Öffentliches WLAN sicher nutzen: Risiken, Schutz & klare Regeln

von Fabio Martin
Inhaltsverzeichnis

Kostenloses WLAN im Café, am Bahnhof oder im Hotel ist bequem. Gleichzeitig sind öffentliche Hotspots ein beliebtes Einfallstor für Cyberangriffe. Dieser Beitrag erklärt, welche Risiken tatsächlich bestehen, wie Sie sich schützen und welche Regeln Unternehmen für ihre Mitarbeitenden aufstellen sollten.

ⓘ Das Wichtigste in Kürze

Öffentliche WLANs sind in der Regel unverschlüsselt. Angreifer können den Datenverkehr mitlesen, gefälschte Hotspots aufsetzen und Zugangsdaten abfangen. Die wichtigsten Schutzmaßnahmen: VPN nutzen, nur HTTPS-Seiten aufrufen, automatische Verbindungen deaktivieren, keine sensiblen Transaktionen durchführen und nach der Nutzung das Netzwerk vergessen.

Warum öffentliches WLAN riskant ist

Das BSI stellt in seinen Sicherheitsempfehlungen klar: Bei nahezu allen öffentlichen Hotspots erfolgt keine Verschlüsselung auf der Luftschnittstelle, um den Nutzern einen möglichst einfachen Zugang zu ermöglichen. Die Verantwortung für die Sicherheit der Datenübertragung liegt damit vollständig beim Nutzer selbst.

Für Angreifer bedeutet das: Der Datenverkehr aller verbundenen Geräte kann mit frei verfügbaren Tools mitgelesen werden, sofern er nicht zusätzlich verschlüsselt ist. Laut einer Erhebung von Forbes Advisor aus dem Jahr 2023 gaben 40 Prozent der Befragten an, dass ihre Daten schon einmal bei der Nutzung öffentlicher WLANs kompromittiert wurden.

Die häufigsten Angriffsszenarien im Überblick:

Angriffstyp So funktioniert es Typisches Ziel
Man-in-the-Middle Angreifer schaltet sich zwischen Gerät und Router, liest Datenverkehr mit oder verändert ihn Login-Daten, E-Mails, Banking-Sessions
Evil Twin Gefälschter Hotspot mit ähnlichem oder identischem Namen wie das echte Netzwerk Gesamter Datenverkehr des Opfers
Packet Sniffing Mitlesen unverschlüsselter Datenpakete mit Tools wie Wireshark Passwörter, Formulardaten, Cookies
DNS-Spoofing Manipulation der DNS-Auflösung, Umleitung auf gefälschte Websites Phishing, Malware-Verteilung
Session Hijacking Diebstahl aktiver Sitzungs-Cookies, Übernahme angemeldeter Sessions Social Media, E-Mail, Unternehmensportale

Laut JumpCloud waren Man-in-the-Middle-Angriffe im Jahr 2024 für 19 Prozent aller erfolgreichen Cyberattacken verantwortlich. Die Anzahl kompromittierter E-Mails durch MITM-Angriffe ist seit 2021 um 35 Prozent gestiegen

„Schalten Sie die WLAN-Funktion nur ein, wenn Sie diese benötigen. Auch beim Gebrauch im öffentlichen Raum gilt: Ein abgeschaltetes WLAN bietet keine Angriffsfläche."

— BSI, Sicherheitstipps für öffentliches WLAN

Die 10 goldenen Regeln für öffentliches WLAN

Die folgenden Regeln basieren auf den Empfehlungen des BSI und des IT-Grundschutz-Kompendiums (Baustein NET.2.2) und gelten für private wie geschäftliche Nutzung:

