1684963

Versteckte Gefahren von Hotspots erkennen

20.10.2016 | 09:10 Uhr |

Ein neues Gesetz macht Hotspots auch hierzulande immer populärer. Doch öffentliches WLAN in Städten, Bussen und Bahnen bedeutet zugleich mehr Risiko. Wie Sie trotzdem sicher ins Internet kommen, lesen Sie hier.

„Die kabellose Datenübertragung zwischen dem M-WLAN und dem WLAN-fähigen Endgerät des Nutzers erfolgt unverschlüsselt. Daher kann nicht ausgeschlossen werden, dass sich Dritte unbefugt Zugriff auf die mittels WLAN zu übertragenden Daten verschaffen. Für sensible Daten sollte eine entsprechende Sicherheitssoftware (z. B. VPN-Software) verwendet werden. Die Nutzung des WLAN erfolgt auf eigenes Risiko …“, heißt es beispielsweise bei den Stadtwerken München. Ähnlich warnen Deutsche Telekom & Co.: „Die WLAN-Verbindung ist nicht verschlüsselt. Grundsätzlich empfehlen wir, nach dem Aufbau der Verbindung diese per VPN-Client zu verschlüsseln.“

Die Sicherheitsempfehlungen sind klar formuliert, doch folgen ihnen die Nutzer auch in der Praxis? Nein – so lassen sich diverse Tests zusammenfassen. Exemplarisch für die Ergebnisse steht ein Versuch von F-Secure in der Londoner Innenstadt: Das finnische Sicherheitsunternehmen hatte dort 2014 einen manipulierten Hotspot eingerichtet, über den sich in einer halben Stunde 250 Geräte verbanden. 33 Menschen sendeten dabei aktiv Daten, darunter auch persönliche. Die Forscher beschränkten sich bei diesem Experiment selbstverständlich nur auf die Protokollierung; Kriminellen dagegen wären sensible Daten so leicht in die Hände gefallen.

WLAN unterwegs: Überall kostenloses Internet

„Die Nutzung des WLAN erfolgt auf eigenes Risiko des Anwenders“

Die Kaffeehauskette Starbucks ist nur einer von vielen Betreibern kostenloser Hotspots. Wie sicher solche Funknetze konfiguriert sind, lässt sich von außen kaum feststellen.
Vergrößern Die Kaffeehauskette Starbucks ist nur einer von vielen Betreibern kostenloser Hotspots. Wie sicher solche Funknetze konfiguriert sind, lässt sich von außen kaum feststellen.

Ein solcher Man-in-the-middle-Angriff stellt nur ein Angriffsszenario in öffentlichen WLAN-Netzen dar. Ein weiteres resultiert aus dem sogenannten ARP-Spoofing. Das Address Resolution Protocol dient zur Verbindung der eigentlich fest an Hardware gekoppelte MAC-Adressen zu vergebenen IP-Adressen. Weil die Umsetzung jedoch unsicher ist, lässt sie sich eben täuschen (to spoof). Die Folge ist, dass das Smartphone oder Notebook eines ahnungslosen Nutzers die Datenpakete nicht direkt an das eigentliche Gateway weiterleitet, sondern zunächst an den Angreifer. Dieser kann die IP-Daten abhören, die Weiterleitung unterbinden und mit etwas Know-how sogar manipulieren.

Wie geradezu simpel das Belauschen und Eingreifen in die fremden Daten ist, zeigt die Android-App „ Droidsheep “. Droidsheep nutzt das ARP-Spoofing aus, fängt fremde Session Cookies ab und nutzt diese im Browser des eigenen Mobilgeräts. Damit übernimmt der Angreifer die Facebook-oder Twitter-Identität des Opfers, ohne dass dieses irgendetwas davon merkt. Für den Angriff eignet sich jedes x-beliebige, gerootete Android-Gerät.

Ist die im Internet als APK-Datei schnell zu findende App einmal installiert, braucht der Angreifer sie in einem offenen WLAN nur zu starten und in der Liste auf eines der abgefangenen Sitzungscookies zu tippen. Ein falscher Facebook-Post oder eine Fake-Mail sind noch die harmloseren Spielchen. Wer es wirklich böse meint und auf diese Weise einen wichtigen Mailaccount übernommen hat, kann diesen oft zum Zurücksetzen von Passwörtern anderer Onlinezugänge verwenden: ein Schreckensszenario, für das sich ein Angreifer nicht einmal auffällig verhalten muss. Nein, es kann das Smartphone des Sitznachbarn sein!

