Sicherheit am öffentlichen WLAN-Hotspot, der nicht sicher sein kann
Es hat sich hier ein Übel ausgebreitet! Wir achten nicht mehr darauf, welche Seiten wir öffnen und wo wir Passwörter eingeben, wenn wir mit öffentlichen Wi-Fi-Netzen verbunden sind. In letzter Zeit ist der Trend gewachsen, in Cafés zu arbeiten. Bei Bedarf fordern wir vom Personal das Wi-Fi-Passwort an und legen los. Wir loggen uns in unsere paar Mail-Konten ein, werfen einen Blick in die Firmendatenbank, bezahlen einige Rechnungen, kaufen ein paar Kleinigkeiten im Internet, trinken den Kaffee aus und ab geht es. Öffentliche Wi-Fi-Netze begleiten uns auch im Rest des Tages. Wir verbinden uns im Zug, im Einkaufszentrum, beim Gehen auf der Straße, das Handy verbindet sich abwechselnd mit allen Wi-Fis, die wir „treffen“ … Und so vertrauen wir den ganzen Tag. Doch es stellt sich die Frage: Sollten wir das? Ist öffentliches Wi-Fi sicher?
Leider, ohne VPN ist es das nicht. Bevor wir dazu kommen, was uns bei der Nutzung öffentlicher Wi-Fis alles droht, schauen wir, wie die Verbindung funktioniert.
Wi-Fi (oder Wireless Fidelity) ist drahtlose Kommunikation in Computernetzen, die im lizenzfreien Band 2,4 GHz oder 5 GHz stattfindet (das bedeutet, der Anbieter muss für ihren Betrieb keine Gebühren zahlen, er muss nur die Regeln des Tschechischen Telekommunikationsamtes einhalten). Wi-Fi-Netze können auf zwei Arten aufgebaut werden. Wir widmen uns öffentlichen Wi-Fis, daher interessiert uns das Infrastrukturnetz. Dieses enthält einen oder mehrere APs (Zugangspunkte), die das Signal in die weite Umgebung senden. Dieses Signal empfangen dann die APs einzelner Nutzer. Damit Nutzer die gesendeten Netze finden und unterscheiden können, senden APs das Signal über den Identifikator SSID (in der Praxis bedeutet das, dass das Wi-Fi eine eindeutige Bezeichnung hat, die bei der Suche angezeigt wird).
Verschlüsselung von Webseiten
Vielleicht ist Ihnen die Webverschlüsselung aufgefallen und vielleicht überhaupt nicht. Manche Webseiten beginnen mit http und andere mit https. In der URL-Zeile sehen wir auch ein Schloss und das Wort „Gesichert“. Was bedeutet das und worin liegen die Unterschiede?
HTTP
Wenn die Zeile mit diesem Protokoll beginnt, ist die Webseite nicht verschlüsselt. Die gesamte Kommunikation, die darüber abläuft, kann abgefangen und verändert werden. Ein Angreifer kann nicht nur Anmeldedaten, sondern auch Cookies abfangen, die die Anmeldung auf der Webseite aufrechterhalten.
HTTPS
Seiten, die mit https beginnen, sind beispielsweise mit einem Schloss und dem Wort „Gesichert“ gekennzeichnet. Das bedeutet, die Webseite ist verschlüsselt und die eingegebenen Daten können nicht abgehört werden. Wenn Sie sich auf einer Webseite anmelden, überprüfen Sie stets, dass die Befehlszeile mit https beginnt. Ist das nicht der Fall, stellt die Seite ein Risiko für Sie dar. Leider ist auch die HTTPS-Sicherung nicht zu hundert Prozent. Ein möglicher Hacker kann immer noch Cookies abfangen, die auf der Webseite verbleiben und die Anmeldung aufrechterhalten. Die Kommunikation selbst bleibt jedoch verborgen und ihre Entschlüsselung wäre schwierig.
Was droht bei der Nutzung ungesicherter öffentlicher Wi-Fis?
