Datenschutz So nutzen Sie öffentliches W-Lan sicher

Flughafen, Café, Bus: Kostenlose, offene W-Lan-Hotspots sind für viele Menschen unterwegs Oasen zum Arbeiten im Netz. Doch wenn persönliche Zugangsdaten oder E-Mails ins Spiel kommen, sollte man sehr vorsichtig sein. Das Fachmagazin "c't Security" gibt Tipps fürs Surfen unterwegs.

c`t /tsamedien.de

Von Ronald Eikenberg und Jürgen Schmidt


Es gibt einen Weg, den Gefahren drahtloser Kommunikation aus dem Weg zu gehen: Man nutzt W-Lan nur da, wo man sich sicher sein kann, dass nicht nur der Betreiber des Access Point, sondern auch die anderen Nutzer vertrauenswürdig sind.

Also beispielsweise nur zu Hause und am Arbeitsplatz. Unterwegs beschränkt man sich - so weh es im Geldbeutel und oft auch bei der Geschwindigkeit tut - auf Mobilfunkverbindungen via UMTS respektive GPRS.

1. Unverschlüsselte Netze blockieren

iOS: Unbedingt alle unsicheren W-Lan-Netze löschen
c`t

iOS: Unbedingt alle unsicheren W-Lan-Netze löschen

Dieses Verhalten ist den mobilen Geräten gar nicht so einfach beizubringen. Denn sowohl Notebook als auch Smartphone verbinden sich automatisch mit allen Netzen, die sie bereits zu kennen glauben, weil man bereits früher ein gleichnamiges Netz benutzt hat. Also heißt es als Erstes, diese Liste auszumisten und insbesondere alle unverschlüsselten Netze rauszuwerfen, die man in der Vergangenheit genutzt hat.

  • Das kann man unter Windows in der Systemsteuerung unter "Drahtlos-Netzwerke verwalten".
  • Bei Android findet man die Liste unter Einstellungen, Drahtlos & Netzwerke, W-Lan-Einstellungen. Dort kann man auch gleich den verführerischen "Netzwerkhinweis" abschalten.
  • Bei iOS gibt es leider keine derartige Übersicht. Man kann dort immer nur die Netzwerke "ignorieren", die gerade in Reichweite sind. Um wieder auf eine solide Basis zu kommen, hilft nur ein radikaler Schnitt: der Menüeintrag Einstellungen > Allgemein > Zurücksetzen > Netzwerkeinstellungen löscht die Liste der bekannten Netze komplett. Anschließend schaltet man die Option "Auf Netze hinweisen" ab, um nicht wieder in Versuchung zu geraten. Danach verbindet man sich einmalig neu mit den gewünschten W-Lans und hat erst mal Ruhe.

2. Wenn überhaupt, nur verschlüsselte Hotspots

Wer dann doch mal zwischendurch das UMTS-Kontingent entlasten und ein drahtloses Netz nutzen möchte, sollte dabei den verschlüsselten den Vorzug geben. Denn wer da mitlauschen will, muss erst mal das Passwort kennen. Und es genügt auch nicht, dass ein Angreifer ein Netz mit dem Namen "XYZ Konferenz" aufsetzt, damit sich die Geräte in Reichweite automatisch damit verbinden. Auch dazu muss er das Passwort kennen, das sein Opfer dort verwendet.

Wenn man einen unverschlüsselten, öffentlichen Hotspot benutzt, empfiehlt es sich, eventuelle Login-Seiten genau zu überprüfen. Ist die Seite unverschlüsselt, kann der Typ am Tisch gegenüber nicht nur die Übertragung der Zugangsdaten belauschen. Die Seite könnte sogar komplett von ihm stammen. Und selbst bei verschlüsselten Seiten muss man sehr genau hinschauen. Telekom-Hotspots leiten Web-Zugriffe auf https://hotspot.t-mobile.net um. Wer hingegen hinter einer URL wie beispielsweise https://hotspot-t-mobile.net (schauen Sie genau hin) steckt, kann man nur raten.

Nach der Benutzung eines öffentlichen W-Lans tut man gut daran, das Netz wieder aus der Liste der vertrauenswürdigen Netze zu entfernen.

