Mehr Sicherheit an kostenlosen WLAN-Hotspots

© Hersteller / Archiv

Mit unserem Ratgeber genießen Sie mehr Sicherheit an einem WLAN-Hotspot. Es ist kein Geheimnis: Internetzugänge über öffentliche und kostenlose WLAN-Netze sind nicht besonders sicher. Berichte und Reportagen über "Gefährliche Hotspots" haben es sogar bis ins Vorabendprogramm einiger TV-Sender geschafft. Dennoch verhalten sich die meisten mobilen Nutzer nach wie vor zu leichtsinnig, wenn sie "in freier Wildbahn" surfen. Damit machen sie sich zu leichten Opfern für Datendiebe. Denn obwohl die drahtlose Verbindung zum öffentlichen Hotspot technisch genauso wie die zum heimischen WLAN-Router aufgebaut wird, sind die Sicherheitsunterschiede gewaltig. Das Heim-WLAN ist grundsätzlich verschlüsselt.

Deshalb erhalten nur eigene und vertrauenswürdige Geräte Zugriff. Beim öffentlichen Hotspot gilt das Gegenteil: Hier kann sich jedermann mit einem WLAN-tauglichen Gerät einklinken, wenn er sich in Reichweite des frei zugänglichen Funknetzes befindet.

Viele WLAN-Access-Points besitzen zudem Einstellungsmöglichkeiten, die einen Verbindungsaufbau zwischen WLAN-Clients unterbinden. Sie werden als "Wireless Isolation" bezeichnet. Aber auch diese Sicherheitsvorkehrung wird vom Betreiber des Hotspots häufig nicht aktiviert. Dadurch befinden sich alle am Hotspot angemeldeten Notebooks, Tablets und Smartphones in einem großen, gemeinsamen Netzwerk.

© Hersteller/Archiv

Alle angemeldeten Geräte in diesem öffentlichen WLAN haben aufeinander Zugriff. Über spezielle Angriffs- oder Hacker-Tools belauschen kriminelle Anwender die anderen Mitnutzer im Hotspot-Netzwerk. Als "Diebesgut" winken beispielsweise Zugangsdaten für beliebige Onlinedienste - von Facebook über eBay bis hin zum E-Mail-Account.

Ratgeber: Facebook - richtige Datenschutzeinstellungen

Es gibt noch gemeinere Tricks: Manche Angreifer geben sich einfach selbst als ein scheinbar freier Hotspot aus. Denn für den gewöhnlichen Nutzer ist es erst einmal nicht ersichtlich, wer sich tatsächlich hinter dem angezeigten Namen (SSID) eines freien Hotspots verbirgt. Nutzt das Opfer einen solchen Zugang, werden Daten abgegriffen. Ist es tatsächlich der WLAN-Zugang des Restaurants oder ist es der unscheinbare Gast am Nachbartisch, der mit seinem Smartphone einen mobilen WLAN-Hotspot betreibt?

Klinkt man sich in einen solchen Pseudo-Hotspot ein, läuft der gesamte Datenverkehr zunächst über das Smartphone oder Notebook des Angreifers. Mit Apps und Tools lassen sich die unverschlüsselten Datenübertragungen des Opfers meist problemlos auswerten.

Im Folgenden lesen Sie alles zu diesen und anderen Gefahren bei der Nutzung öffentlicher Hotspots - und wie Sie sie vermeiden. Befolgen Sie einfach die zehn Sicherheitstipps, dann können Sie sich völlig entspannt und ohne zusätzliches Risiko in öffentliche Funknetze einklinken.

Aktuelle Sicherheits-Software

Achten Sie in öffentlichen Netzen insbesondere darauf, dass sich Ihr Virenscanner mit Echtzeitschutz ("On-Access"-Scanner) auf dem aktuellen Stand befindet. Dieser bietet zusätzlichen Schutz, wenn beispielsweise Angreifer mithilfe von gefälschten Webseiten versuchen, Ihren Rechner mit Schadsoftware zu infizieren. Unabhängig davon ist ein solcher Virenscanner selbstverständlich immer Pflicht für jeden Rechner mit Onlinezugang. Das gilt selbst auch, wenn Sie zu Hause online ins sichere Netzwerk gehen.

Betriebssystem auf den aktuellsten Stand bringen

© Hersteller/Archiv

Egal, ob Sie mit Notebook, Tablet oder Smartphone im Netz unterwegs sind: Bieten Sie Angreifern eine möglichst geringe Angriffsfläche, und halten Sie deshalb Ihre Software immer auf dem aktuellen Stand. Das gilt für Windows und das Betriebssystem Ihres Mobilgerätes.

Jedes Betriebssystem besitzt Sicherheitslücken, nur sind die Schwachstellen der älteren Versionen in der Regel schon länger bekannt und entsprechend gut dokumentiert. Mit entsprechenden Tools lassen sich diese Schwachstellen selbst von Amateuren und Trittbrettfahrern leicht missbrauchen. Viele solcher Sicherheitsrisiken lassen sich durch aktuelle Updates ausschließen.