MITM-Angriff (Man In The Middle)
MITM-Angriffe funktionieren so, dass sich der Angreifer in den Weg des Datenflusses stellt, den Sie eingeben (zum Beispiel zwischen Ihren Computer und den E-Mail-Server), und die Daten nicht nur abhört, sondern auch verändern kann. Würde er beispielsweise Daten abfangen, die Sie ins Online-Banking eingeben, könnte er das Geld am Ende auf ein ganz anderes Konto senden. Angreifen kann man zum Beispiel über Viren, die Sie auf das Gerät herunterladen, oder über das Antivirenprogramm. Einen MITM-Angriff erkennt der normale Nutzer sehr schwer, es gibt aber verschiedene Plug-ins, die in den Browser installiert werden und beim Erkennen des Angriffs helfen können. Online-Banking ist jedoch gut geschützt, deshalb versuchen Betrüger, die Anmeldeseite selbst zu fälschen und Sie zur Eingabe der Anmeldedaten zu zwingen. Ein solcher Angriff heißt Phishing, also das Fischen nach Passwörtern. Solche Angriffe drohen jedoch unabhängig vom Verbindungstyp.
Session-Hijacking-Angriff
Diese Art von Angriff droht vor allem auf Webseiten mit unsicherem http-Protokoll. Wenn Sie sich auf einer Seite anmelden, wird eine sog. Session erstellt. Wenn es dem Angreifer gelingt, Ihre Anmeldung abzufangen (er muss nur die Cookies einfangen), kann er sich für Sie ausgeben. Den laufenden Angriff erkennt man wieder sehr schwer, Vorbeugung ist die Nutzung von VPN (siehe unten).
„Falsches“ Wi-Fi
Der Angreifer erstellt ein öffentliches Wi-Fi, das so aussieht, als ob es z. B. der Bahnhof, der Flughafen, das Café bereitstellen würde … Nach Ihrer Verbindung damit hört er Ihre Zugangsdaten und Weiteres ab. Schutz vor diesem Angriff ist, sich nur mit öffentlichen Netzen zu verbinden, für die Sie ein Passwort erhalten müssen.
Sicher im nichtöffentlichen Wi-Fi
Wie kann man solchen Angriffen aus öffentlichen ungesicherten Wi-Fis vorbeugen? Lässt sich also in dieser gefährlichen Welt öffentlicher Wi-Fis eine zumindest etwas sichere „Oase“ schaffen? Helfen werden dabei folgende Schritte.
Aktualisieren Sie
Achten Sie darauf, das verwendete System stets aktualisiert zu haben, ebenso Programme auf dem Computer oder in Mobiltelefonen heruntergeladene Apps. Vergessen Sie auch die Aktualisierung des Antivirenprogramms nicht. Achten Sie beim Download jeglicher Apps stets darauf, dass sie aus Originalquellen stammen.
Schalten Sie die automatische Verbindung mit Wi-Fis aus
Schalten Sie auf Computern und Mobilgeräten die Option aus, dass sich das Gerät selbst mit verfügbaren öffentlichen Wi-Fis verbindet. Unterstützen können Sie das auch durch Ausschalten der Wi-Fi-Suche, die wir vor allem auf Handys praktisch ständig eingeschaltet haben. Sie sparen nicht nur die Akkulaufzeit, sondern schützen auch Ihre Privatsphäre und Ihr Gerät.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung funktioniert so, dass bei der ersten Anmeldung auf einer Seite von einem neuen Gerät neben Benutzername und Passwort eine weitere Überprüfung erfolgt. Beispiel ist die Eingabe eines Codes, der per SMS kommt. Nutzen Sie sie also dort, wo Sie Ihr Konto stärker absichern wollen. Beginnen Sie gleich bei Ihrer E-Mail. Wenn ein Angreifer Daten zu Ihrer E-Mail erlangt, braucht er keine Passwörter für weitere Seiten oder Apps mehr, er setzt sie einfach per E-Mail zurück.