# Regel Warum das wichtig ist
1 VPN aktivieren Verschlüsselt den gesamten Datenverkehr, selbst in ungesicherten Netzen
2 Nur HTTPS-Seiten aufrufen Transportverschlüsselung schützt vor dem Mitlesen einzelner Verbindungen
3 Auto-Join deaktivieren Verhindert, dass sich das Gerät automatisch mit unbekannten Netzen verbindet
4 MFA für alle Konten aktivieren Selbst bei gestohlenen Zugangsdaten bleibt der Account geschützt
5 Dateifreigaben deaktivieren Verhindert, dass andere Nutzer im Netz auf Ihre Ordner zugreifen
6 Kein Online-Banking, keine sensiblen Transaktionen BSI-Empfehlung: Vertrauliche Daten nicht über fremde Netze übertragen
7 Netzwerk nach Nutzung vergessen Gerät verbindet sich nicht erneut automatisch mit potenziell unsicheren Netzen
8 Betriebssystem und Apps aktuell halten Bekannte Sicherheitslücken werden durch Updates geschlossen
9 Netzwerknamen beim Personal verifizieren Schützt vor Evil-Twin-Angriffen mit ähnlich klingenden SSIDs
10 Bluetooth und AirDrop deaktivieren Reduziert die Angriffsfläche, da weniger Schnittstellen offen sind

HTTPS vs. VPN: Was schützt wann?

Beide Technologien verschlüsseln Daten, aber auf unterschiedlichen Ebenen. Wer den Unterschied versteht, kann abschätzen, wann welcher Schutz ausreicht

Kriterium HTTPS VPN
Was wird verschlüsselt? Nur der Datenstrom zwischen Browser und Website Der gesamte Internetverkehr des Geräts
Schutz vor Mitlesen? Ja, für die jeweilige Verbindung Ja, für alle Verbindungen gleichzeitig
DNS-Anfragen sichtbar? Ja, ohne DoH/DoT sehen Dritte, welche Seiten aufgerufen werden Nein, DNS-Anfragen laufen durch den verschlüsselten Tunnel
Schutz vor Evil Twin? Begrenzt: Inhalte sind verschlüsselt, aber Metadaten nicht Umfassend: Selbst bei gefälschtem Hotspot bleiben Daten unlesbar
Einrichtung Automatisch bei jeder HTTPS-Website Erfordert VPN-Client oder Unternehmens-VPN

Für den privaten Gebrauch gilt: HTTPS ist die Mindestvoraussetzung. Wer regelmäßig öffentliche Netze nutzt, sollte zusätzlich einen VPN-Dienst einsetzen. Für Unternehmen ist ein zentral verwalteter Business-VPN Standard, um die Kommunikation zwischen Endgeräten und dem Firmennetzwerk abzusichern.

Erkennen und reagieren: Fake-Hotspots (Evil Twin)

Ein Evil Twin ist ein gefälschter WLAN-Zugangspunkt, der den Namen eines legitimen Netzwerks kopiert. Verbindet sich ein Gerät mit diesem Hotspot, läuft der gesamte Datenverkehr über den Angreifer.

So erkennen Sie einen Evil Twin: Wenn zwei Netzwerke mit identischem oder sehr ähnlichem Namen auftauchen (zum Beispiel „Hotel_Gast_WiFi“ und „Hotel_Gast_Free_WiFi“), ist Vorsicht geboten. Fragen Sie immer beim Personal nach dem exakten Netzwerknamen und dem Passwort. Ein Netzwerk ohne Passwortschutz neben einem passwortgeschützten Netzwerk gleichen Namens ist ein klassisches Warnsignal.

Was tun, wenn Sie sich bereits verbunden haben und Unregelmäßigkeiten bemerken? Trennen Sie sofort die Verbindung. Ändern Sie Passwörter, die Sie während der Sitzung eingegeben haben, über eine sichere Verbindung (zum Beispiel Mobilfunk). Prüfen Sie Ihre Konten auf ungewöhnliche Aktivitäten.

Icon Check

Praxistipp

In Unternehmen, in denen Mitarbeiterinnen und Mitarbeiter zwischen Büro, Homeoffice und Außendienst wechseln, entsteht eine Vielzahl von Zugriffspunkten auf das Unternehmensnetzwerk. Die UTM-Firewall stellt sicher, dass alle diese Verbindungen über gesicherte VPN-Kanäle laufen, zentral überwacht und mit einheitlichen Sicherheitsrichtlinien versehen sind.

