Öffentliche WLANs sind unsicher – selber für Sicherheit sorgen ist unbequem und unsexy. Es wird Zeit, für einen Sinneswandel: Sicherheit muss sexy werden. // von Daniel Kuhn

Vor knapp zwei Wochen habe ich in einem Artikel aufgezeigt, wie einfach sich in einem öffentlichen WLAN die Login-Daten, Identitäten und sogar Online-Banking-Zugänge von den Nutzern in dem Netz erlangen lassen. Meine erste Reaktion war, keine öffentlichen WLANs mehr zu nutzen. Doch ganz so einfach ist das ja auch nicht immer und diese Reaktion dann vielleicht auch überzogen. Es muss doch Möglichkeiten geben, wie man sich vor derartigen Attacken schützen kann – stimmt, die gibt es.

---

Warum ist das wichtig? Ohne Schutzmaßnahmen ist man in öffentlichen Daten potenziellen Angreifern ausgeliefert, die auf einfachsten Wegen allerhand sensible Daten ergattern können. Man kann sich aber durchaus schützen, man muss nur aus seiner Komfortzone ausbrechen.

• Man kann öffentliche WLANs und die darin lauernden Gefahren komplett meiden, indem man 3G/4G-Sticks verwendet.

• Weniger Kostenintensiv ist eine konsequente Verschlüsselung der Daten mit dem TLS-Protokoll. Zusätzlichen Schutz kann ein VPN bieten.

• Mobile Devices bieten leider größere Gefahren, da die Übertragungsprotokolle für den Nutzer nicht einsehbar sind. Im Zweifel sollten entsprechende Apps daher lieber nicht in öffentlichen WLANs genutzt werden.

---

Meine erste und wohl naheliegendste Idee nach dem Verfassen des Artikels über die Gefahren in öffentlichen WLANs war, keine öffentlichen WLANs mehr zu nutzen. Wenn ich mich nicht in entsprechenden Netzen aufhalte, kann mich dort auch niemand angreifen. Stattdessen könnte man auf 3G/4G-Sticks ausweichen. Dies ist aber mit oftmals geringen Datenvolumen und, je nach Verbrauch, hohen Kosten verbunden. Als Lösung also nur für diejenigen geeignet, die das nötige Kleingeld und die nötige Portion Paranoia besitzen.

Es muss aber auch bessere Lösungen geben, wie man sich trotzdem in öffentliche WLANs wagen kann, ohne gleich als leichte Beute für potenzielle Angreifer zu gelten. Um mehr über die möglichen Schutzmöglichkeiten zu erfahren, habe ich mich Matthias Wübbeling von der Arbeitsgruppe IT-Sicherheit an der Abteilung für Informatik 4 der Universität Bonn in Verbindung gesetzt. Und siehe da, es gibt durchaus ein paar einfache Regeln, wobei einfach in diesem Fall nicht bequem bedeutet.

Transportverschlüsselung ist der Schlüssel

Der erste Tipp von Wübbeling klingt dann auch schon gleich sehr Mut machend: „Transportverschlüsselung ist eine wichtige Grundlage für die sichere Kommunikation und eigentlich schon ausreichend, auch in offenen Netzwerken„. Transportverschlüsselung meint dabei die Verschlüsselung der zwischen Gerät und Server übertragenen Daten – zu den bekanntesten Protokollen gehören SSL und der Nachfolger TLS. „Trotz Heartbleed und SSLPoodle bietet die OpenSSL-Bibliothek mit TLS ein grundsätzlich sicheres Verfahren an, wenn man sich als Nutzer an ein paar kleine Spielregeln hält„. Eine der wichtigsten Spielregeln ist dabei, dass man nur vertrauenswürdigen Zertifikaten auch wirklich vertraut. Doch woher weiß ich als Normalanwender ohne tiefere IT-Kenntnisse, welche Zertifikate vertrauenswürdig sind? Nun, die Faustregel ist, dass alle Zertifikate vertrauenswürdig sind, bei denen der Browser keine Warnmeldung ausspuckt. Wenn ich also auf eine HTTPS-Website gehe und sollte doch eine Warnmeldung kommen, sollte man auf die Verbindung verzichten, so schwer es auch fallen mag. „Diese Regel gilt„, laut Wübbeling, „aber nicht nur im fremden WLANs, sondern auch dann, wenn man in einem vermeintlich sicheren Netz ist„.

---

Video der Online-Lernplattform Dizauvi, was HTTPS ist:

---

Standardmäßig steuern Browser eine unverschlüsselte HTTP-Verbindung an – viele Webseiten leiten jedoch standardmäßig auf eine sichere HTTPS-Verbindung um. Dieser erste unverschlüsselte Verbindungsaufbau kann einem Angreifer allerdings schon ausreichen, um Login-Daten abzufischen. Um sich davor zu schützen, hat die Electronic Frontier Foundation das Projekt „HTTPS Anywhere“ ins Leben gerufen. Die Plugins für Chrome, Firefox und Firefox für Android versuchen bei jedem Verbindungsaufbau zu einer Website automatisch eine HTTPS-Verbindung zu etablieren. Erst wenn dies nicht möglich ist, wird auf die unverschlüsselte HTTP-Verbindung ausgewichen. Ein essentielles Tool also, egal, in welchem Netzwerk man sich befindet. Darüber hinaus sollte man auch E-Mail-Programme wie Thunderbird in den Einstellungen TLS standardmäßig aktivieren, da Login-Daten sonst als Klartext übermittelt werden.

