1684963

Versteckte Gefahren von Hotspots erkennen

20.10.2016 | 09:10 Uhr | Peter Stelzel-Morawietz

Ein neues Gesetz macht Hotspots auch hierzulande immer populärer. Doch öffentliches WLAN in Städten, Bussen und Bahnen bedeutet zugleich mehr Risiko. Wie Sie trotzdem sicher ins Internet kommen, lesen Sie hier.

„Die kabellose Datenübertragung zwischen dem M-WLAN und dem WLAN-fähigen Endgerät des Nutzers erfolgt unverschlüsselt. Daher kann nicht ausgeschlossen werden, dass sich Dritte unbefugt Zugriff auf die mittels WLAN zu übertragenden Daten verschaffen. Für sensible Daten sollte eine entsprechende Sicherheitssoftware (z. B. VPN-Software) verwendet werden. Die Nutzung des WLAN erfolgt auf eigenes Risiko …“, heißt es beispielsweise bei den Stadtwerken München. Ähnlich warnen Deutsche Telekom & Co.: „Die WLAN-Verbindung ist nicht verschlüsselt. Grundsätzlich empfehlen wir, nach dem Aufbau der Verbindung diese per VPN-Client zu verschlüsseln.“

Die Sicherheitsempfehlungen sind klar formuliert, doch folgen ihnen die Nutzer auch in der Praxis? Nein – so lassen sich diverse Tests zusammenfassen. Exemplarisch für die Ergebnisse steht ein Versuch von F-Secure in der Londoner Innenstadt: Das finnische Sicherheitsunternehmen hatte dort 2014 einen manipulierten Hotspot eingerichtet, über den sich in einer halben Stunde 250 Geräte verbanden. 33 Menschen sendeten dabei aktiv Daten, darunter auch persönliche. Die Forscher beschränkten sich bei diesem Experiment selbstverständlich nur auf die Protokollierung; Kriminellen dagegen wären sensible Daten so leicht in die Hände gefallen.

WLAN unterwegs: Überall kostenloses Internet

„Die Nutzung des WLAN erfolgt auf eigenes Risiko des Anwenders“

Die Kaffeehauskette Starbucks ist nur einer von vielen Betreibern kostenloser Hotspots. Wie sicher solche Funknetze konfiguriert sind, lässt sich von außen kaum feststellen.
Vergrößern Die Kaffeehauskette Starbucks ist nur einer von vielen Betreibern kostenloser Hotspots. Wie sicher solche Funknetze konfiguriert sind, lässt sich von außen kaum feststellen.

Ein solcher Man-in-the-middle-Angriff stellt nur ein Angriffsszenario in öffentlichen WLAN-Netzen dar. Ein weiteres resultiert aus dem sogenannten ARP-Spoofing. Das Address Resolution Protocol dient zur Verbindung der eigentlich fest an Hardware gekoppelte MAC-Adressen zu vergebenen IP-Adressen. Weil die Umsetzung jedoch unsicher ist, lässt sie sich eben täuschen (to spoof). Die Folge ist, dass das Smartphone oder Notebook eines ahnungslosen Nutzers die Datenpakete nicht direkt an das eigentliche Gateway weiterleitet, sondern zunächst an den Angreifer. Dieser kann die IP-Daten abhören, die Weiterleitung unterbinden und mit etwas Know-how sogar manipulieren.

Wie geradezu simpel das Belauschen und Eingreifen in die fremden Daten ist, zeigt die Android-App „ Droidsheep “. Droidsheep nutzt das ARP-Spoofing aus, fängt fremde Session Cookies ab und nutzt diese im Browser des eigenen Mobilgeräts. Damit übernimmt der Angreifer die Facebook-oder Twitter-Identität des Opfers, ohne dass dieses irgendetwas davon merkt. Für den Angriff eignet sich jedes x-beliebige, gerootete Android-Gerät.