HTTPS-Zugang für Online-Dienste verwenden

Webmail, soziale Netzwerke und andere Webseiten größerer Online-Dienste erfordern die Eingabe von Zugangsdaten für die Nutzung. Sie besitzen neben dem ungeschützten Zugang per HTTP meist auch einen verschlüsselten HTTPS-Zugang. Falls Sie einen solchen Dienst an einem offenen Hotspot aufrufen möchten, sollten Sie immer die HTTPS-Webadresse wählen.

Ratgeber: Google+ - richtige Datenschutzeinstellungen

Das bedeutet: Anstelle von https://www.facebook.com geben Sie also https://www.facebook.com im Browser ein. Zum Abruf der E-Mail bei web.de nutzen Sie analog https://www.web.de . Legen Sie die geschützten HTTPS-Webadressen Ihrer Webdienste als Favoriten oder Bookmarks im Browser ab. Damit rufen Sie nicht versehentlich doch die ungeschützte HTTP-Webadresse auf. Inzwischen verwenden glücklicherweise viele Online-Dienste bereits automatisch die verschlüsselte Übertragung per HTTPS.

Dienste und Serveranwendungen deaktivieren

© Hersteller/Archiv

Sind die Ordnerfreigaben auf einem Windows-Rechner eingerichtet, schützt die aktivierte Personal Firewall mit der Einstellung "Öffentliches Netzwerk" bereits zuverlässig vor unerwünschten Zugriffen auf den Rechner.

Dennoch sollte man Anwendungen, die einen Dienst im Netzwerk bereitstellen, während der Nutzung eines freien Hotspots deaktivieren. Derartige Server-Anwendungen finden sich übrigens nicht nur für Windows-Rechner, sondern ebenso als Apps für Tablets oder Smartphones. Manche Apps nach dem UPnP-AV-Standard zur Wiedergabe von Musik, Bildern oder Videos im Heimnetz dienen gleichzeitig als Media-Server für andere UPnP-Geräte - mit Ihren Dateien!

Wer also nicht möchte, dass andere Hotspotnutzer in seinen privaten Fotos herumschnüffeln, sollte den Media-Server beim Surfen in öffentlichen Netzen ausgeschaltet lassen. Ähnliches gilt für mobile Apps, mit denen der Anwender einfachen Netzwerkzugriff auf Datenverzeichnisse im Smartphone oder Tablet ermöglicht. Hierbei sollten Sie unbedingt darauf achten, dass diese Apps während der Verbindung mit dem öffentlichen Hotspot deaktiviert sind.

Personal Firewall einrichten

© Hersteller/Archiv

Eine Personal Firewall schützt den eigenen Rechner (Notebook, Netbook) vor möglichen Angriffen in unsicheren Netzwerken. Die aktuellen Windows-Versionen sind ab Vista bereits mit einer zuverlässigen, sehr einfach zu bedienenden Personal Firewall ausgestattet. Verbindet sich der Rechner mit einem neuen Netzwerk wie einem freien Hotspot, erscheint das Fenster "Wählen Sie einen Ort für das Netzwerk <Netzwerkname> aus".

An dieser Stelle verlangt die Personal Firewall von Windows nach einer Entscheidung, ob es sich beim angewählten Hotspot um ein "Heimnetzwerk", ein "Arbeitsplatznetzwerk" oder um ein "Öffentliches Netzwerk" handelt. Wählen Sie in jedem Fall die Einstellung "Öffentliches Netzwerk". Mit dieser Einstellung schützt die Windows Firewall Ihren Rechner bereits sehr gut vor möglichen Angriffen anderer Teilnehmer, die ebenfalls im Netzwerk des Hotspots angemeldet sind.

E-Mails nur über verschlüsselten Zugang

© Hersteller/Archiv

Jeder ernst zu nehmende E-Mail-Provider bietet für den Zugriff auf seine Mail-Server auch einen verschlüsselten Zugang an. Wer seinen E-Mail-Client auch am offenen Hotspot nutzen möchte, sollte diesen so einrichten, dass das Senden und Empfangen von E-Mails nur über eine verschlüsselte Verbindung abläuft.

Ratgeber: Die besten Facebook-Alternativen

Hierzu ersetzt man die Portnummern in den Kontoeinstellungen des E-Mail-Clients durch Portnummern, die einen verschlüsselten Verbindungsaufbau gewährleisten. Beim Postausgangs-Server (SMTP) ist meist die unverschlüsselte Verbindung über den Port 25 voreingestellt. Stattdessen trägt man in den Einstellungen des E-Mail-Clients den SMTP-Port 465 oder 587 ein, die jeweils für eine gesicherte SSL-Verbindung beim Versenden von E-Mails sorgen.

Bei der Verbindung zum Posteingangsserver für empfangene E-Mails bieten viele Mail-Provider neben dem Abruf POP3 (Port 110) auch das Verbindungsprotokoll IMAP (Port 143) an. Für den verschlüsselten E-Mail-Empfang sollte man hier beim Abruf über das POP3-Protokoll den Port 995 und für den IMAP-Abruf den Port 993 einstellen.

