Wer die WLAN-Suche in seinem Handy aktiviert, bekommt meist dutzende Ergebnisse, unabhängig davon, wo er sich befindet. Egal ob Hotel, Restaurant oder Café: Es gehört heute zum guten Ton, seinen Kunden freies Internet anzubieten. Auch an immer mehr öffentlichen Plätzen gibt es sogenannte Hotspots. Handynutzer wiederum nehmen die Angebote gerne in Anspruch, sei es, weil sie Datenvolumen sparen wollen, sei es, weil sie beispielsweise im nichteuropäischen Ausland sind und dort gar keinen Datentarif haben.
Doch was für den Nutzer zunächst praktisch erscheint, kann gravierende Konsequenzen haben, warnt Stefan Middendorf: „Wer sich einfach verbindet, geht eine große Gefahr ein.“ Middendorf kümmert sich als Hauptkommissar beim Landeskriminalamt Baden-Württemberg um das Thema Mediensicherheit. Seine Erfahrung: Obwohl sie es eigentlich besser wissen sollten, gehen viele Nutzer blauäugig mit ihren Daten um.
In Bezug auf öffentliche WLANs bedeutet das: Sie nutzen die Verbindung, als wären sie im heimischen WLAN oder im eigenen Datentarif. So schicken sie etwa Fotos über Whatsapp, überprüfen ihre E-Mails oder suchen nach neuen Amazon-Angeboten. Sind die Passwörter auf dem Handy gespeichert, muss der Nutzer noch nicht einmal selbst tätig werden, die Synchronisation der E-Mails etwa geschieht voll automatisch.
Das Problem: Ein öffentliches WLAN ist eben nicht dasselbe wie das private WLAN zuhause. Knackpunkt ist der Router, der die Daten überträgt. Wer die Kontrolle über den Router hat, hat eben auch die Kontrolle über die Daten – und kann die im Zweifelsfall für illegale Zwecke nutzen. „Wenn ein ‚Böser‘ hinter dem Router steht, eröffnen sich ihm sehr viele Möglichkeiten“, warnt Middendorf.
Auf der Hand liegt die Gefahr bei Shops wie Amazon, in denen Zahlungsdaten hinterlegt sind. Kann ein Krimineller über den Router auf die Daten zugreifen, kann er über den Account des Handybesitzers bestellen, was er will. Noch kritischer wird es, wenn er auch auf die E-Mails zugreifen kann. Dann kann er die Passwörter etwa bei Amazon zurücksetzen und sich neue schicken lassen, ja das Konto sogar mit einer anderen E-Mail-Adresse verbinden. Der Handybesitzer hat dann keinen Zugriff mehr auf seine eigenen Daten und kann nichts dagegen tun, dass der Kriminelle seine Konten plündert.
Auch von Onlinebanking per offenem WLAN rät Middendorf dringend ab. Zwar müssen Überweisungen in der Regel per SMS-Tan bestätigt werden. Doch es gibt Trojaner wie den Android.Smsspy.88.origin, die SMS-Nachrichten gezielt abfangen und an andere Geräte weiterleiten. Allein 2016 wurden weltweit über 40.000 mobile Geräte mit dem Trojaner infiziert. Gelingt das dem Kriminellen im offenen WLAN, hat er die kompletten Finanzen seines Opfers in der Hand.
Handynutzer müssten dennoch nicht in Panik verfallen, wenn sie fremde WLANs nutzen wollten, sagt Middendorf. „Nicht jedes Hotel-WLAN ist böse.“ Wichtig sei viel mehr, sich das WLAN genau anzusehen. Vieles Hotels schützen ihre kabellosen Netzwerke mit einem Passwort oder leiten den Nutzer auf eine Anmeldeseite, wenn er das Netzwerk nutzen will. Diese WLANs seien in der Regel vergleichsweise sicher, sagt Middendorf: „Die Hotels haben ja ein ureigenstes Interesse daran, dass ihren Gästen nichts passiert.“
Anders sieht es jedoch aus, wenn ein WLAN tatsächlich offen ist. Das ist etwa in vielen Bars und Cafés der Fall. Hier können Hacker die unsichere Verbindung kapern. Manche Kriminelle bieten sogar gezielt selbst offene WLANs an, sogenannte „Honey Pots“. Die tragen dann einen Namen, der dem offiziellen Namen eines nahegelegenen Hotels oder Restaurants nachempfunden ist. So wiegen sie den Handynutzer in Sicherheit. Middendorf rät deshalb, sich immer die konkreten Daten des WLANs vom Empfang oder Kellner geben zu lassen – und niemals sensible Daten über offene WLANs zu versenden.
Ohnehin wäre Middendorf bei sensiblen Daten und öffentlichen WLANs vorsichtig, selbst wenn die Verbindung passwortgeschützt ist: „Ein Passwort minimiert das Risiko, schaltet es aber nicht aus.“ Auf Nachrichtenseiten zu surfen oder nach dem Wetterbericht zu sehen, dürfte in den wenigsten Fällen zu einem Problem führen. Sobald es jedoch um Anmeldedaten geht, rät Middendorf dazu, den eigenen Datentarif zu nutzen – oder ein VPN.
VPN steht für „Virtual Private Network“, ein virtuelles privates Kommunikationsnetz also. Das VPN baut einen passwortgeschützten Tunnel auf, über den Daten übertragen werden, ohne dass jemand anders auf sie zugreifen kann. Viele Unternehmen nutzen VPN, damit ihre Mitarbeiter auch von außerhalb des Firmennetzwerks auf Dateien und Programme zugreifen können. Es gibt aber auch etliche Anbieter, die VPN-Services für Endkunden anbieten, und zwar sowohl kostenpflichtige als auch Freeware.
Natürlich bedeutet das erst einmal eine Zusatzaufgabe für den Einzelnen, doch Middendorf ist überzeugt, dass jeder hier die Verantwortung für sich selbst übernehmen muss: „Wir haben alle ein digitales Ich und das müssen wir schützen.“ Die Folgen könnten sonst sehr teuer sein.