Ist die im Internet als APK-Datei schnell zu findende App einmal installiert, braucht der Angreifer sie in einem offenen WLAN nur zu starten und in der Liste auf eines der abgefangenen Sitzungscookies zu tippen. Ein falscher Facebook-Post oder eine Fake-Mail sind noch die harmloseren Spielchen. Wer es wirklich böse meint und auf diese Weise einen wichtigen Mailaccount übernommen hat, kann diesen oft zum Zurücksetzen von Passwörtern anderer Onlinezugänge verwenden: ein Schreckensszenario, für das sich ein Angreifer nicht einmal auffällig verhalten muss. Nein, es kann das Smartphone des Sitznachbarn sein!

Automatisches Verbinden birgt ein hohes Gefahrenpotenzial

Ende Juli trat das neue Gesetz zum Wegfallen der Störerhaftung in Kraft. Damit gibt es die bisherigen Haftungsrisiken infolge möglicher Rechtsverletzungen der WLAN-Nutzer nicht mehr, wie es jahrelang in Deutschland bei Urheberrechtsverletzungen durch „Störer“ möglich war.

Beseitigt wird damit gleichzeitig ein Hemmnis für den Ausbau von öffentlichem WLAN in Deutschland. Doch ohne zusätzliche Schutzmaßnahmen steigt mit der Zunahme offener Hotspots auch das Risiko von Daten-und Identitätsdiebstahl. Denn so praktisch das automatische Verbinden des Smartphones, Tablets oder Notebooks mit dem WLAN daheim ist, so gefährlich ist es unterwegs. Wer sich hinter Zugängen mit Namen wie „Free Wi-Fi“, „Telekom“ oder „Telekom_Flynet“ wirklich verbirgt, wissen Sie ja nicht.

Knapp 20 Euro kostet ein solcher Wi-Fi-USB-Adapter, mit dem sich die Senderleistung eines kompromittierten Hotspots auf ein Watt erhöhen lässt.
Vergrößern Knapp 20 Euro kostet ein solcher Wi-Fi-USB-Adapter, mit dem sich die Senderleistung eines kompromittierten Hotspots auf ein Watt erhöhen lässt.

Und selbst wenn Sie im Zug sitzen, ist es für einen Angreifer einfach, Ihren persönlichen Datenverkehr über einen präparierten Hotspot etwa mit der Bezeichnung „Telekom_ICE“ umzuleiten und abzufangen. Weil nämlich die Sendeleistung in Deutschland gesetzlich auf 0,1 Watt begrenzt ist, zieht ein illegaler, stärkerer WLAN-Sender die Clients in der Umgebung regelrecht an sich. Know-how benötigt man dafür kaum, es genügt eine 20-Euro-Investition für einen 10-fach stärkeren 1-Watt-USB-WLAN-Adapter. Dieser wird an ein normales Notebook gesteckt, die Tools zum Abfangen stehen gratis im Netz. Selbst die vorgeschalteten, bei vielen WLAN-Netzen üblichen Portalseiten mit den Nutzungsbedingungen lassen sich einfach nachgestalten. Mit Sicherheit hat all das nichts zu tun. Auch die WPA-Verschlüsselung schützt nicht vor dem Mitlesen durch Nutzer, die sich im gleichen WLAN befinden.

Um das automatische Einloggen mit „bekannten“ Netzwerken zu vermeiden, deaktivieren Sie auf einem Windows-Notebook die Option „Automatisch verbinden“. Haben Sie die Automatik bereits aktiviert, klicken Sie das Funknetz in der WLAN-Liste an, trennen es und deaktivieren nun die Funktion. Wichtig unter Windows ist ferner, bei Hotspot-Verbindungen als Netzwerkeinstellung „Öffentliches Netzwerk“ festzulegen, damit keinerlei Daten freigegeben werden. In Windows 10 klicken Sie dazu unten rechts in der Taskleiste auf das Netzwerksymbol, gefolgt von „Netzwerkeinstellungen –> WLAN –> Erweiterte Optionen“. Hier schalten Sie die Option „Dieser PC soll gefunden werden“ aus.

Das automatische Verbinden mit Hotspots, hier gezeigt unter dem aktuellen Windows 10, sollten Sie auf jeden Fall deaktivieren. Damit schalten Sie ein erhebliches Sicherheitsrisiko von offenem WLAN aus.
Vergrößern Das automatische Verbinden mit Hotspots, hier gezeigt unter dem aktuellen Windows 10, sollten Sie auf jeden Fall deaktivieren. Damit schalten Sie ein erhebliches Sicherheitsrisiko von offenem WLAN aus.