Sicherer Fernzugriff über die Fritzbox daheim

Als Alternative zu einem VPN-Dienst können Sie eine verschlüsselte WLAN-Verbindung auch über einen VPN-Zugriff auf den eigenen Router daheim realisieren. Nicht alle Geräte bieten die Option, wir zeigen es für die verbreitete Fritzbox (ab Firmware 6.30).

Falls noch nicht vorhanden, legen Sie über die Fritzbox-Benutzeroberfläche („Internet –> MyFRITZ!-Konto“) ein persönliches Konto an, aktivieren an gleicher Stelle die Funktion „Internetzugriff auf die Fritzbox über HTTPS aktiviert“ und speichern mit „Übernehmen“. Weiter geht es in der Fritzbox mit „Internet –> Freigaben –> VPN (Registerkarte) –> VPN-Verbindung hinzufügen –> Fernzugang für einen Benutzer einrichten –> Benutzer hinzufügen“. Im nächsten Schritt richten Sie oben das Benutzerkonto samt Passwort ein, aktivieren darunter „Zugang auch aus dem Internet erlaubt“ sowie ganz unten „VPN“. Bevor Sie mit „OK“ bestätigen, klicken Sie auf den Link „VPN-Einstellungen anzeigen“ und drucken diese aus.

Diese Angaben benötigen Sie nun für die VPN-Einrichtung auf Ihrem Mobilgerät, die wir hier in Kurzform für Android beschreiben. Für die übrigen Betriebssysteme finden Sie die Infos auf dem VPN-Serviceportal von AVM . Tippen Sie auf dem Smartphone auf „Einstellung –> Mehr / Weitere Einstellungen –> VPN –> +“. Vergeben Sie eine Profilbezeichnung, zum Beispiel „VPN Fritzbox“. Als Typ wählen Sie „IPSec Xauth PSK“ aus und tragen darunter Ihre individuelle Serveradresse, Ihren Fritzbox-Benutzernamen und Ihren individuellen Schlüssel ein – alles ist auf dem Fritzbox-Ausdruck vermerkt. Speichern Sie die Einstellungen.

Zum Verbinden tippen Sie nun auf den neuen VPN-Eintrag, tragen dann Ihren Fritzbox-Benutzernamen mit Passwort ein, aktivieren das Feld „Kontoinformationen speichern“ und schließen mit „Verbinden“ ab. In der VPN-Liste wird der Zugang als „Verbunden“ klassifiziert; zusätzlich erscheint oben in der Statusleiste des Telefons ein kleines Schlüsselsymbol.

Zur Information: Der mobile Zugang ist über das Heim-VPN nur so schnell wie der Upload des DSL-oder Kabelanschlusses zu Hause: ein MBit/s bei DSL, fünf bei VDSL 25 und zehn bei VDSL 50.

Automatisches Verbinden birgt ein hohes Gefahrenpotenzial

Ende Juli trat das neue Gesetz zum Wegfallen der Störerhaftung in Kraft. Damit gibt es die bisherigen Haftungsrisiken infolge möglicher Rechtsverletzungen der WLAN-Nutzer nicht mehr, wie es jahrelang in Deutschland bei Urheberrechtsverletzungen durch „Störer“ möglich war.

Beseitigt wird damit gleichzeitig ein Hemmnis für den Ausbau von öffentlichem WLAN in Deutschland. Doch ohne zusätzliche Schutzmaßnahmen steigt mit der Zunahme offener Hotspots auch das Risiko von Daten-und Identitätsdiebstahl. Denn so praktisch das automatische Verbinden des Smartphones, Tablets oder Notebooks mit dem WLAN daheim ist, so gefährlich ist es unterwegs. Wer sich hinter Zugängen mit Namen wie „Free Wi-Fi“, „Telekom“ oder „Telekom_Flynet“ wirklich verbirgt, wissen Sie ja nicht.

