Wie ist es also nun um ein öffentliches WLAN bestellt? Ist es gefährlich, sich mit einem zu verbinden? Welche Sicherheitsmaßnahmen sollte man treffen, wenn man eines nutzt. Was sind die Unterschiede zum heimischen Netzwerk?
Sicherheit kaufen?
Das wichtigste ist zu verstehen was passiert, den Sicherheit ist kein Produkt, sondern ein Prozess. Klar, die Sicherheitsindustrie verkauft dieses natürlich so, installiert man eine Firewall und ein VPN ist alles sicher. Aber kann das so sein?
Aus der Deckung?
An und für sich kann man nicht von einem öffentlichen WLAN als Unterscheidung sprechen, sondern man müsste von einem öffentlichen Netzwerk sprechen. Denn selbst, wenn sie ein Kabel an einem Router in einem Café oder im Hotel einstecken ergeben sich die gleichen Gefahren.
Etwas Licht ins Dunkel bringen
Aber was bedeutet ein öffentliches Netz? Die wohl einfachste Definition ist, ein Netzwerk, das man nicht unter eigener Kontrolle hat. Das trifft auf ein öffentliches WLAN oder ein LAN mit Kabel und genauso auf das Internet zu. Warum aber dann Angst und Schrecken, sobald es sich um öffentliche WLANs handelt?
Der Zusammenhang liegt hier wohl in TCP/IP Version 4, die noch immer hauptsächlich eingesetzt wird, obwohl die verfügbaren Adressen zu wenige sind. Da jedes Gerät des Netzwerks eine eindeutige Adresse benötigt, werden bei TCP/IP v4 private Adressen vom Router verteilt.
Bei der Kommunikation mit anderen Geräten im Internet wandelt der Router dann die privaten Adressen in die meist einzig Öffentliche um und zurück. Das nennt sich NAT: Network Address Translation.
Falsche Sicherheit
Dieser Umstand führt dazu, dass die Mehrheit den Router als eine Art Firewall betrachten. Der Router kann durchaus eine Firewall beinhalten und kann oft auch konfiguriert werden, doch in der Regel ist das nicht der Fall. Somit ist NAT meist die einzige Ursache, warum die Geräte hinter dem Router nicht erreichbar, beziehungsweise direkt angreifbar sind. Dieser Umstand geht aber mit TCP/IP Version 6 verloren und die Version 6 soll schon seit Jahren den Vorgänger, Version 4, ablösen.
Zusätzlich sind sehr viele Router nicht auf dem aktuellen Stand und angreifbar, auch aus dem Internet. Somit kann der heimische Router ganz schnell zum heimischen Feind werden.
Die wirklichen Probleme
Die wirklichen Probleme liegen in nicht aktueller Betriebssysteme und Software. In offen angebotenen Diensten der Geräte, wie Dateifreigabe, Druckfreigabe und Ähnlichem. Und am häufigsten sind Probleme in ungerechtfertigtem Vertrauen. Beim öffentlichen WLAN wie auch im Internet gehen alle Daten über mehrere Geräte bis zum Ziel und jedes Gerät auf dem Weg kann Pakete manipulieren. Dessen muss man sich bewusst sein und dementsprechend seine Entscheidungen treffen.
Einfach ein Antivirus, eine Firewall und ein VPN installieren
Betrachten wir ein Antivirus, welche Verteidigung kann es bieten? Es kann durch Mustererkennung eine Gefahr einer Datei vor dem Speichern oder Ausführen verhindern. Es kann aber in der Regel keine Gefahren verhindern, die bis zu diesem Zeitpunkt nicht bekannt sind. Bei den wirklichen Problemen hilft es nicht.
Eine Firewall ist sinnvoll, kann aber wie das Antivirusprogramm selbst zur Angriffsfläche werden, wenn es auf dem gleichen System installiert ist. Eine Firewall sollte eine vorangestellte Verteidigungslinie ergeben, dazu müssen aber nicht benötigte Dienste, wie Dateifreigabe, zuerst deaktiviert werden.
Bei VPN müssen wir erst ein Mal auf falsche Ideen eingehen, die von den kommerziellen VPN-Anbietern leider geradezu als Fakt dargestellt werden. Einzig durch permanente Wiederholung wird ein Bewusstsein geschaffen, dass ein VPN die magische Waffe in öffentlichen Netzwerken darstellt.
Was ist ein VPN und was macht es?
Ein VPN, Virtual Private Network, zu Deutsch ein virtuelles privates Netzwerk, verbindet zwei private Netzwerke über ein öffentliches Netzwerk. Hat ein Unternehmen zum Beispiel zwei Niederlassungen und möchte die Datei- und Druckfreigabe für beide Standorte vom jeweils anderen zugänglich machen, werden die zwei privaten Netzsegmente über das Internet verbunden, ohne dass Geräte aus dem Internet Zugriff auf die Daten im Tunnel haben. Der Tunnel ist das VPN, eine private Verbindung zwischen zwei Enden.
Was macht noch mal ein privates Netzwerk privat? Genau, man hat die Kontrolle darüber. Bei einem kommerziellen VPN-Anbieter wir ein Tunnel zwischen dem eigenen Endgerät und dem Internet aufgebaut. Das heißt zwischen einem privaten Netzwerk, der eigenen Rechner, und dem öffentlichen Netzwerk, dem Internet.
Ist ein VPN nun gut oder nicht?
Ein VPN von einem kommerziellen Anbieter verlagert das Vertrauen (müssen) vom öffentlichen WLAN zum VPN-Anbieter. Ja, der Angreifer im offenen WLAN kann nun nicht mehr die versandten Daten einsehen, doch nun kann es der VPN-Anbieter. Welches ist wohl das lohnendere Ziel für einen Angreifer? Ein VPN-Anbieter mit Tausenden Kunden oder ein öffentliches WLAN mit ein paar Kunden?
Um es etwas zu relativieren, was ist für einen Angreifer einfacher? Das öffentliche WLAN, welches sehr wahrscheinlich einmal pro halben Jahr gewartet wird, oder ein VPN-Anbieter mit mehreren Administratoren? Möchten man weder das eine noch das andere Riskieren?
Dann verbindet man sich am besten mit einem eigenen Netzwerk per VPN. Bei VPNs gibt es sehr große Unterschiede, über die man zuvor informiert sein muss.
Was sollte man also letztendlich tun?
Zum Abschluss eine schnelle Checkliste für Sofortmaßnahmen in einem öffentlichen WLAN. Welche einen relativ sicherer als andere Netzteilnehmer werden lässt:
- Sofortige und permanente Aktualisierung vom Betriebssystem
- Permanente Aktualisierung der Anwendungen aus der originalen Quelle
- Abschalten aller Dienste, wie Datei- und Druckfreigabe, Remotedesktop etc.
- Aktivierung der Firewall des Betriebssystems
- Für jeden Dienst im Internet ein eigenes zufällig generiertes Kennwort durch einen Passwortmanager
- Nur verschlüsselte Verbindung, ohne Warnungen, verwenden
- Ein Browser verwenden der HTTPS Everywhere unterstützt und dieses Plugin verwenden
- Keine Zahlungsdaten über nicht verschlüsselte Verbindungen
- Keine Software aus unbekannten Quellen installieren
