Ausgespäht im öffentlichen Netz

Ausgespäht im öffentlichen Netz

Öffentliche Netzwerke, die kostenlosen Internetzugang für Mobilgeräte versprechen, sind bequem, aber nicht automatisch vertrauenswürdig. Betrüger können damit leicht unter gefälschtem Namen Spähprogramme einsetzen. Um seine Daten zu schützen, muss der Nutzer daher Vorkehrungen treffen.

Auch unterwegs wollen viele Menschen im Internet surfen. Da die Gebühren für gute Mobil-Verbindungen hoch sind, freuen sich viele Nutzer über kostenlose Zugänge, die an öffentlichen Plätzen angeboten werden. Wer hier nicht aufpasst, riskiert, dass sich Unbefugte Zugang zu persönlichen Daten verschaffen.

Dass vor solchem Datendiebstahl sogar Menschen nicht gefeit sind, die in Sachen Mobilfunktechnik ganz weit vorne sein wollen, hat ein Experiment der Internetsicherheitsfirma Avast Software gezeigt. Beim Mobile World Congress in Barcelona, einer großen europäischen Messe für Mobilfunk, richtete das Unternehmen zu Späh-Zwecken eigene WLAN-Stationen, sogenannte Hotspots, ein. Die Sicherheitsforscher wollten herausfinden, wie sorgsam das Fachpublikum im Umgang mit dieser nicht sehr sicheren Variante des Internetzugangs ist.

Sie wurden überrascht: In nur vier Stunden erhielten sie Zugriff auf die Daten von mehr als 2000 mobilen Geräten. Mehr als acht Millionen Datenpakete liefen so über den Scanner der Firma. Unter anderem konnten deren Experten ablesen, welche Mail- und Social-Media-Dienste der Besitzer installiert hatte. Bei knapp zwei Dritteln der Geräte lag sogar die Identität des Nutzers offen zutage.

Der angewandte Trick war dabei ganz simpel: Avast verwendete für seine Netzwerke einfach die Namen bekannter Unternehmen und typische Bezeichnungsmuster: "Starbucks ", "Airport_Free_Wifi_AENA" und "MWC Free WiFi". Der Grund, warum sich damit so leicht Zugang zu so vielen Geräten herstellen ließ, liege an deren Einstellungen, wie Avast erklärt: Viele Smartphones verbänden sich automatisch mit öffentlichen Netzwerken. Wenn das Vertrauen der Nutzer in offiziell klingende Beschreibungen größer sei als die gebotene Vorsicht vor öffentlichen Netzwerken, hätten Datenspione leichtes Spiel, erklärt Sven Bugiel vom Saarbrücker Institut für IT-Sicherheit Cispa. "Ein Angreifer, der einen solchen betrügerischen Zugang aufsetzt, ist für alle Teilnehmer, die sich damit verbinden, automatisch der ‚Mittelsmann‘ zwischen Nutzer und Server und hat somit Möglichkeiten, den Datenverkehr mitzuschneiden oder sogar aktiv anzugreifen."

Damit ist nicht nur die aktuelle Kommunikation des Nutzers gefährdet, warnt Bugiel. "Jemand der wirklich Böses will, kann alle im Netzwerk eingeloggten Geräte angreifen. Gegebenenfalls hat er dann auch Zugriff auf die darauf gespeicherten Daten."

Um zu verhindern, dass ihre Daten ungewollt mitgelesen werden, müssen Nutzer aber nicht gänzlich auf die Möglichkeit des kostenfreien Surfens verzichten. Mit ein paar Vorsichtsmaßnahmen lassen sich die größten Sicherheitslücken schließen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Deaktivierung von Datei- und Verzeichnisfreigaben. So können beispielsweise Windows-Nutzer durch die Einstellung "Öffentliches Netzwerk" in der Firewall Dritte am Zugriff auf die Dateien der eigenen Ordner hindern.

Am meisten Sicherheit verspricht aber die Verschlüsselung . Sven Bugiel rät nachdrücklich zur Nutzung sogenannter SSL-geschützter Protokolle: Browserergänzungen wie "HTTPS Everywhere" verschlüsseln den Kontakt mit den angewählten Webseiten.

Noch mehr Schutz böten Virtuelle Private Netzwerke (VPN-Clients) auf dem Mobilgerät. Sie anonymisieren den Webzugang, indem sie Serveranfragen über ausländische IP-Adressen umleiten, und verschlüsseln zusätzlich den Datenverkehr. "Wer einen VPN-Client nutzt, muss diesem allerdings absolut vertrauen", gibt Bugiel zu bedenken. Denn über diesen laufe dann der gesamte Datenverkehr des Nutzers und könne auf dem VPN-Server in Klarform eingesehen werde. Darum gehören sensible Informationen wie beispielsweise Kontodaten nicht in eine virtuelle, sondern in eine tatsächlich private Umgebung.

bsi-fuer-buerger.de

torproject.org

eff.org