Hotspot Sicherheit – Schutz im WLAN

Egal ob man schnell im Starbucks oder bei Mc Donalds seine Mails checken will oder seinen Status auf Facebook über das Wlan am Flughafen oder im ICE updaten will – was viele nicht wissen ist, dass es ziemlich unsicher ist, persönliche Daten über fremde Wlans, gerade öffentliche Funknetzwerke, zu verschicken.

Denn generell werden die Datenpakete in einem Wlan an alle Rechner in Reichweite verschickt. Der eigene Rechner bzw. die eigene Netzwerkkarte sortiert dann die Datenpakete aus, die für den eigenen Rechner gedacht sind und verarbeitet sie. Die anderen Pakete werden einfach verworfen.

Das heisst aber auch, dass prinzipiell jeder im Wlan an die selbst verschickten oder empfangenden Daten kommen kann, wenn er will und die Kommunikation mit der Website oder dem Mailserver nicht verschlüsselt stattfindet.

Eine eindrucksvolle Demonstration der Sicherheisprobleme bietet z. B die kostenlose Android-App „Droidsheep“, die es ermöglicht fremde Facebook, Twitter oder Linkedin Accounts im gleichen Netzwerk zu „kapern“. droidsheep_splashDabei ist das Programm wirklich kinderleicht zu benutzen – probier es einfach selbst aus. Da es aufgrund deutscher Gesetze problematisch ist, die App fertig kompiliert und ausführbar anzubieten, sollte man einfach nach „Dropidsheep APK“ suchen und die App von dieser Quelle installieren. Aus dem Google Play Store ist sie verbannt worden.

Dabei klinkt sich das Programm auf dem eigenen Smartphone über ARP Spoofing (ARP steht für Adresss Resolution Protocol) ins Wlan ein und leitet die Daten, die eigentlich direkt ins Internet übertragen werden sollen, über die Droidsheep Software um und sucht im Datenverkehr nach sogenannten „Sessioncookies“, kleine Dateien in denen alle nötigen Daten stehen, um sich bei Facebook und Co. einzuloggen. Genauer schickt der Browser diese Sessioncookies bei jedem Seitenaufruf an den Webserver der Website, auf der man eingeloggt ist und bestätigt so, dass man eingeloggt ist und auf die Inhalte für den jeweiligen Benutzer zugreifen darf.

Kommt man nun über eine Software wie Droidsheep an einen Sessioncookie eines anderen Users, kann man sich als dieser User gegenüber der Website ausgeben und z. B. auf Facebook posten was man will, Freunde der Person anschreiben oder Fotos und Daten einsehen, die nicht für die Öffentlichkeit gedacht sind. wiresharkMehr Daten bekommt man mit Apps wie „Shark for Root„, welche den gesamten Netzwerkverkehr für eine spätere Analyse mitschneiden.

INN_logo_colorTechnisch fortgeschrittenere Angreifer benutzen statt einem Smartphone einen externen USB-Wlan Adapter mit deutlich erhöhter Signalstärke, etwa die Geräte von Alpha, die mit bis zu 10 x mehr Leistung senden als es der Wifi Standard erlaubt. So ist das eigene Wlan automatisch das stärkste Netzwerk in der Umgebung und die Geräte der anderen Nutzer verbinden sich automatisch. Also Software zum analysieren des Netzwerkverkehrs werden dann Lösungen wie Wireshark, NetworkMiner, inSSIDer und TCPDump verwendet.

NetworkMiner_logo_313x313Dass die Daten über ein fremdes Handy und nicht über den Router des öffentlichen Hotspots geleitet werden ist für den Nutzer selbst kaum feststellbar. Auch dass man sich nicht mit dem „echten“ Wifi Netzwerk verbindet, sondern mit einem, das nur den gleichen Namen trägt, merkt man kaum. Schließlich verbinden sich Smartphones und Lapotops automatisch mit Netzwerken, die einen Namen haben, den der Rechner bereits kennt.

tcpdump-logo-300x300Wenn man also sein eigenes Netzwerk „Telekom Hotspot“ nennt und ein Nutzer bereits früher mit einem Telekom-Hostspot mit dem gleichen Namen verbunden war, verbindet sich sein Handy automatisch mit dem eigenen Netwerk, ohne dass man etwas tun muss.

Wie schützt man sich im öffentlichen WLan?

Das oben genannte Problem zu umgehen ist eigentlich relativ leicht, eigentlich. Denn es reicht schon, die Webseiten nur über die https Version zu nutzen, die eigentlich alle großen Websites anbieten. Aber wie immer steckt der Teufel im Detail.

Zum einen muss man sich erstmal angewöhnen, ausschließlich und jedes mal beim Surfen https:// statt http:// einzugeben. Standardmäßig nehmen alle Browser eine http:// Verbindung, wenn Du also nur „www.facebook.com“ in deinen Browser eingibtst, landest Du auf der normalen, unverschlüsselten Version.

Wichtig ist außerdem, unter Windows beim verbinden mit einem öffentlichen / fremden Wlan die Einstellung „öffentliches Netzwerk“ zu wählen. Das schaltet sämtliche Freigabe und offene Ports z.B. von Netzwerkfreigaben oder gemeinsam genutzen Druckern und Co. ab – die Windows Firewall macht in dem Fall den Rechner „dicht“, so dass Angreifer es deutlich schwieriger haben, auf deinen Computer im Wlan zuzugreifen.