Bei Android müssen Sie eine SSID mit automatischer Verbindung in der Liste der WLAN-Netzwerke „entfernen“; eine Funktion zum Zurücksetzen aller Verbindungen fehlt. Ferner empfehlen wir, über „Einstellung –> WLAN –> ... (rechts oben) –> Erweitert“ den „Netzwerkhinweis“ zu deaktivieren. So kommen Sie erst gar nicht in Versuchung. Mehr Komfort bietet kostenlose App „ Wi-Fi Matic “; sie aktiviert die WLAN-Funktion in Abhängigkeit individueller Funkzellen. Unter iOS tippen Sie auf „Einstellungen –> WLAN –> „i“-Icon (rechts neben dem WLAN-Netzwerk) –> Dieses Netzwerk ignorieren“. Über „Einstellungen –> WLAN –> Auf Netze hinweisen“ unterbinden Sie das versehentliche Auswählen.

Virtual Private Network: VPN bietet eine sichere Tunnellösung

Es fehlt nicht an gut gemeinten Hinweisen, in fremden WLANs nur auf verschlüsselte Webseiten („https://“) zuzugreifen und für persönliche Daten nur Apps mit Verschlüsselung zu verwenden. Das ist zwar richtig, doch ohne ein Tool wie „ HTTPS Everywhere “ lässt sich dies in der Praxis kaum kontrollieren.

Mal springt der Browser auf eine unsichere Webseite weiter, mal greift die Verschlüsselung erst nach der Anmeldung, sodass Kontodaten zuvor im Klartext übermittelt werden.

Für Sicherheit gegen das Abhören sorgt erst ein sogenanntes Virtual Private Network, kurz VPN. VPN bietet eine durchgehend verschlüsselte Verbindung in ein vertrauenswürdiges Netzwerk, niemand kann Ihre Daten so mitlesen. Solche VPN-Dienste bieten eine ganze Reihe von Unternehmen, unter anderem PC-WELT in Kooperation mit Steganos mit dem Tool „ PC-WELT Anonym Surfen VPN “. Sowohl für Android-Geräte als auch für iPhones und iPads erhältlich ist die Gratis-App „Opera VPN“, die keinerlei Volumen-oder Geschwindigkeitsbeschränkung unterliegt. Die Android-Version bietet zusätzlich einen Sicherheitscheck.

Der VPN-Dienst Hotspotshield stellt Apps für diverse Plattformen zur Verfügung (für Windows auf Heft-DVD), das Elite-Abo kostet ca. 2,50 Euro im Monat.
Vergrößern Der VPN-Dienst Hotspotshield stellt Apps für diverse Plattformen zur Verfügung (für Windows auf Heft-DVD), das Elite-Abo kostet ca. 2,50 Euro im Monat.

Universell einsetzbar (Android, iOS, Windows und Mac) und gleichzeitig günstig ist der US-Anbieter Hotspotshield . Der werbefreie „Elite“-Zugang kostet als Jahresabo 2,49 Euro pro Monat und beinhaltet bis zu fünf Geräte. Bindet man sich für zwei Jahre, sinkt der Monatspreis auf 2,08 Euro. Alternativ können Sie Ihre Fritzbox zu Hause als VPN-Basis konfigurieren (siehe Kasten). Die Deutsche Telekom bietet für ihre verbreiteten Hotspots einen eigenen VPN-Client an: www.hotspot.de/content/vpn.html . Wichtig bei VPN ist, dass die Verbindung wirklich durchgehend verschlüsselt, das entsprechende Schlüsselsymbol also stets im Display sichtbar ist.

WLAN am Smartphone: Tipps und Problemlösungen

Neue Techniken wie Hotspot 2.0 und Wireless Client Isolation – Fazit

Die wichtigsten Sicherheitstipps zur Nutzung öffentlicher Hotspots fasst das Bundesamt für Sicherheit in der Informationstechnik (BSI) nochmals zusammen ; ein weiterer Ratgeber konzentriert sich auf die WLAN-Nutzung im Urlaub . Eine vom BSI in Auftrag gegebene Umfrage zeigt nämlich, dass fast 60 Prozent aller Urlauber frei zugängliche WLAN-Verbindungen nutzen – ein Szenario, das Bitkom-Sicherheitsexperte Marc Fliehe als besonders riskant einstuft (siehe Kasten).