Mobile Device Management (MDM) ermöglicht es, diese Richtlinien technisch durchzusetzen: VPN-Pflicht auf allen Endgeräten, Sperrung unsicherer Netzwerke, Remote-Wipe bei Geräteverlust.

Zero Trust geht noch einen Schritt weiter. Statt dem Netzwerk zu vertrauen, wird bei jedem Zugriff die Identität und der Kontext geprüft. Das bedeutet: Selbst wenn ein Mitarbeitender über ein kompromittiertes WLAN verbunden ist, erhält er ohne gültige Authentifizierung keinen Zugriff auf sensible Unternehmensressourcen. Wer seine IT-Sicherheitsarchitektur strategisch aufbauen möchte, sollte diese Bausteine in die IT-Strategie integrieren.

Unternehmens-Perspektive: Policies, MDM und Zero Trust unterwegs

Für Unternehmen geht das Thema öffentliches WLAN weit über individuelle Vorsichtsmaßnahmen hinaus. Wenn Mitarbeitende mit Firmengeräten am Flughafen, im Hotel oder auf Messen unterwegs sind, muss die IT-Sicherheit auch außerhalb des Büronetzwerks gewährleistet sein.

Eine klare WLAN-Nutzungsrichtlinie ist dabei die Grundlage. Das BSI-Grundschutz-Kompendium fordert in Baustein NET.2.2 explizit, dass Organisationen eine solche Richtlinie erstellen und regelmäßig überprüfen. Sie sollte unter anderem festlegen, ob und unter welchen Bedingungen externe Hotspots genutzt werden dürfen und dass der Zugriff auf Unternehmensressourcen ausschließlich über VPN erfolgt.

Szenarien: Café, Hotel, Bahn, Messe, Flugzeug

Nicht jedes öffentliche WLAN ist gleich riskant. Die folgende Tabelle zeigt die wichtigsten Unterschiede und gibt konkrete Handlungsempfehlungen:

Ort Risiko Do Don't Plan B
Café Hoch VPN nutzen, Netzwerkname beim Personal erfragen Banking, Login in Firmenportale ohne VPN Smartphone-Hotspot über Mobilfunk
Messe Hoch Firmeneigenes VPN verwenden, MFA aktiv Firmen-Mail über ungesichertes Messe-WLAN Mobiler LTE/5G-Router
Hotel Mittel Netzwerk mit Zimmernummer/Code verifizieren, VPN an Blind dem offenen Netzwerk ohne Passwort vertrauen eSIM oder lokale Prepaid-SIM
Bahn/ÖPNV Mittel VPN aktivieren, nur HTTPS-Seiten nutzen Vertrauliche Dokumente bearbeiten ohne Sichtschutzfolie Mobilfunknetz (oft stabiler)
Flugzeug Mittel VPN, nur notwendige Kommunikation Großflächig Firmendaten öffnen (Schulterblick!) Offline-Modus, Dokumente vorab synchronisieren

Schritt für Schritt: So richten Sie sich sicher ein

Für Privatpersonen

1

Installieren Sie einen vertrauenswürdigen VPN-Dienst auf allen Geräten, die Sie unterwegs nutzen.

2

Gehen Sie in die WLAN-Einstellungen und deaktivieren Sie die automatische Verbindung mit bekannten Netzwerken.

3

Aktivieren Sie Zwei-Faktor-Authentifizierung für alle wichtigen Konten (E-Mail, Banking, Cloud-Speicher).

4

Prüfen Sie vor jeder Verbindung den Netzwerknamen beim Betreiber.

5

Nach der Nutzung: Verbindung trennen und Netzwerk aus der gespeicherten Liste entfernen.

Für Unternehmen

1

Erstellen Sie eine WLAN-Nutzungsrichtlinie gemäß BSI-Grundschutz NET.2.2.