Hinweis: Einige Mail-Provider verwenden abweichende Portnummern für den verschlüsselten Zugang zum Mail-Server. Ein Blick in die Hilfe des entsprechenden Mail-Anbieters schafft Gewissheit. Falls Ihr E-Mail-Provider keine Verbindung über SSL-(oder TLS-) gesicherte Mail-Server anbietet, sollten Sie Ihre E-Mails nicht an öffentlichen Hotspots abrufen.

Praktisch: Für den E-Mail-Abruf am Smartphone oder Tablet bieten viele Mail-Provider eigene Apps an. Diese bieten nach Eingabe der Zugangsdaten bereits automatisch eine verschlüsselte Verbindung an. Solche Anbieter sind zum Beispiel GMX oder Web.de.

Vorsicht bei offenen Hotspots: Es könnte eine Falle sein

Wer sich immer gleich beim erstbesten freien Hotspot einklinkt, kann sehr schnell einem Pseudo-Hotspot auf den Leim gehen. Nutzer offizieller Hotspots können das vermeiden, indem sie sich vorab über den exakten Namen des offiziellen Hotspots im Cafe, Restaurant oder Biergarten informieren. Viele Betreiber setzen für ihre freien Hotspots zusätzlich eine Verschlüsselung ein, die man als Nutzer erst erfragen muss.

Ratgeber: Die besten Whatsapp-Alternativen

Solche Hotspots sind grundsätzlich sicherer als die unverschlüsselte Variante, die von jedem beliebigen Gast im Cafe stammen könnte. Eine Gefährdung durch Pseudo-Hotspots lässt sich jedoch nicht vollständig ausschließen. Jeder offizielle Zugang kann ein Angreifer mit entsprechend leistungsfähiger WLAN-Hardware durch einen bösartigen Hotspot mit exakt demselben Namen überlagern.

Kein Online-Banking über öffentliche Hotspots

Professionellen Datendieben soll es mit entsprechender Ausrüstung sogar möglich sein, verschlüsselte Verbindungen manipulieren zu können. Dazu gehören Übertragungen, die über SSL oder VPN gesichert sind. Deshalb sollten Sie auf keinen Fall Online-Banking oder andere sensible Transaktionen an öffentlichen Hotspots durchführen.

Selbst auf die bloße Kontrolle Ihres Kontostandes sollten Sie im öffentlichen Hotspot besser verzichten. Das Gleiche gilt für jeglichen Austausch sensibler Daten und Informationen. Führen Sie diese Art von Kommunikation nur in vertrauenswürdigen Netzwerken durch. Ein öffentlicher Hotspot zählt da grundsätzlich nicht dazu.

Einen geschützten "Verbindungstunnel" aufbauen

Wer mit seinem Notebook ungestört im offenen WLAN surfen möchte, ohne dass ein Dritter mithört oder Zugangsdaten abgreift, leitet seinen Datenstrom über einen verschlüsselten VPN-Tunnel. Dazu ist die Installation eines Clients notwendig. Der baut eine verschlüsselte Verbindung zu einem VPN-Server im Internet und leitet darüber alle Online-Anfragen. Die Daten werden auf dem Notebook damit sicher verschlüsselt bis zum VPN-Server übertragen. Der leitet die Anfrage unverschlüsselt an die Zieladresse weiter.

Mit Steganos Online Shield 365 von der Heft-DVD der PCgo-Ausgabe 06/2013 ("Extras zum Heft/Software zum Heft") bauen Sie einen gesicherten VPN-Tunnel zu einem VPN-Server auf. Mit dem werbefreien Programm übertragen Sie bis zu 500 MByte Daten monatlich kostenlos über die gesicherte Datenverbindung.

Das reicht für gelegentliches Surfen, Web-Mail oder zur Kontaktpflege in Facebook aus. Für die unbegrenzte Nutzung des VPN-Dienstes verlangt Steganos rund 60 Euro pro Jahr. Hinweis zur Nutzung: Sobald das Tool aktiviert ist, werden bis auf den VPN-Tunnel ins Internet alle weiteren Netzwerkverbindungen blockiert.

Auf Angriffe per "Social Engineering" achten

© Hersteller/Archiv

Was gerne übersehen wird: Gefahren an öffentlichen Hotspots lauern nicht nur im Netzwerk. Manchmal genügt dem Datendieb ein kurzer Blick über Ihre Schulter, um Ihr soeben eingetipptes Passwort zu auszuspähen. Bei dieser Methode des Datenklaus spricht man von Social Engeneering. Weiterhin sollten Sie Ihr Notebook, Tablet oder Smartphone auch niemals unbeaufsichtigt lassen.

Hotspots finden sich häufig an stark frequentierten Plätzen, an denen sich gerne auch Gelegenheitsdiebe herumtreiben. Deswegen verschwinden aus Unachtsamkeit regelmäßig viele teure Geräte mit den darauf gespeicherten Zugangsdaten, Privatunterlagen, Fotos und so weiter. Vermeiden Sie es deshalb auch, besonders sensible Daten auf Ihren mobilen Geräten zu speichern.