3. E-Mails sichern

SSL/TLS-Verschlüsselung: So ist die Verbindung zum E-Mail-Server verschlüsselt
c`t

SSL/TLS-Verschlüsselung: So ist die Verbindung zum E-Mail-Server verschlüsselt

Darüber hinaus sollte man einige grundsätzliche Vorkehrungen treffen, um Datenklau und Missbrauch zu verhindern. Wichtigste Anlaufstelle ist dabei der Mail-Client. Hier kommen nicht nur viele persönliche Informationen an. Über das E-Mail-Konto kann man auch Zugang zu vielen anderen Diensten erlangen - etwa, indem man deren "Passwort vergessen"-Funktion benutzt.

Deshalb sollte man kontrollieren, dass in den Einstellungen des Mail-Programms unbedingt die verschlüsselte Kommunikation mit Postausgangs-(SMTP) und Eingangsserver (IMAP/POP3) aktiviert ist. Leider machen das längst nicht alle Programme so vorbildlich wie etwa Thunderbird, der die richtigen Server und Ports für die üblichen Mail-Hoster automatisch richtig wählt. Auf dem iPhone etwa kann es schnell passieren, dass man einen unverschlüsselten Zugang einrichtet, weil iOS die zugehörigen Optionen in den erweiterten Einstellungen versteckt.

Je nach Programm muss man in den Einstellungen etwas wie "sichere Verbindung", "SSL" oder "StartTLS" nachträglich selbst aktivieren. Ob die Verbindung verschlüsselt erfolgt oder nicht, sieht man meist auch am eingestellten Port:

  • Der Standard-Port für verschlüsseltes POP3 ist 995.
  • Verschlüsseltes IMAP läuft über Port 993.
  • Ausgehende Mails nehmen SMTP-Server meist über Port 465 verschlüsselt entgegen.
  • Ist die StartTLS-Option aktiv, kann die verschlüsselte Kommunikation auch über die Standardports 110 (POP3), 25 oder 587 (SMTP) und 143 (IMAP) erfolgen. Dabei muss man darauf achten, dass das nicht wie bei älteren Thunderbird-Versionen mit der Einschränkung "STARTTLS wenn möglich" versehen ist, weil ein Angreifer dann den verschlüsselten Verbindungsaufbau verhindern kann.

4. Auf https:// achten

Ziemlich riskant ist die Benutzung von Webmail-Konten in öffentlichen Funknetzen. Denn es genügt nicht, in den jeweiligen Einstellungen die Komplettverschlüsselung der Sitzung zu aktivieren, wie es bei Google-Mail bereits Standard ist. Man muss auch sicherstellen, dass man wirklich die verschlüsselte https-Seite ansteuert (mit https:// statt nur http:// am Anfang der URL). Sonst ist man anfällig für den SSL-Stripper.

Um zu vermeiden, dass man etwa durch die Auto-Vervollständigung beim Tippen versehentlich eine unverschlüsselte URL aufruft, setzt man am besten ein Bookmark auf die https-Login-Seite, das man dann konsequent verwendet.

Diese Tipps gelten im Übrigen auch für andere Web-Angebote, bei denen man einen personalisierten Zugang hat: Arbeiten Sie mit https-Bookmarks, statt sich etwa von der Startseite der Bank zum Online-Banking durchzuklicken oder sich darauf zu verlassen, dass Sie etwa beim Aufruf von http://paypal.com automatisch auf die verschlüsselte Seite weitergeleitet werden.

Nur wenn die komplette Sitzung von Anfang bis Ende verschlüsselt über HTTPS übertragen wird, kann man sicher sein, dass man auch danach noch der alleinige Eigentümer des Zugangskontos ist.

5. Vorsicht bei Zertifikatsfehlern

Fehlermeldungen zu Zertifikaten sollte man generell nicht auf die leichte Schulter nehmen. Besonders hoch ist das Risiko, dass sich dahinter ein Angriff verbirgt, natürlich in öffentlichen Funknetzen, wo im Prinzip jeder den Datenverkehr umleiten und manipulieren kann. Die Fehlermeldungen könnten also durchaus auf einen Man-in-the-Middle-Angriff zurückzuführen sein. Allerdings muss man auch sagen, dass derartige Attacken nicht mehr zum Standardrepertoire von Script-Kiddies mit Lausch-Apps gehören.

Verwenden Sie auch keinesfalls das gleiche Passwort für verschiedene Dienste. Gelingt es einem Angreifer etwa, einen schlecht gesicherten Forumszugang zu belauschen, müssen Sie damit rechnen, dass er dieses Passwort auch für Ihren Mail-Zugang ausprobiert.