Knapp 20 Euro kostet ein solcher Wi-Fi-USB-Adapter, mit dem sich die Senderleistung eines kompromittierten Hotspots auf ein Watt erhöhen lässt.
Vergrößern Knapp 20 Euro kostet ein solcher Wi-Fi-USB-Adapter, mit dem sich die Senderleistung eines kompromittierten Hotspots auf ein Watt erhöhen lässt.

Und selbst wenn Sie im Zug sitzen, ist es für einen Angreifer einfach, Ihren persönlichen Datenverkehr über einen präparierten Hotspot etwa mit der Bezeichnung „Telekom_ICE“ umzuleiten und abzufangen. Weil nämlich die Sendeleistung in Deutschland gesetzlich auf 0,1 Watt begrenzt ist, zieht ein illegaler, stärkerer WLAN-Sender die Clients in der Umgebung regelrecht an sich. Know-how benötigt man dafür kaum, es genügt eine 20-Euro-Investition für einen 10-fach stärkeren 1-Watt-USB-WLAN-Adapter. Dieser wird an ein normales Notebook gesteckt, die Tools zum Abfangen stehen gratis im Netz. Selbst die vorgeschalteten, bei vielen WLAN-Netzen üblichen Portalseiten mit den Nutzungsbedingungen lassen sich einfach nachgestalten. Mit Sicherheit hat all das nichts zu tun. Auch die WPA-Verschlüsselung schützt nicht vor dem Mitlesen durch Nutzer, die sich im gleichen WLAN befinden.

Um das automatische Einloggen mit „bekannten“ Netzwerken zu vermeiden, deaktivieren Sie auf einem Windows-Notebook die Option „Automatisch verbinden“. Haben Sie die Automatik bereits aktiviert, klicken Sie das Funknetz in der WLAN-Liste an, trennen es und deaktivieren nun die Funktion. Wichtig unter Windows ist ferner, bei Hotspot-Verbindungen als Netzwerkeinstellung „Öffentliches Netzwerk“ festzulegen, damit keinerlei Daten freigegeben werden. In Windows 10 klicken Sie dazu unten rechts in der Taskleiste auf das Netzwerksymbol, gefolgt von „Netzwerkeinstellungen –> WLAN –> Erweiterte Optionen“. Hier schalten Sie die Option „Dieser PC soll gefunden werden“ aus.

Das automatische Verbinden mit Hotspots, hier gezeigt unter dem aktuellen Windows 10, sollten Sie auf jeden Fall deaktivieren. Damit schalten Sie ein erhebliches Sicherheitsrisiko von offenem WLAN aus.
Vergrößern Das automatische Verbinden mit Hotspots, hier gezeigt unter dem aktuellen Windows 10, sollten Sie auf jeden Fall deaktivieren. Damit schalten Sie ein erhebliches Sicherheitsrisiko von offenem WLAN aus.

Bei Android müssen Sie eine SSID mit automatischer Verbindung in der Liste der WLAN-Netzwerke „entfernen“; eine Funktion zum Zurücksetzen aller Verbindungen fehlt. Ferner empfehlen wir, über „Einstellung –> WLAN –> ... (rechts oben) –> Erweitert“ den „Netzwerkhinweis“ zu deaktivieren. So kommen Sie erst gar nicht in Versuchung. Mehr Komfort bietet kostenlose App „ Wi-Fi Matic “; sie aktiviert die WLAN-Funktion in Abhängigkeit individueller Funkzellen. Unter iOS tippen Sie auf „Einstellungen –> WLAN –> „i“-Icon (rechts neben dem WLAN-Netzwerk) –> Dieses Netzwerk ignorieren“. Über „Einstellungen –> WLAN –> Auf Netze hinweisen“ unterbinden Sie das versehentliche Auswählen.

Hotspot-Tipps vom Experten

Marc Fliehe, Bereichsleiter Information Security beim IT-Branchenverband Bitkom, gibt im Gespräch mit PC-WELT Tipps zur sicheren Nutzung von öffentlichen Hotspots.

Vor allem die kommerziellen Anbieter investieren in die Sicherheit ihrer WLAN-Zugänge, das gehört schließlich zu ihrem Geschäftsmodell. Tendenziell unsicherer sind Hotspots, die eher als angegliederte Dienstleistung betrieben werden: so in manchen Hotels. Da sich das Sicherheitslevel vor Ort nicht mit einfachen Mitteln feststellen lässt, gilt es, im Zweifelsfall von „unsicher“ auszugehen.

