Hotel-WLANs sind oft unsicher

Steganos weist auf gravierende Sicherheitsmängel in öffentlichen Hotel-WLANs hin. Die Experten konnten sich problemlos Zugang zu sensiblen und unverschlüsselten Daten von Hotel-Gästen verschaffen. Dazu bedurfte es lediglich eines Smartphones und einer speziellen Netzwerkanalyse-App. Für den Angriff nutzten sie eine „eklatante Sicherheitslücke“, die viele öffentliche WLANs aufweisen: Im Regelfall werden Daten, die zwischen dem Notebook und dem Router übers Netz ausgetauscht werden, unverschlüsselt übertragen.

Für den WLAN-Hack nahmen zwei Steganos-Experten mehrere bekannte Hotelketten in Berlin Mitte ins Visier. Einer der Mitarbeiter loggte sich mit seinem Notebook in das öffentliche WLAN des Hotels ein, der andere startete von seinem Smartphone aus die Netzwerkanalyse-App dSploit und konnte daraufhin sowohl das E-Mail-Passwort des Kollegen auslesen als auch ganze Facebook-Sitzungen live übernehmen. Er konnte dann über das öffentliche WLAN gefälschte Nachrichten auf Facebook posten, private E-Mails mitlesen, Instant-Messaging-Nachrichten abfangen und vieles mehr.

Der Gebrauch von öffentlichen WLANs ist nur dann sicher, wenn die aufgerufene Website eine HTTPS-Verbindung anbietet. Denn nur dann könnten die Daten TLS-verschlüsselt übertragen werden. Zwar verfügen manche WLAN-Router über eingebaute Schutzmechanismen gegen Tools wie dSploit, jedoch kann der Nutzer nur schwerlich herausfinden, ob in einem öffentlichen WLAN ein solcher Router zum Einsatz kommt.

Wer ein WLAN im Hotel oder an anderen öffentlichen Orten nutzt, sollte daher immer für die Verschlüsselung aller übertragenen Daten sorgen. Dafür gibt es viele Mittel. Der com!-Artikel Sicher in fremden Netzen beschreibt, wie Sie die Verbindung im Browser und E-Mail-Programm absichern. Im Artikel Mit dem Smartphone sicher ins eigene Netz lesen Sie, wie sich unterwegs eine verschlüsselte VPN-Verbindung über die Fritzbox zu Hause aufbauen lässt.

Von Steganos gibt es das neu entwickelte Online Shield 365, das das Mitschneiden der Daten im WLAN verhindert und für Anonymität sorgt. Es ist sowohl als kostenfreie Version (maximales Traffic-Volumen 500 MByte pro Monat) als auch als kommerzielle Version (1-Jahresversion, unbegrenztes Traffic-Volumen, 59,95 Euro) verfügbar. Bei dem Produkt handelt es sich nach Angaben des Unternehmens technisch um eine VPN-Lösung (Virtual Private Network). Wenn das Programm auf dem Rechner aktiviert ist, verschlüsselt und anonymisiert es in allen öffentlichen WLANs automatisch die Verbindung ins Internet. Beim Aufbau der Verbindung tauscht das Programm automatisch die echte IP-Adresse gegen eine zufällige aus. Somit ist die wahre Identität des Nutzers, die durch die IP-Adresse verraten wird, beim Surfen ebenfalls geschützt.