Mehr Sicherheit bringen Techniken wie Wireless Client Isolation oder Hotspot 2.0. Wireless Client Isolation ist zwar nicht neu, aber noch längst nicht überall im Einsatz. Diese Funktion unterbindet die Kommunikation zwischen WLAN-Nutzern, selbst wenn diese mit derselben SSID verbunden, also im gleichen WLAN eingebucht sind. Weil sich auch hier nicht mit einem einfachen Check prüfen lässt, ob die Funktion vorhanden und sicher konfiguriert ist, kann man sich nicht darauf verlassen.

Neuer ist die Technik Wi-Fi Certified Passpoint. Mit dieser auch Hotspot 2.0 genannten Funktion wollen die Wi-Fi Alliance und die Wireless Broadband Association für mehr Komfort und für mehr Sicherheit sorgen. Mehr Komfort insofern, als ähnlich wie beim Einbuchen von einer in eine andere Funkzelle im Handynetz die Übergabe an einen anderen Hotspot automatisch erfolgen soll: automatisches Hotspot-Roaming sozusagen. Das Plus an Sicherheit wird durch einen mehrstufigen Prozess erreicht, bei dem nach der Identifizierung und Auswahl des WLAN-Netzwerks der Nutzer und sein Gerät über die angemeldete SIM-Karte ermittelt werden. Schließlich wird die Funkverbindung per WPA2 abgesichert.

Eine Online-Datenbank der Wi-Fi Alliance enthält auch die mit Hotspot 2.0 kompatiblen Geräte. Das Auflisten und Filtern der kompatiblen Geräte und Smartphones gestaltet sich aber ziemlich mühevoll.
Vergrößern Eine Online-Datenbank der Wi-Fi Alliance enthält auch die mit Hotspot 2.0 kompatiblen Geräte. Das Auflisten und Filtern der kompatiblen Geräte und Smartphones gestaltet sich aber ziemlich mühevoll.

Hotspot 2.0 steht aber noch am Anfang; das gilt sowohl für die Hotspots als auch für die Endgeräte, also vor allem Smartphones und Tablet-PCs. Die Wi-Fi Alliance listet die kompatiblen Geräte in einer Online-Datenbank auf, die Suche ist jedoch wenig komfortabel. Zudem wird Hotspot 2.0 von Android erst ab Version 6.0 (Marshmallow) und von Windows 10 Mobile sogar erst mit dem neuen Anniversary Update unterstützt.

Als Fazit bleibt festzuhalten, dass das Sicherheitslevel eines Hotspots kaum von außen zu beurteilen ist und Sie deshalb mit persönlichen Daten in offenen WLANs äußerst zurückhaltend umgehend sollten. Sensible Daten wie beispielsweise beim Onlinebanking sollten Sie nicht in fremden Funknetzen übertragen. Schutz bietet nur die durchgehende Verschlüsselung per Virtual Private Network. Wer keine Möglichkeit hat, eine sichere VPN-Verbindung zu seinem Router daheim aufzubauen oder ein Firmen-VPN zu nutzen, muss für einen kommerziellen VPN-Dienst ohne Werbung und Volumenbegrenzung mit zwei bis fünf Euro monatlich rechnen. Da lohnt es sich sogar, als Alternative über ein größeres Datenpaket im Mobilfunknetz nachzudenken. Das ist auch ohne Zusatzdienste vergleichsweise sicher.

Die Themen in Tech-up Weekly #43: +++ Nvidia Geforce GTX 1080 vorgestellt +++ Störerhaftung adé - Weg frei für offene WLAN-Hotspots +++ WhatsApp: Desktop-App für Windows und Mac erschienen +++ Game of Thrones-Piraten bekommen Post von HBO +++ Quick-News der Woche +++ Fail der Woche: Lenovo-Rechner von Sicherheitslücke betroffen

PC-WELT Marktplatz

1684963