Cybercrime Centre: Europol warnt vor kostenlosen WLAN-Hotspots

Troels Oerting, Chef der Cybercrime-Einheit bei Europol, warnt in einem Gespräch mit der BBC eindringlich vor der Nutzung von öffentlichen WLAN-Hot-Spots. Es gebe eine Zunahme von Datendiebstählen. Gestohlen würden etwa Passwörtern, Identitäten oder sogar Geld. Oerting warnt etwa davor, in einem WLAN eines Kaffeehauses seine Bankgeschäfte zu erledigen. Kritische Daten sollten grundsätzlich nicht über solche Netzwerke geschickt werden. Stattdessen sollten die Anwender ihre Geschäfte lieber im heimischen Netzwerk durchführen.

Europol arbeitet mit mehreren Ländern zusammen, um gegen das organisierte Verbrechen zu kämpfen. Kriminelle suchen sich augenscheinlich offene WLAN-Systeme für Angriffe als Ziel aus. Sie nutzen dabei nicht neue Techniken, sondern locken ihre Opfer mit passenden SSIDs in ihre Netzwerke. Mit Man-in-the-Middle-Angriffen werden dem Opfer dann monetarisierbare Informationen entlockt.

Auch Politiker wurden bereits in aufgesetzte WLAN-Systeme gelockt

Im vergangenen November 2013 wurde bekannt, dass sich selbst EU-Politiker in offene WLAN-Systeme locken ließen. Das EU-Parlament schaltete als Konsequenz das offene WLAN ab.

Die Warnung von Oerting ist sehr allgemein gefasst und soll vor allem die Öffentlichkeit für die Gefahren sensibilisieren. Tatsächlich sind viele öffentliche WLAN-Systeme unzureichend abgesichert. Damit ist nicht einmal die Fälschung einer SSID nötig. Wir beobachten beispielsweise häufig in Hotels und Restaurants, dass das WLAN nicht passwortgeschützt ist. Es kommt also jeder in das Netzwerk, ob er nun Gast ist oder nicht. In zahlreichen Fällen ist dann nicht einmal die Option für Client Isolation aktiv. Damit verhindert der Access Point oder der WLAN-Controller, dass die Clients miteinander überhaupt kommunizieren. Diese Funktion beherrschen selbst viele Heim-Router mit Gastnetz.

Ob ein Netzwerk diese Kommunikation erlaubt, lässt sich leicht mit der Netzwerk-App Fing überprüfen, die wir in unseren Werkzeugkasten aufgenommen haben. Eine Beschwerde über die mangelnde Sicherheit, etwa beim Hotelpersonal, ist jedoch in der Regel sinnlos. Es fehlt den Angestellten die Netzwerkkenntnis, um das Problem überhaupt zu erkennen.

Auch der Anwender muss in solchen Netzwerken Sicherungsmaßnahmen ergreifen. Der Abruf von E-Mails ohne Verschlüsselung ist etwa eine besonders schlechte Idee. Und selbst wenn Verschlüsselung benutzt wird, muss der Anwender erst einmal dem Versprechen der Hersteller trauen. Das gilt auch für Kurznachrichten-Apps. Whatsapp enttäuschte hier etwa im vergangenen Jahr. Auch Whatsapp-Alternativen sollte nicht blind vertraut werden, vor allem da in vielen Fällen der Quellcode für eine unabhängige Überprüfung nicht vorliegt.