MobilVier Tipps für sicheres Wi-Fi unterwegs

Die meisten Nutzer denken bei „Wi-Fi-Hacking“ in erster Linie an Angreifer, die in ihre lokalen Drahtlos-Netzwerke eindringen. Diese Gefahr ist durchaus gegeben. Aber Wi-Fi kann auch dazu missbraucht werden, Benutzer durch ihre Geräte zu verfolgen, Passwörter mit Phishing-Angriffen zu gefährden und Informationen darüber preiszugeben, wo eine Person arbeitet oder wohin sie reist.

Um diese Risiken zu reduzieren, können wir Verhaltensweisen einschränken, die private Informationen durchsickern lassen und unsere Geräte anfälliger machen. Durch die folgenden Schritte kann man die Angriffsfläche deutlich reduzieren und sich dadurch sicherer fühlen, wenn man Wi-Fi unterwegs verwendet.

Die Liste der bekannten oder bevorzugten Netzwerke (Preferred Network List/ PNL), ist eine Liste von Wi-Fi-Netzwerknamen, denen Ihr Gerät automatisch vertraut. Sie besteht aus Netzwerken, mit denen Sie in der Vergangenheit verbunden waren. Wenn Ihr Gerät ein Netzwerk aus der Liste findet, wird es sich mit ihm verbinden.

Ihr Gerät kann aber nicht zwischen Netzwerken unterscheiden, die sowohl den gleichen Namen als auch über die gleiche Art von Sicherheit verfügen. Das bedeutet, dass sich Ihr Gerät nach einmaliger Verbindung mit einem Starbucks Wi-Fi-Netzwerk erinnert und sich automatisch mit jedem offenen Netzwerk mit dem gleichen Namen verbindet. Das klingt praktisch, ist aber gefährlich: Für einen Hacker ist die Erstellung von Rogue Access Points, die die Namen von gängigen offenen Wi-Fi Access Points nachahmen, der einfachste Weg, um nahe gelegene Geräte zu verfolgen und Man-in-the-Middle-Angriffe durchzuführen. Auch bei der (erstmaligen) Nutzung eines Netzwerkes, etwa in einem Zug, Hotel oder Café, sollten Sie darauf achten, dass es sich tatsächlich um ein legitimes Netz handelt. Gerade an solchen Orten finden sich verstärkt dubiose Hotspots mit ähnlich klingenden Namen. Deshalb sollten Sie im Zweifelsfall nachfragen, wie der korrekte Name lautet.

In aller Regel wird Sie Ihr Smartphone nicht warnen, wenn es sich automatisch mit einem offenen Netzwerk verbindet, dessen Name mit einem bereits genutzten Netzwerk übereinstimmt. Auf diese Weise können Hacker beispielsweise Phishing-Seiten laden, verfolgen, welche Websites Sie besuchen und welche Anwendungen Sie benutzen.

Um dies zu verhindern, sollten Sie die Liste der bekannten Netzwerke möglichst klein halten und nicht häufig genutzte entfernen. Unter Windows können Sie dies tun, indem Sie zu „Bekannte Netzwerke verwalten“ gehen und in allen Netzwerken, zu denen Sie keine automatische Verbindung herstellen möchten, auf „Vergessen“ klicken. Vor allem sollten Sie bei offenen Netzwerken vorsichtig sein (und diese nach Möglichkeit entfernen), denn das Risiko ist hier ungleich höher als bei passwortgesicherten Verbindungen.

Eine der grundlegenden Schwachstellen von WPA2 ist das Fehlen eines forward secrecy-Ansatzes. Im neuen WPA3-Standard wird dies behoben, wodurch aufgezeichneter Wi-Fi-Verkehr nicht ausspioniert werden kann, auch wenn der Angreifer später Kenntnis vom Wi-Fi-Passwort erlangt. Mit dem aktuellen WPA2-Standard ist dies leider nicht der Fall. Der Datenverkehr in einem lokalen Netzwerk kann somit von einem Angreifer ausspioniert werden. Dazu wird der Datenverkehr aufgezeichnet und später – nachdem das Passwort geknackt wurde – entschlüsselt.