Allerdings geht bei dieser Einstellung der Versand von E-Mails häufig nicht, wenn die Verbindung zum Mailserver nicht verschlüsselt ist, weigert sich Windows, die Nutzerdaten beim Versand und Empfang an den POP3/IMAP und SMTP-Server zu übertragen. Abhilfe schafft hier eine Verschlüsselte Verbindung zum Mailserver, was man bei quasi allen Mailprogrammen einstellen kann – oder eine VPN Verbindung zu einem vertrauenswürdigen Rechner.

So machst Du es Dir einfacher:

Das kannst Du dir damit erleichtern, dass Du einfach Bookmarks in deinem Browser anlegst und z. b. in der „Lesezeichen Symbolleiste“ speicherst. So werden sie immer unter der Adresszeile angezeigt und sind einfach mit einem Klick erreichbar. Bei Browsern auf Smartphones und Tablets musst du meistens ins Menü, um an die Lesezeichen zu kommen. Aber auch das geht deutlich schneller, als jedes mal den Domainnamen einzutippen, inklusive https://.

Allerdings musst Du dir angewöhnen, die Websiten in öffentlichen WLans ausschließlich über die Lesezeichen anzusurfen – dann bist Du auf der sicheren Seite. Anders sieht es aus, wenn Du Apps von Facebook, Dropbox, Linkedin oder anderen Seiten nutzt
Hier hast Du keine Kontrolle darüber, wie die Daten verschickt werden. Bei der Facebook App gehen zumindest deine Logindaten über eine verschlüsselte Verbindung – die Kommunikation selber, also die Nachrichten und Fotos die du verschickst oder liest, gehen unverschlüsselt durchs Netz.

Und was bringt dabei eine VPN Verbindung?

An der Stelle kommt dann wieder eine VPN Verbindung ins Spiel. Wenn du in einem öffentlichen WLan eine VPN Verbindung zu einem eigenen Server oder dem Server eines VPN Anbieters aufbaust und alle Daten statt direkt ins Internet über diese VPN Verbindung geleitet werden, hat ein Angreifer im WLan schlechte Karten. An die Daten, die über die verschlüsselte VPN Verbindung geleitet werden, kommt er nicht ran.

VPN + Fritz!Box – so gehts auch kostenlos:

Dabei muss es nicht einmal eine kostenpflichtige VPN Verbindung sein. Auch die Fritz!Box des Herstellers AVM, die z. B von 1und1 zu jedem DSL Anschluss geliefert werden, bieten eine Möglichkeit an, zu ihnen eine VPN Verbindung aufzubauen. Das ganze ist relativ einfach, du brauchst nur einen DynDNS Dienst, der die dynamische IP Adresse, die deiner Fritzbox bei jeder Einwahl ins Internet zugewiesen wird, in eine gleichbleibende URL umwandelt, damit die Fritzbox für Dich immer unter der selben Adresse zu erreichen ist.

Diesen DynDNS Dienst richtest Du auf deiner Fritzbox ein und danach den VPN Zugang. Von AVM gibt es dazu eine detaillierte Dokumentation und die Schritte sind relativ einfach:

  1. Fritzbox Fernzugang einrichten – Software herunterladen
  2. Einwahlprofil erstellen
  3. Einwahlprofil auf der Fritzbox importieren
  4. Einstellungsdaten im Mobiltelefon oder Tablet eingeben

Wenn du mit dem Laptop auf die VPN Zugreifen willst, stellt AVM dafür extra die Software „Fritz! Fernzugang“ bereit, in die Du das Profil aus der Fritz! Fernzugang einrichten – Software erstellt hast. Mit zwei Mausklicks bist Du dann mit deiner Fritzbox zuhause verbunden und alle Daten werden durch das öffentliche Funknetzwerk zunächst zu deiner Fritzbox nach Hause oder ins Büro geschickt und erst von dort aus ins Internet.

Keine Fritz!Box? Es gibt auch kostenlose, werbefinanzierte Anbieter:

Es gibt auch andere Dienste, die sich ausschließlich auf die Sicherheit im Hotspot konzentrieren, z. B. der Anbieter HotspotShield bietet eine kostenlose, Werbefinanzierte Version seiner Software für alle großen Mobilplattformen an. Wenn man nicht von Werbung genervt werden will, muss man ca. 1 Euro im Monat für die Werbefreie Version investieren.

Die Auswahl der Funktionen ist dabei recht beschränkt, es lassen sich keine speziellen Server in bestimtmen Ländern konfigurieren, um z. B. eine Geoip-Sperre zu umgehen. Aber um ab und zu unterwegs seine Mails oder den Facebookstatus zu checken, reichen sowohl die kostenpflichtige als auch die werbefinanzierte Variante allemal.

Trotz dem ist Vorsicht im öffentlichen Hotspot geboten!

Natürlich musst Du darauf achten, dass Du in öffentlichen WLans immer die VPN Verbindung öffnest, bevor Du auf Webseiten surfst. Und auch während Du surfst solltest Du immer wieder mal ein Auge auf die Statusleiste deines Handys oder Computers werfen, ob die VPN Verbindung noch aktiv ist. Es kann sein, dass die Verbindung abbricht, wenn z. B. das WLan kurze Zeit nicht erreichbar ist, obwohl Du davon kaum etwas mitbekommst.

In dem Fall wird die VPN Verbindung dann unterbrochen und sobald sich dein Rechner wieder mit dem WLan verbunden hat, werden die Daten über das öffentlche Funknetz und nicht mehr über die VPN Verbindung geleitet.

 

Mehr Infos zum Thema Sicherheit im Hotspot findest Du z.B. in der renomierten Zeitschrift c´t im Artikel „Die Hotspot Falle“. Wenn du eine Liste von Hotspots suchst, wirst Du in diesem Verzeichnis fündig – auf Hotspot.de findest Du alle Telekom Hotspots.

Rezension schreiben