Schalten Sie die Firewall nicht aus
Die Firewall haben heute alle Betriebssysteme installiert, in diesem Fall ist Ihre einzige Sorge, sie eingeschaltet zu lassen. Die Firewall ist im Grunde eine Mauer, die zwischen dem Gerät des Nutzers und dem Internet steht. Es ist ein Software-Werkzeug, das die gesamte elektronische Datenkommunikation kontrolliert, die in den Computer oder das Computernetz eintritt. So schützt sie den Computer vor Angriffen anderer Nutzer oder Schädlinge (Trojanisches Pferd, Spyware usw.). Sie ist nicht allmächtig, aber die Regeln zur Blockierung werden regelmäßig vom Diensteanbieter aktualisiert – und sie filtern bereits bekannte Gefahren heraus.
VPN
VPN-Dienste funktionieren wie folgt: Die Daten von Ihrem Gerät werden vom VPN-Client auf Ihrem PC verschlüsselt und dann durch einen verschlüsselten Tunnel an einen VPN-Server gesendet, der irgendwo auf der Welt platziert sein kann. Zum Beispiel in Ihrer Firma oder kommerziell betrieben. Der VPN-Server entschlüsselt die Daten und sendet sie an die Webseite. Die Webseite, auf der Sie sich anmelden, kennt also nicht Ihre IP-Adresse, sondern nur die des VPN-Servers. Ebenso sieht Ihr Internetanbieter nicht, welche Seiten Sie ansehen. Alle Daten verwahrt jedoch der VPN-Server, daher müssen Sie einen wählen, dem Sie vertrauen. Daraus ergibt sich die Frage: Was, wenn jemand einen VPN-Server nur betreibt, um Nutzerdaten zu sammeln? Diesem Risiko können Sie vorbeugen, indem Sie einen geprüften VPN-Dienst herunterladen. Sehr vertrauenswürdig sind VPN-Dienste von Antivirenherstellern. Eventuell lohnt es sich, einen eigenen VPN-Server zu betreiben, auch für relativ kleine Unternehmen. Es geht um keine besonders teure Hardware.
TIPP: Lesen Sie den Artikel Was ist VPN, warum man es haben sollte und welche Vorteile es bringt
Passwortmanager
Beim Erstellen neuer Anmeldedaten haben wir meist das Problem, dass uns kein wirklich starkes Passwort einfällt, weil wir es uns nicht merken könnten. Ein großer Prozentsatz von Nutzern hat daher ein paar Passwörter, die sie auf allen Servern verwenden, bei denen sie sich anmelden. Die fortgeschritteneren haben ein Passwort, das sie unterschiedlich variieren. Die am weitesten fortgeschrittenen jedoch nutzen einen Passwortmanager. Ein intelligentes Werkzeug, das Ihre Passwörter in einer verschlüsselten Datei auf Ihrem Computer speichert, zu der nur Sie Zugang haben. Und zwar mit einem einzigen Passwort, das Sie sich merken müssen. Dank des Passwortmanagers können Sie wirklich widerstandsfähige Passwörter erstellen, das Werkzeug generiert das Passwort und meldet Sie dann automatisch für Sie an. Sie haben die Wahl zwischen kostenpflichtigen und kostenlosen Tools.
TIPP: Lesen Sie den Artikel Wie man ein richtiges Passwort erstellt
Zur Aufrechterhaltung der Sicherheit hilft auch, bei der Bewegung im Internet weder leichtgläubig noch leichtsinnig zu sein. Auch wenn Sie alles richtig machen, genau wie Sie es jetzt gelesen haben, bleibt immer ein „Aber“. Hacker bemühen sich, stets einen Schritt voraus zu sein, sodass das, was heute funktioniert, morgen vielleicht nicht hundertprozentig ist. Es ist also gut, im Bereich der Sicherheit in öffentlichen Wi-Fi-Netzen nach dem Download eines VPN nicht in Selbstzufriedenheit zu verharren und sich kontinuierlich weiterzubilden.
Autorin: Johana Nádvorníková