6. Probleme mit Apps

Ein Thema für sich sind Smartphone-Apps. Als Anwender hat man in der Regel keine Möglichkeit, da etwas einzustellen. Man kann eigentlich nur hoffen, dass die Entwickler in puncto Sicherheit wirklich wissen, was sie tun. Dass Vertrauen da nicht unbedingt angebracht ist, zeigen unsere Tests immer wieder: Selbst die Online-Banking-App S-Banking war anfällig für Man-in-the-Middle-Angriffe auf die Verschlüsselung.

Deren Entwickler haben das Problem nach unserem Hinweis beseitigt. Wie viele Apps mit ähnlichen Problemen in den Stores schlummern, kann man nur vermuten, denn ein kompletter Test auch nur der wichtigen Apps ist angesichts der schieren Zahl längst nicht mehr möglich.

7. VPN-Tunnel aufbauen

Wer auf Nummer sicher gehen will, dass mögliche Lauscher in fremden W-Lans keine Klartextdaten mitschneiden, setzt ein Virtual Private Network (VPN) ein. Das schickt den gesamten Datenverkehr in verschlüsselter Form an einen vertrauenswürdigen Server. Der packt ihn dann aus und leitet die Pakete an das eigentliche Ziel weiter.

So bietet etwa die Telekom ihren Kunden einen kostenlosen VPN-Zugang (vorkonfigurierte Software für Windows und OSX) an. Dieser ist ausschließlich über die Telekom-Hotspots nutzbar. Auf iOS-Geräten wir er so eingerichtet: Unter Einstellungen > Allgemein > Netzwerk > VPN ein neues VPN einrichten. Die Daten:

  • Verbindungsart: IPSec (Cisco)
  • Server: wlan-vpn.t-mobile.de
  • Account: Ihr Hotspot-Nutzername
  • Kennwort: Ihr Hotspot-Passwort
  • Zertifikat verwenden: aus
  • Gruppenname: T-Mobile
  • Shared Secret: T-Mobile

Wer in anderen Netzen aktiv ist, kann sich mit dem kostenlosen Hotspots-VPN auf OpenVPN-Basis behelfen. OpenVPN-Clients gibt es für so gut wie alle Plattformen. Besonders leicht einzurichten ist das VPN-Angebot Hotspot Shield von AnchorFree. Das Unternehmen bietet eigene Konfigurations-Tools für Windows, Mac OS X, Android und iOS. Wer sich Werbeeinblendungen beim Surfen gefallen lässt, für den ist die Nutzung kostenlos. iOS-Nutzer sind von dem Gratisangebot allerdings ausgenommen, sie müssen monatlich 89 Cent zahlen. Andere kommerzielle VPN-Anbieter, die man über das PPTP-Protokoll mühelos mit dem Smartphone einrichten kann, verlangen für ihre Dienste in der Regel rund zehn Euro - Geld, das man besser in den Ausbau des Datentarifs beim Mobilfunkprovider investiert.

Wer einen gewissen Konfigurationsaufwand nicht scheut, richtet sich auf seinem heimischen Linux-Server etwa einen PPTP- oder OpenVPN-Server ein. Wer die Wahl hat, greift zu OpenVPN, weil PPTP spezielle Protokolle einsetzt, die nicht in allen Hotspot-Netzen funktionieren. Fritz!Box-Nutzer (ab Fritz!Box 2170) können ihren Router als VPN-Server einsetzen, der jederzeit etwa unter einer DynDNS-Adresse zu erreichen ist. Andere Router bieten teilweise ähnliche Funktionen.

Allerdings ist ein VPN im Alltagsbetrieb immer mit gewissen Komforteinbußen verbunden. Nicht nur, dass man es immer wieder von Hand starten muss. Durch die zusätzliche Umleitung geht alles immer ein bisschen langsamer und etwas hakeliger als bei einer direkten Verbindung. Außerdem birgt auch die allzu vertrauensselige VPN-Nutzung ihre Risiken: Es ist für Angreifer ein Kinderspiel, die VPN-Verbindung zu unterbrechen. Wer das nicht bemerkt oder ignoriert, weil er vielleicht nur ein Netzwerkproblem vermutet, sendet danach wieder unverschlüsselte Daten über den Hotspot.

8. Firewall einrichten

Gerade wenn man mit einem Gerät zwischen verschiedenen Netzen pendelt - also etwa das Notebook zu Hause und auch unterwegs nutzt, kommt einer Personal Firewall eine entscheidende Rolle zu. Denn während man im Heimnetz oder am Arbeitsplatz durchaus Dateien oder die private Bilder-, Musik- und Videosammlung teilen möchte, sollten doch bitte Fremde am anonymen Hotspot keinen Zugriff darauf haben.