Weil viele Personen gleichzeitig auf den gleichen Hotspot zugreifen, ist WLAN ein gewisses Maß an Unsicherheit „systemimmanent“. Zwar gibt es Techniken wie Wireless Client Isolation, bei dem die Verbindungen untereinander getrennt sind, doch solche Schutzmechanismen sind keineswegs überall im Einsatz oder richtig konfiguriert.

Als Konsequenz empfehlen sich mehrere Sicherheitsschichten: Das beginnt auf dem Endgerät mit den korrekten Sicherheitseinstellungen und Updates, reicht über die bevorzugte Nutzung verschlüsselter Webseiten (Transportverschlüsselung „https://“) und endet beim verschlüsselten VPN-Tunnel.

Virtual Private Network: VPN bietet eine sichere Tunnellösung

Es fehlt nicht an gut gemeinten Hinweisen, in fremden WLANs nur auf verschlüsselte Webseiten („https://“) zuzugreifen und für persönliche Daten nur Apps mit Verschlüsselung zu verwenden. Das ist zwar richtig, doch ohne ein Tool wie „ HTTPS Everywhere “ lässt sich dies in der Praxis kaum kontrollieren.

Mal springt der Browser auf eine unsichere Webseite weiter, mal greift die Verschlüsselung erst nach der Anmeldung, sodass Kontodaten zuvor im Klartext übermittelt werden.

Für Sicherheit gegen das Abhören sorgt erst ein sogenanntes Virtual Private Network, kurz VPN. VPN bietet eine durchgehend verschlüsselte Verbindung in ein vertrauenswürdiges Netzwerk, niemand kann Ihre Daten so mitlesen. Solche VPN-Dienste bieten eine ganze Reihe von Unternehmen, unter anderem PC-WELT in Kooperation mit Steganos mit dem Tool „ PC-WELT Anonym Surfen VPN “. Sowohl für Android-Geräte als auch für iPhones und iPads erhältlich ist die Gratis-App „Opera VPN“, die keinerlei Volumen-oder Geschwindigkeitsbeschränkung unterliegt. Die Android-Version bietet zusätzlich einen Sicherheitscheck.

Der VPN-Dienst Hotspotshield stellt Apps für diverse Plattformen zur Verfügung (für Windows auf Heft-DVD), das Elite-Abo kostet ca. 2,50 Euro im Monat.
Vergrößern Der VPN-Dienst Hotspotshield stellt Apps für diverse Plattformen zur Verfügung (für Windows auf Heft-DVD), das Elite-Abo kostet ca. 2,50 Euro im Monat.

Universell einsetzbar (Android, iOS, Windows und Mac) und gleichzeitig günstig ist der US-Anbieter Hotspotshield . Der werbefreie „Elite“-Zugang kostet als Jahresabo 2,49 Euro pro Monat und beinhaltet bis zu fünf Geräte. Bindet man sich für zwei Jahre, sinkt der Monatspreis auf 2,08 Euro. Alternativ können Sie Ihre Fritzbox zu Hause als VPN-Basis konfigurieren (siehe Kasten). Die Deutsche Telekom bietet für ihre verbreiteten Hotspots einen eigenen VPN-Client an: www.hotspot.de/content/vpn.html . Wichtig bei VPN ist, dass die Verbindung wirklich durchgehend verschlüsselt, das entsprechende Schlüsselsymbol also stets im Display sichtbar ist.

WLAN am Smartphone: Tipps und Problemlösungen

Neue Techniken wie Hotspot 2.0 und Wireless Client Isolation – Fazit

Die wichtigsten Sicherheitstipps zur Nutzung öffentlicher Hotspots fasst das Bundesamt für Sicherheit in der Informationstechnik (BSI) nochmals zusammen ; ein weiterer Ratgeber konzentriert sich auf die WLAN-Nutzung im Urlaub . Eine vom BSI in Auftrag gegebene Umfrage zeigt nämlich, dass fast 60 Prozent aller Urlauber frei zugängliche WLAN-Verbindungen nutzen – ein Szenario, das Bitkom-Sicherheitsexperte Marc Fliehe als besonders riskant einstuft (siehe Kasten).