2

Rollen Sie ein MDM-System aus, das VPN-Pflicht und Netzwerkfilter auf allen Firmen-Endgeräten durchsetzt.

3

Implementieren Sie eine Zero-Trust-Architektur, die jeden Zugriff unabhängig vom Netzwerk authentifiziert.

4

Schulen Sie Mitarbeitende regelmäßig zu den Risiken öffentlicher WLANs im Rahmen Ihrer Security Awareness.

5

Stellen Sie mobilen Mitarbeitenden Alternativen zur Verfügung (zum Beispiel firmeneigene LTE/5G-Router oder eSIM-Kontingente).

Als IT-Dienstleister für den Mittelstand unterstützen wir Sie bei der Umsetzung dieser Maßnahmen. Von der Auswahl und Konfiguration der passenden Firewall- und VPN-Lösungen über die Einrichtung eines MDM-Systems bis hin zu Security-Awareness-Workshops für Ihre Mitarbeitenden. Sprechen Sie uns an.

Häufige Fragen (FAQ)

Ist öffentliches WLAN immer unsicher?

Nicht grundsätzlich, aber das Risiko ist deutlich höher als im eigenen Netzwerk. Passwortgeschützte Netze mit WPA3-Verschlüsselung sind sicherer als offene Hotspots. Dennoch empfiehlt das BSI, in jedem öffentlichen WLAN auf vertrauliche Übertragungen zu verzichten oder zumindest ein VPN zu nutzen.

Brauche ich immer ein VPN?

Für gelegentliches Surfen auf HTTPS-Seiten reicht die Transportverschlüsselung aus. Sobald Sie jedoch sensible Daten übertragen, auf Firmenressourcen zugreifen oder regelmäßig öffentliche Netze nutzen, ist ein VPN dringend zu empfehlen. Für Unternehmen ist es Pflicht.

Was tun bei Zertifikatswarnungen?

Niemals ignorieren. Eine Zertifikatswarnung kann darauf hinweisen, dass die Verbindung abgefangen wird (Man-in-the-Middle). Brechen Sie den Vorgang ab, trennen Sie die WLAN-Verbindung und versuchen Sie es über Mobilfunk erneut.

Ist ein persönlicher Smartphone-Hotspot sicherer?

Ja, deutlich. Ihr persönlicher Hotspot nutzt die Mobilfunkverbindung und ist durch ein WPA-Passwort geschützt. Nur Geräte, die das Passwort kennen, können sich verbinden. Er ist eine der sichersten Alternativen zu öffentlichem WLAN.

Was ist ein Evil Twin?

Ein Evil Twin ist ein gefälschter WLAN-Hotspot, der den Namen eines echten Netzwerks imitiert. Verbindet sich ein Gerät damit, läuft der gesamte Datenverkehr über den Angreifer. Verifizieren Sie den Netzwerknamen immer beim Betreiber (zum Beispiel an der Rezeption oder beim Personal).

Wie erkenne ich seriöse Hotel-Netze?

Fragen Sie an der Rezeption nach dem exakten Netzwerknamen und dem Passwort. Seriöse Hotels verwenden individuelle Zugangsdaten pro Zimmer oder Gast. Seien Sie misstrauisch bei offenen Netzwerken ohne Passwort, die den Hotelnamen tragen.

Welche mobilen Alternativen habe ich im Ausland?

eSIMs bieten die flexibelste Lösung: Sie können vor der Reise einen lokalen Datentarif aktivieren, ohne eine physische SIM-Karte kaufen zu müssen. Alternativ bieten viele Mobilfunkanbieter Tages- oder Wochenpakete für das Ausland an. Für Geschäftsreisende sind firmeneigene LTE/5G-Reiserouter die sicherste Option.

Zurück zur Newsübersicht

🔒
IT-Sicherheitstest
Kostenlos & schnell
🔒 Kostenlosen IT-Sicherheits-Check starten!