Ich war heute auf einer Schulung für einen anderen Auftrag. Gelernt habe ich nicht viel, aber sie war verpflichtend und sie hat auch etwas Gutes, nämlich diesen Blogartikel hier. Ich wurde von einer Aussage getriggert, die in Bezug auf ein freies, öffentliches, unverschlüsseltes W-LAN gefallen ist. Sie ist erst einmal nicht falsch, aber weil ich absolut ein Gegner davon bin, Menschen durch das Gefühl (falscher) Sicherheit in eine Situation laufen zu lassen, in der sie unachtsam und dadurch unvorsichtig werden, muss ich hier jetzt doch etwas dazu schreiben.
Nutzt offene W-LAN-Zugänge, aber bleibt vorsichtig!
Die Aussage war, dass das W-LAN nicht unbedingt verschlüsselt sein muss, weil der gesamte Internetverkehr ja bereits verschlüsselt ist, die Daten also verschlüsselt übertragen werden und eine W-LAN Verschlüsselung somit nur verschlüsselte Daten noch ein zweites Mal verschlüsseln würde. Das ist richtig! Es sind zwar nicht unbedingt alle Webseiten verschlüsselt, müssen auch nicht unbedingt alle sein, aber die, wo es um Login-Daten geht, sind es meist. Das Passwort an die Bank wird von der App nicht im Klartext übertragen, ebenso nicht die Login-Daten von Facebook oder Twitter. Warum aber schreibe ich dann diesen Artikel?
Nun, weil ein offenes W-LAN eben auch ein Angriffspunkt ist, um Sicherheitsmaßnahmen von Webseiten zu umgehen! Zum Beispiel muss Webseite und Browser erst einmal einen Schlüsseltausch machen, damit die Verschlüsselung überhaupt funktioniert. Wenn sich wer zwischen Router und eurem Endgerät schaltet und den Schlüsselaustausch zwischen Webseite und eurem Gerät abfängt und dafür einen eigenen Schlüssel an euer Gerät weitergibt, dann kann diese Person die Login-Daten eben doch im Klartext sehen. Klar, ist bei einer Großveranstaltung mit mehreren tausend Gästen vielleicht unwahrscheinlich, weil die Datenmengen riesig sind, in einem Café aber nicht unbedingt. Deswegen sollte sich jeder bewusst sein, dass es diese Gefahr durchaus gibt, egal wie klein die Wahrscheinlichkeit in einer bestimmten Situation ist, in einer anderen Situation kann sie schon wieder sehr viel größer sein.
Sicherlich versuchen Banken und andere Internetdienstleister, diese Gefahr zu minimieren. Versuchen das Zwischenschalten von Angreifern zu unterbinden, aber hier kommt der zweite wichtige Punkt: Keine Technik ist zu 100 Prozent sicher! Auch das solltet ihr immer im Hinterkopf haben und vielleicht sitzt bei euch im Café gerade die Person, die eine Schwachstelle kennt und diese im öffentlichen, unverschlüsselten W-LAN ausnutzt.
Deswegen ist die oben gemachte Aussage, dass das kein wirkliches Problem für die Sicherheit ist, wenn das W-LAN unverschlüsselt ist, problematisch und es für mich so wichtig, kurz darauf hinzuweisen, dass dem nicht so ist. Dennoch möchte ich euch keine Angst machen, nutzt weiterhin öffentliche W-LANs, aber eben mit dem Wissen, dass das schon die Sicherheit beeinträchtigen kann. Einfach, damit ihr mit euren Daten achtsam umgeht und wenn euch etwas komisch erscheint, ihr hier Vorsicht walten lasst.
Keine 100 prozentige Sicherheit
Ich wiederhole mich da gerne, es gibt keine 100 prozentige Sicherheit, aber ihr könnt die Wahrscheinlichkeit eines Angriffs verringern, indem ihr mehr Sicherheitsschichten verwendet. Wäre das W-LAN verschlüsselt, so wäre die Kommunikation zwischen Router und Gerät verschlüsselt und ein Angreifer hätte es schwerer, sich dazwischenzuschalten. Es wäre aber durchaus möglich, nur eben etwas unwahrscheinlicher als ohne Verschlüsselung! Seht ihr, worauf ich hinaus will?
Genau! Nutzt ruhig andere Wege, um die Daten auch in einem öffentlichen W-LAN noch einmal zu verschlüsseln. Richtet euch eine VPN-Verbindung auf eurem Smartphone zu eurer FritzBox ein, oder zu jedem anderen Routermodell, welches das unterstützt. Das wäre eine weitere Sicherheitsschicht, die es unwahrscheinlicher macht, dass ihr Opfer eines Angriffes werdet, aber eben nicht unmöglich. Es gibt kein Null-Risiko, es ist immer ein Risiko vorhanden, aber ihr könnt es minimieren.
Wenn euch also demnächst jemand erzählen sollte, dass das öffentliche W-LAN, welches unverschlüsselt ist, kein Problem für die Datensicherheit darstellt, weil ja die Kommunikation im Internet eh zum größten Teil verschlüsselt erfolgt, nehmt es ihm nicht übel, es wurde ihm wahrscheinlich genau so erzählt. Nutzt das öffentliche W-LAN ruhig auch, aber nutzt es so, dass ihr euch wohl damit fühlt. Nutzt also notfalls auch ein VPN, wenn ihr mit sensiblen Daten unterwegs seid und bedenkt auch immer, dass es auch Programme auf euren Geräten geben könnte, die eben nicht verschlüsselt kommunizieren.