Mehr Sicherheit bringen Techniken wie Wireless Client Isolation oder Hotspot 2.0. Wireless Client Isolation ist zwar nicht neu, aber noch längst nicht überall im Einsatz. Diese Funktion unterbindet die Kommunikation zwischen WLAN-Nutzern, selbst wenn diese mit derselben SSID verbunden, also im gleichen WLAN eingebucht sind. Weil sich auch hier nicht mit einem einfachen Check prüfen lässt, ob die Funktion vorhanden und sicher konfiguriert ist, kann man sich nicht darauf verlassen.

Neuer ist die Technik Wi-Fi Certified Passpoint. Mit dieser auch Hotspot 2.0 genannten Funktion wollen die Wi-Fi Alliance und die Wireless Broadband Association für mehr Komfort und für mehr Sicherheit sorgen. Mehr Komfort insofern, als ähnlich wie beim Einbuchen von einer in eine andere Funkzelle im Handynetz die Übergabe an einen anderen Hotspot automatisch erfolgen soll: automatisches Hotspot-Roaming sozusagen. Das Plus an Sicherheit wird durch einen mehrstufigen Prozess erreicht, bei dem nach der Identifizierung und Auswahl des WLAN-Netzwerks der Nutzer und sein Gerät über die angemeldete SIM-Karte ermittelt werden. Schließlich wird die Funkverbindung per WPA2 abgesichert.

Eine Online-Datenbank der Wi-Fi Alliance enthält auch die mit Hotspot 2.0 kompatiblen Geräte. Das Auflisten und Filtern der kompatiblen Geräte und Smartphones gestaltet sich aber ziemlich mühevoll.
Vergrößern Eine Online-Datenbank der Wi-Fi Alliance enthält auch die mit Hotspot 2.0 kompatiblen Geräte. Das Auflisten und Filtern der kompatiblen Geräte und Smartphones gestaltet sich aber ziemlich mühevoll.

Hotspot 2.0 steht aber noch am Anfang; das gilt sowohl für die Hotspots als auch für die Endgeräte, also vor allem Smartphones und Tablet-PCs. Die Wi-Fi Alliance listet die kompatiblen Geräte in einer Online-Datenbank auf, die Suche ist jedoch wenig komfortabel. Zudem wird Hotspot 2.0 von Android erst ab Version 6.0 (Marshmallow) und von Windows 10 Mobile sogar erst mit dem neuen Anniversary Update unterstützt.

Als Fazit bleibt festzuhalten, dass das Sicherheitslevel eines Hotspots kaum von außen zu beurteilen ist und Sie deshalb mit persönlichen Daten in offenen WLANs äußerst zurückhaltend umgehend sollten. Sensible Daten wie beispielsweise beim Onlinebanking sollten Sie nicht in fremden Funknetzen übertragen. Schutz bietet nur die durchgehende Verschlüsselung per Virtual Private Network. Wer keine Möglichkeit hat, eine sichere VPN-Verbindung zu seinem Router daheim aufzubauen oder ein Firmen-VPN zu nutzen, muss für einen kommerziellen VPN-Dienst ohne Werbung und Volumenbegrenzung mit zwei bis fünf Euro monatlich rechnen. Da lohnt es sich sogar, als Alternative über ein größeres Datenpaket im Mobilfunknetz nachzudenken. Das ist auch ohne Zusatzdienste vergleichsweise sicher.

Alternative: Mobiles Internet

Mobiles Internet per LTE oder UMTS ist hinsichtlich Bandbreite, Datenvolumen und Empfangsqualität keineswegs immer eine gleichwertige Alternative zu WLAN. Wer jedoch nicht gerade ein Power-Nutzer ist, kommt mit seinem Smartphone im Alltag auch ohne öffentliche Hotspots gut klar. Zu Hause und in vielen Firmen gibt es sicheres WLAN; für alles andere empfiehlt sich abgestuftes Mobilfunkvolumen: Ein oder zwei GB kosten monatlich teilweise weniger als zehn Euro, fürs EU-Ausland gibt es 500-MB-Wochenpakete ab fünf Euro. Selbst im Urlaub müssen Sie also keineswegs tief in die Tasche greifen, wenn Sie auf (unsicheres) Hotel-WLAN verzichten möchten.

GTX 1080 | Bald mehr offene WLAN-Hotspots
0 Kommentare zu diesem Artikel
1684963