Virtual Private Networks als Wunderwaffe?

Eine weitere Möglichkeit, sich zu schützen, sind Virtual Private Networks (VPN). Bei der Recherche stellte sich allerdings schnell heraus, dass es hier eine nahezu unüberschaubare Flut verschiedener Dienste gibt, die allesamt unterschiedliche Schwerpunkte und Preismodelle haben. Für wenig technikaffine Nutzer also ein undurchdringlicher Dschungel, vor dem die meisten kapitulieren werden. Doch würde sich die Arbeit überhaupt lohnen? Sind VPNs tatsächlich so eine Wunderwaffe gegen Angreifer? Ja schon, aber „trotz VPN gilt immer noch die Regel zur Nutzung von TLS gesicherten Verbindungen im Internet. Ohne diese ist man eigentlich nie sicher unterwegs„, so Wübbeling.

Ein VPN stellt eine Verbindung zu einem anderen Netzwerk her, in das die Daten umgeleitet werden. Das klingt an sich erst mal nach einer feinen und sicheren Sache, kann aber auch seine Tücken haben, wie Wübbeling erläutert: „Je nach Konfiguration ist es so, dass man plötzlich mit vielen Menschen von überall auf der Welt in einem gemeinsamen privaten Netzwerk ist, als säßen alle zusammen in einem Wohnzimmer„. Damit wäre der Nutzer dann wiederum anderen potenziellen Angreifern ausgeliefert, die sich in diesem unbekannten Netzwerk befinden. Diese Problematik betrifft die meisten kommerziellen VPN-Anbieter.

Die sichere Lösung heißt hier, zu Hause einen eigenen VPN betreiben. Einige FritzBoxen bieten die Möglichkeit, einen eigenen VPN einzurichten, ansonsten ist die beste Option OpenVPN, die allerdings einigen Aufwand erfordert, um effektiven Schutz zu bieten. Es gibt mehrere Tutorials, die zeigen, wie man einen eigenen VPN auf einem Raspberry Pi einrichtet, zum Beispiel sehr detailliert auf ReadWrite.com. Die Kosten für die Hardware amortisieren sich im Vergleich zur Nutzung eines kommerziellen Anbieters schnell und man hat so die Kontrolle über das Netzwerk, in das man sich von überall auf der Welt umleiten lassen kann. Neben dem Geld ist aber natürlich auch der Aufwand eine große Hürde. Hierzu kann an dieser Stelle nur gesagt werden, dass die Einrichtung anhand der Tutorials selbst für Techniklaien sehr leicht ist – man muss nur die Berührungsangst und den Wunsch nach Bequemlichkeit überwinden. Sicherheit ist nun einmal nicht bequem und hier muss man klar abwägen, welche der beiden Optionen einem wichtiger sind.

---

In Los Angeles sollen öffentlichen Parks offenes WLAN bekommen – Larry Mantle diskutiert dabei den Sicherheitsaspekt:

---

Es gibt keine bequeme Sicherheit, schon gar nicht auf Mobile Devices

Man hat im Café um die Ecke oder im Hotel nicht immer ein Laptop dabei, oftmals reicht ein Smartphone oder Tablet aus, um die wichtigsten Sachen im Netz zu erledigen. Doch wie sieht es mit der Sicherheit von Mobile Devices und Apps in öffentlichen WLANs aus? Kurz gesagt, nicht gut. Zwar gelten hier die gleichen Grundregeln wie bei Laptops auch, allerdings ist es für den Nutzer nicht nachvollziehbar, ob eine App nun die Daten über eine HTTPS-Verbindung oder doch etwa unverschlüsselt übermittelt. Wübbeling dazu: „Für Apps kann man also nur raten, sich direkt beim Entwickler zu informieren, welche Informationen übermittelt werden und ob diese mittels aktueller Verschlüsselung geschützt werden„. Das ist bei der Masse an Apps natürlich eine nahezu unschaffbare Aufgabe. Sollte man unsicher sein, empfiehlt es sich, auf den Komfort und die Funktionalität, die die jeweilige App bietet, in öffentlichen WLANs zu verzichten, so schwer es auch fallen mag.

Und damit sind wir wieder beim Fazit des Artikels angelangt: Sicherheit ist unbequem und dadurch unsexy. Doch hier muss endlich ein Sinneswandel stattfinden. Sicherheit muss sexy werden, auch wenn sie unbequem ist. Natürlich ist es wünschenswert, dass Unternehmen Sicherheitsmechanismen wie Verschlüsselung in ihre Dienste als Standard integrieren, doch leider ist dies eben noch nicht der Fall. Dem Nutzer bleibt also nur, den Schutz seiner Daten, soweit es in Zeiten des NSA-Skandals möglich ist, selber in die Hand zu nehmen, bis Unternehmen realisieren, dass ein Wunsch nach dieser Sicherheit bei den Nutzern existiert und diese zum Standard wird.

Artikel per E-Mail verschicken
Schlagwörter: Datenschutz, hacker, sicherheit, Technologie, Wifi, wlan