Damit wäre ich dann auch schon beim letzten Punkt, auf den ich in diesem Zusammenhang noch hinweisen möchte. Auch wenn die Verbindung zur eigenen Bank verschlüsselt erfolgt, so könnte es auch indirekte Angriffe geben. Zum Beispiel auf ein E-Mail-Konto, weil die verwendete App eben doch nicht verschlüsselt kommuniziert. Dann wären die Login-Daten sofort im Klartext lesbar für den Angreifer, der dann vielleicht über den Mailaccount Zugriff auf eure Kreditkarte bekommt. Ihr müsst da durchaus ein wenig um die Ecke denken, denn es gibt meist mehrere Wege, um ein bestimmtes Ziel zu erreichen und das durchaus auch auf einer Großveranstaltung.
Anmerkung:
Es geht mir mit dem Artikel nicht darum zu sagen, dass ihr unbedingt eine VPN-Verbindung nutzen solltet, wenn ihr ein öffentliches W-LAN verwendet – jetzt einmal unabhängig davon, ob es verschlüsselt ist oder nicht. Ich würde auch keine VPN-Verbindung nutzen, um mir Videos bei Youtube anzusehen oder Inhalte in die sozialen Netzwerke zu laden. Ich möchte euch auch gar keine Angst vor der Nutzung von öffentlichen W-LANs machen, ganz im Gegenteil, nutzt die, die sind cool und nur wenn sie genutzt werden, werden diese auch weiterhin angeboten und die Angebote ausgebaut. Was ich mit dem Artikel erreichen will, ist, dass ihr euch immer bewusst seid, dass ein Restrisiko besteht und es an euch ist, dieses Restrisiko zu minimieren. Dazu gehören die Basics, wie das Installieren von (Sicherheits)Updates für das Betriebssystem und alle Anwendungen, die Achtsamkeit bei Warnmeldungen, aber eben auch, dass ihr euch Gedanken darüber macht, welche Daten vielleicht doch eine zusätzliche Sicherheitsebene brauchen. Da geht es auch um Haftungsfragen – wenn es um Unternehmensdaten geht. Die Aussage, die mir Bauchschmerzen bereitet, ist ja nicht grundsätzlich falsch, sie wiegt aber in falscher Sicherheit und ich kenne genügend Beispiele, wo falsche Sicherheit dann eben zu Unachtsamkeit geführt hat.
Hi! Danke für deinen Beitrag!
Habe ich das richtig verstanden, ich kann meine FritzBox als VPN nutzen, indem ich Daten von meinem Handy über meine FritzBox zuhause umleite, wenn ich mich z.B. am Bahnhof ins öffentliche WLAN einlogge?
Ja, das ist möglich. https://www.netzwelt.de/anleitung/187489-vpn-fritzbox-nutzen-so-gehts.html
> Zum Beispiel muss Webseite und Browser erst einmal einen Schlüsseltausch machen, damit die Verschlüsselung überhaupt funktioniert. Wenn sich wer zwischen Router und eurem Endgerät schaltet und den Schlüsselaustausch zwischen Webseite und eurem Gerät abfängt und dafür einen eigenen Schlüssel an euer Gerät weitergibt, dann kann diese Person die Login-Daten eben doch im Klartext sehen
Das was du beschreibst ist ein man-in-the-middle und das Problem ist technisch gelöst: Der Schlüsseltausch ist signiert, die (Root) Signaturen hat jeder Browser von Haus aus installliert. Wenn diese Verschlüsselung bricht, dann ist viel mehr kaputt.
Grundsätzlich gilt eher das man dem Internet gar nicht vertrauen kann. Auch wen man seinem Internetprovider traut, der Datenverkehr wird über einige andere Anbieter geroutet, und die sind genauso unvertrauenwürdig wie das Cafe-Wlan um die Ecke.
Es wäre besser man schaut generell, im offenen Fremdwlan und im verschlüsselten eigenen LAN, das man die Ende zu Ende Veschlüssung sauber ist: https, aktuelle Software und auf die URLs achtet. Die meisten erfolgreichen Angriffe kommen über Phising mails mit einem link
Ich habe mal das Linkbeispiel rausgenommen. Und ja, es gibt für viele Dinge auch Lösungen, um die Sicherheit zu erhöhen. Deswegen würde ich ja auch niemanden davon abraten, öffentliches WLan zu benutzen, nur sollte die Gefahr, die eventuell besteht – auch wenn sie minimal ist – schon bekannt sein. Mails sind da ja ein schönes Beispiel. Die meisten schicken ja immer noch Postkarten durch das Netz, obwohl die Möglichkeit bestehen würde, diese auch in einen Briefumschlag zu stecken. Vielen ist noch immer nicht bewusst, dass sie Postkarten versenden, die im schlimmsten Fall von anderen mitgelesen werden können. Auch da weise ich immer wieder darauf hin, einfach in der Hoffnung, dass sich die Menschen ein paar Gedanken über die Sicherheit machen.