Zwar hat bereits HTTPS das Internet für Wi-Fi-Nutzer sicherer und vertraulicher gemacht. Doch nur mit einer VPN-Verbindung wird das Ausspionieren jeglichen Datenverkehrs verhindert. VPNs verschlüsseln DNS-Anfragen und andere Informationen, die die Tür zu einem Phishing-Angriff öffnen können. So können Angreifer schwerer sehen, was ein Benutzer online tut, um ihn zum Beispiel auf eine bösartige Website weiterzuleiten.

Die Bereinigung der Liste der bevorzugten Verbindungen (Punkt 1) hat einen Nachteil: Sie müssen jedes Mal, wenn Sie sich verbinden wollen, das Passwort neu eingeben. Gerade bei Netzwerken, die man häufig nutzt, kann dies schnell lästig werden. Zudem müsste man diesen Eintrag jedes Mal erneut aus der Liste entfernen. Aber hier gibt es Abhilfe, die einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit bietet.

Achten Sie darauf, dass Sie bei der ersten Verbindung mit einem Netzwerk das Kontrollkästchen „automatische Verbindung deaktivieren“ anklicken. Auf diese Weise wird verhindert, dass Sie automatisch mit dem Netzwerk (oder eben einem, welches den gleichen Namen und Sicherheitseinstellungen nutzt) verbinden. Sie müssen zwar immer noch bei jedem Beitritt auf den Namen des Netzwerks klicken (und können dabei erkennen, ob es auch plausibel ist), müssen aber kein Passwort eingeben.

Ein normaler Wi-Fi-Zugangspunkt sendet Beacons mit allen Informationen, die für die Erkennung und Verbindung von Geräten in der Nähe erforderlich sind, wie zum Beispiel die Netzwerk-SSID und die unterstützte Verschlüsselung. Versteckte Netzwerke tun genau das nicht: Client-Geräte können sich nur anmelden, wenn sie in Reichweite sind und von dem Netzwerk wissen. Entsprechend sieht man diese Netzwerke – wie der Name ja schon andeutet – nie in der Liste der nahegelegenen Access Points. Theoretisch erschwert dies die Arbeit von Angreifern. Die Praxis sieht jedoch leider anders aus.

Durch das Verstecken des Netzwerkes wird die Verfolgung der zugreifenden Geräte sogar deutlich leichter. Da ein verstecktes Wi-Fi-Netzwerk nie sendet, bevor ein Gerät versucht, sich mit ihm zu verbinden, muss ein Wi-Fi-Gerät, das für die Verbindung mit einem versteckten Netzwerk konfiguriert ist, davon ausgehen, dass sich das Netzwerk jederzeit in der Nähe befinden könnte. In der Praxis bedeutet das, dass das Gerät ständig den Namen des versteckten Netzwerks ruft, so dass Angreifer das Gerät recht leicht verfolgen können, selbst wenn die MAC-Adresse zufällig vergeben wird oder andere Vorsichtsmaßnahmen zur Anonymisierung getroffen wurden. Dies macht es nicht nur einfacher, Ihr Gerät dazu zu bringen, sich mit einem Rouge-AP zu verbinden, sondern es ermöglicht auch jedem, Ihre Anwesenheit anhand der Funksignale zu verfolgen, die Ihr Smart Device ständig sendet.

Mit den vier Schritten reduzieren Sie das Risiko, dass Ihr Wi-Fi-Gerät automatisch einem bösartigen Netzwerk beitritt, zwischen Standorten verfolgt wird oder dass personenbezogene Daten verloren gehen. Diese Tipps sind zwar kein vollständiger Leitfaden zur Wi-Fi-Sicherheit, aber sie schützen Sie vor einigen der einfachsten und billigsten Angriffe, die Hacker durchführen.