Die Windows-Firewall beherrscht diese Unterscheidung seit Vista vorbildlich. Voraussetzung ist, dass der Anwender beim ersten Kontakt mit dem Netz erscheinenden Nachfrage auch tatsächlich "Öffentliches Netzwerk" auswählt. Dann nämlich macht die Windows-Firewall dicht und von außen sind keine Dienste zu erreichen.

Wer Heim- oder Arbeitsplatz-Netzwerk auswählt, riskiert, dass andere über Dateifreigaben oder Universal-Plug-and-Play-Dienste Zugriff auf private Daten erlangen. Dazu müssen sie gar nicht unbedingt aktiv danach suchen. Der UPnP-AV-Server des Windows Media Player etwa macht seine Anwesenheit kaum überhörbar im ganzen Netz bekannt und fordert neugierige Zeitgenossen geradezu heraus, doch mal nachzuschauen, was es da zu sehen oder zu hören gibt. In welchem Modus die Firewall gerade agiert, erfährt man unter Windows 7 im Netzwerk- und Freigabecenter.

Andere Betriebssysteme haben im Auslieferungszustand standardmäßig keine oder nur wenige, ungefährliche Ports geöffnet. Mac OSX öffnet seit Lion Ports, wenn man Dienste wie die Datei- oder Bildschirmfreigabe aktiviert. Diese sind dann unter Umständen in einem öffentlichen Netz von anderen Nutzern erreichbar. Bevor man ein fremdes Netz nutzt, sollte man seinen Account daher mit einem schwer knackbaren Passwort mit mindestens zehn Zeichen schützen oder den Zugriff auf lokale Dienste mit der Application Firewall unter Systemeinstellungen, Sicherheit, Application Firewall, weitere Optionen deaktivieren.

Smartphones und Tablets starten von sich aus keine Serverdienste, der Einsatz einer Personal Firewall ist hier nicht notwendig. Haben Sie mit Ihrem iOS einen Jailbreak durchgeführt und einen SSH-Server installiert, sollten Sie darauf achten, den Server vor dem Verbindungsaufbau mit dem Hotspot zu beenden.

9. Daten nur per Mobilfunk

Mobilfunkstandards wie UMTS und GPRS sind zwar nicht generell gegen Missbrauch gefeit. Für gezielte Angriffe auf Datenverbindungen in Mobilfunknetzen gibt es allerdings bislang bestenfalls Machbarkeitsstudien; eine reale Gefahr im Alltag geht davon derzeit kaum aus.

Angriffe in W-Lans sind jedoch mittlerweile so einfach, dass man durchaus damit rechnen muss, dass der sich langweilende Mitreisende "mal eben" seine Smartphone-App anwirft. Und die Schutzmaßnahmen gegen derartige Angriffe sind leider nach wie vor aufwendig und erfordern permanente Wachsamkeit.

Wer nur ein wenig surfen will, um sich die Zeit zu vertreiben, und sich nicht daran stört, wenn ihm dabei jemand über die Schulter schaut, der kann das getrost auch am öffentlichen Hotspot tun. Bei personalisierten Daten, deren Verlust schmerzen würde, sollte man sich schon zweimal überlegen, ob man das nicht vielleicht doch besser über die Mobilfunkverbindung erledigt.

Und mit wirklich wichtigen Daten wie dem Onlinebanking sollte man lieber nur in wirklich vertrauenswürdigen Umgebungen hantieren.


Dieser Artikel stammt aus der aktuellen c't Security 2013 .

