzwerk mittels VPN Client und VPN-Router auf­bauen lässt, findet eine detail­lierte Anleitung in der Wis­sens­da­tenbank von LANCOM Systems.

Neben der Nutzung von VPN gibt es einen wei­teren, wich­tigen Sicher­heits­bau­stein bei der Nutzung öffent­licher Inter­net­zu­gänge:  die per SSL-ver­­­schlüs­­selten Zugriffs­mög­lich­keiten auf Web-Adressen, die für Kri­mi­nelle besonders attraktiv sind. Dazu zählen bei­spiels­weise Home­banking, Online-Shops oder Mail-Pro­­vider. Auf solch kri­tische Angebote sollte man aus­schließlich über SSL zugreifen. SSL-geschützte Seiten sind erkennbar am Pro­tokoll https, das in den meisten Browsern in der Leiste mit dem Schloss­symbol und oft farbig gekenn­zeichnet ist.