Die bösen Jungs beobachten Sie (über unsicheres WLAN)

Unsere Studie, die wir vor der Fußball-Weltmeisterschaft in Sao Paulo durchgeführt haben, zeigt, dass eines von vier Netzwerken gefährlich ist und Sie genau aufpassen müssen, wenn Sie sich mobil mit dem Internet verbinden.

Redes inalámbricas

Die Entwicklungen in der Welt der Smartphones und die immer zahlreicheren Apps für alle möglichen Zwecke, führten dazu, dass immer mehr vertrauliche Daten auf Smartphones und Tablets verarbeitet, geöffnet und gespeichert werden. Sei es ein Lebenslauf auf Xing und LinkedIn, ein privates Foto, das per WhatsApp, Viber oder eine andere App an den Partner geschickt wird oder ein einmaliges Passwort für das Online-Banking – immer mehr davon wird mit mobilen Geräten gesendet und empfangen. Leider verstehen viele Menschen nicht, wie oft und wie leicht diese Daten, die man nicht einmal nahestehenden Menschen anvertrauen würde, von Fremden abgehört werden können, die zehn Meter entfernt sitzen.

Die wichtigsten Teile dieses Unsicherheits-Puzzles sind ungeschützte WLAN-Netzwerke und fehlende Sicherheitsmaßnahmen in mobilen Apps. Das mobile Internet ist in manchen Fällen immer noch recht teuer, vor allem, wenn man ins Ausland reist. Deshalb nutzen viele einfach das WLAN auf Flughäfen, in Cafes und in Hotels, ohne viel über dessen Sicherheit nachzudenken. In Fallstudien, die von unseren Experten kurz vor der Fußball-WM in Sao Paulo durchgeführt wurden, wurde festgestellt, welche Verschlüsselung die Menschen für ihre drahtlosen Netzwerke nutzen und dass mindestens eines von vier WLAN-Netzwerken offen ist und keine Verschlüsselung nutzt.

Wenn Sie offenes WLAN verwenden, kann jeder Ihren Datenverkehr abhören und sehen, welche Daten Sie verschicken. Und selbst wenn Sie WEP nutzen, kann die Verschlüsselung in weniger als fünf Minuten geknackt werden. Im Grunde können also viele Netzwerke auf der ganzen Welt innerhalb von wenigen Sekunden abgehört werden.

Wifi Security

Unser wichtigster Tipp ist, sich nur mit Netzwerken zu verbinden, die WPA2 nutzen. In der Realität muss man sich allerdings auch immer wieder mit schlechter geschützten Netzwerken verbinden. Zudem können Sie kaum kontrollieren, was über eine offene Verbindung übetragen wird. Wenn Sie einen mobilen Browser verwenden, sollten Sie immer prüfen, ob das Vorhängeschloss sichtbar ist und in der Adresszeile das Kürzel HTTPS steht.

Viele mobile Apps übertragen Daten unverschlüsselt oder warnen nicht bei gefährlichen Verschlüsselungsproblemen

Ganz anders sieht es aus, wenn Sie mobile Apps verwenden. Denn dann wissen Sie einfach nicht, welches Protokoll die App verwendet. Sicherheits-Experten haben entdeckt, dass viele Apps immer noch das offene Protokoll für die interne Kommunikation mit ihren Servern nutzen – also HTTP statt HTTPS. Und wie Sie wissen, sind solche Verbindungen anfällig für Hacker-Angriffe, Passwortdiebstahl und das Ausspionieren der versendeten Inhalte. Wenn Sie zum Beispiel Instant Messaging nutzen, können Andere den Text Ihrer Konversationen sehen. Und das erfinde ich nicht – es ist ein echtes Problem in mobilen Apps.

Sogar Google, Facebook und Twitter hatten manche Probleme, da in Ihren Apps noch im Jahr 2011 kein SSL implementiert war. Bis Sommer 2012 hat auch WhatsApp, eine enorm beliebte mobile Instant-Messaging-App, alle Inhalt unverschlüsselt übertragen. Wenn jemand noch den Yahoo Messenger oder ICQ nutzt, habe ich schlechte Nachrichten: Diese verwenden nach wie vor das Plaintext-Protokoll, so dass alle Chats unverschlüsselt ablaufen und ganz einfach über offenes WLAN abgehört werden können. Man kann sich kaum vorstellen, wie viele Apps immer noch mit dem Plaintext-Protokoll arbeiten und dass sogar manche angesehenen Firmen immer noch keine Verschlüsselung nutzen.

Werden wir etwas technischer: Viele mobile Apps warnen den Anwender auch nicht, wenn Probleme mit SSL-Zertifikaten auftauchen, was es unmöglich macht, Man-in-the-Middle-Angriffe zu erkennen.

Natürlich wäre es einfach, einen Rat wie „verwenden Sie mobile Apps nicht für vertrauliche Dinge“ zu geben, doch diesem Rat kann man kaum folgen. Denn damit würden Sie sich selbst zurück ins 20. Jahrhundert katapultieren. Daher würde ich etwas weniger radikales empfehlen:

  • Nutzen Sie an öffentlichen Orten 3G/4G-Dienste statt WLAN, wenn Sie die Möglichkeit haben
  • Bevorzugen Sie immer verschlüsselte WLAN-Netze (WPA2)
  • Verwenden Sie VPN auf Ihren mobilen Geräten
Tipps