Forum - Diskutieren Sie über diesen Artikel
insgesamt 13 Beiträge
Alle Kommentare öffnen
Seite 1
verhetzungsschutz 04.08.2013
1. Sicherheit enttäuscht, die Lüge macht das Geschäft
Zitat von sysopc`tFlughafen, Café, Bus: Kostenlose, offene W-Lan-Hotspots sind für viele Menschen unterwegs Oasen zum Arbeiten im Netz. Doch wenn persönliche Zugangsdaten oder E-Mails ins Spiel kommen, sollte man sehr vorsichtig sein. Das Fachmagazin c't Security gibt Tipps fürs Surfen unterwegs. http://www.spiegel.de/netzwelt/web/datenschutz-oeffentliches-w-lan-sicher-nutzen-a-913947.html
Wann hören sie auf, diese Art von Verdummungsartikeln, die irgendwie die einfache Machbarkeit von Sicherheit vortäuschen sollen, so nach dem Motto: wenn Sie nicht wollen, daß bei ihnen zuhause eingebrochen wird, dann drehen Sie am besten zweimal den Schlüssel um...? Kein Hinweis auf inzwischen als geknackt und damit prinzipiell unsicher geltende Verschlüsselungsarten, kein Hinweis auf die Problematik, daß ein VPN-Anbieter erst mal selbst glaubwürdig sein muß (keine NSA- oder BND-Tarnfirma!), kein Hinweis auf die völlige Sinnlosigkeit aller Verschlüsselungsmaßnahmen, wenn das Betriebssystem selbst - etwa durch unkontrollierbare Updates und/oder Hintertüren - bereits kompromittiert ist. Das Problem liegt auch hier am System selbst: so ein EDV-Fachartikel wird des Geldes wegen geschrieben und soll ja immer auch bis vorgestern fertig sein und die eine oder andere Seite für den Leser füllen. Und der Leser bringt immer auch die stille Erwartung mit, daß es in der Welt für alles eine Lösung geben "muß". Der erste Redakteur, der mit der unangenehmen Wahrheit herausplatzen würde, daß es hierbei eben KEINE Lösung gibt, außer vielleicht die Nichtnutzung des Internets, würde seine Leser nur vertreiben. Von der Wahrheit enttäuschte Kunden wandern lieber zu irgendeiner Konkurrenz, bei der sie sich wieder neue Lügen kaufen können. Auch auf diesem Prinzip basiert die gesamte, weltumspannende Arbeit der Geheimdienste, denn genau darum geht es: das System mit den Mitteln des Systems aufrecht zu erhalten. Egal um welchen Preis.
LasseStehnken 04.08.2013
2. Wenn man VPN nutzt
sollte man auch dem Anbieter vertrauen. Denn auf dem Server sind die Daten wieder unverschlüsselt. Inwiefern hier insbesondere im Ausland und um sonst zur verfügung gestellte Anbieter vertrauenswürdig sind ist doch zumindest fraglich.
TKL 04.08.2013
3. Total übertrieben
Was soll denn das jetzt wieder dass man nicht auf öffentliche WLANs zugreifen soll? Das ist auch nichts anderes als das "normale" Internet welches auch nicht verschlüsselt ist. Wenn der Nachbar im Zug meinen Spiegel.de Aufruf mitliest, dann wäre das ziemlich sinnlos. Email und passwort webseiten sind heute eh alle über SSL. Wer das nicht grundsätzlich eingestellt hat ist selber Schuld. Hat nix mit WLAN zu tun.
ledarva 04.08.2013
4. kostenloser VPN-Tool
seit kurzem gibt es auch ein kostenloses plugin für google chrome, das den gesamten internetverkehr veschlüsselt - damit ist man bestens gerüstet für ungesicherte wlans. das plug in heißt zenmate, die website dazu gibts hier: https://zenmate.io/
fort-perfect 04.08.2013
5. von wegen "verschlüsselt"
Zitat von ledarvaseit kurzem gibt es auch ein kostenloses plugin für google chrome, das den gesamten internetverkehr veschlüsselt - damit ist man bestens gerüstet für ungesicherte wlans. das plug in heißt zenmate, die website dazu gibts hier: https://zenmate.io/
mit Zenmate wird aber nur der Verkehr von Chrome verschlüsselt und anonymisiert, soweit man dem entsprechenden Dienst des ZenMate Anbieters vertraut. Bedauerlicherweise kann man bei Zenmate über die verwendete Technik nichts lesen.... Sind auf einer Webseite aber JAVA, Flash usw eingebunden, verkehren die immer ganz normal (ohne zenmate-Verschlüsselung) über das öffentliche Wlan. Weder verschlüsselt, noch ist der Absender verschleiert. Das taugt höchstens zum allgemeinen Surfen im Internet, nicht aber zum Verschleiern der Herkunft oder zum Verschlüsseln. Bitte auch nicht mit einer End2End-Verschlüsselung verwechseln: Nachrichten, die über den Chrome versendet werden, mögen nicht mehr im lokalen Netz abhörbar sein, spätestens nach dem Austritt aus dem VPN und der Reise über Server, wird wieder Klartext versendet. Überprüfen, ob eine Verschlüsselung / ein VPN tatsächlich funkrtioniert kann man auf nachfolgender Website: Whoer.net - find out IP address: Extended version (http://whoer.net/extended)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.