Möglicherweise werden sie irgendwann überflüssig, wenn das mobile Internet schnell genug ist. Aktuell wählen sich viele Menschen aber noch in das charmante Angebot kostenloser öffentlicher W-LAN-Hotspots ein, um das eigene Datenvolumen zu schonen. Bei vielen Anbietern liegen damit die eigenen Daten auf dem Präsentierteller - und das nicht nur für fähige Hacker.
Warum ist offenes W-LAN für Nutzer ein Risiko?
Kaum jemand kann das besser veranschaulichen als Dieter Kranzlmüller. Und der Professor am Institut für Informatik der Ludwig-Maximilians-Universität München tut das auch: in seinen Vorlesungen. "Ich zeige den Studenten mit einem Tool, wie leicht es ist, sich einzuklinken und alles zu sehen, was die Nutzer im Hotspot machen. Da gehen denen schon die Augen auf."
Das ganze nennt sich "Man in the middle"-Attacke. Dabei öffnet ein Betrüger beispielsweise einen Hotspot mit demselben Namen, wie dem des Cafés, in dem er sitzt. Im schlechtesten Fall, "und wenn der Hacker schnell genug ist", bekommt der Nutzer gar nicht mit, dass er sich ins falsche W-LAN eingewählt hat - und der "Mann in der Mitte" kann von Passwörtern über Mails bis zum Browserverlauf so ziemlich alles sehen und abgreifen, erklärt Kranzlmüller.
Doch meist ist das nicht einmal nötig, denn es gibt auch Programme, mit denen jeder, der gleichzeitig mit anderen im Hotspot surft, mitlesen kann, was die anderen tun. Denn die Datenpakete werden im offenen W-LAN unverschlüsselt gesendet. Auch Metadaten, also IP-Adresse oder die aufgerufenen Seiten samt Uhrzeit sind einsehbar.
Kranzlmüller empfiehlt deshalb Nutzern, ihren Geräten zu verbieten sich Hotspots zu merken. Dann sei zumindest ausgeschlossen, dass man sich nach einem Besuch eines Cafés in Stadt A bei einem Besuch eines Cafés derselben Kette in Stadt B automatisch in einen betrügerischen Namensvetter-Hotspot einwählt - und das vielleicht gar nicht mitbekommt.
Was dürfen die Hotspot-Anbieter in den AGB von mir verlangen?
Mit den Allgemeinen Geschäftbedingungen (AGB) kommt der Anbieter von Hotspots vor allem seiner Informationspflicht nach. Sie regeln die Bedingungen der Nutzung, ein Vertrag sind sie nicht, sagt der Bielefelder Anwalt für IT-Recht, Thomas Gerling. Grundsätzlich dürfen Anbieter hier nicht die Preisgabe bestimmter Daten verlangen, zum Beispiel Kontaktdaten oder die Adresse, um ihm Newsletter oder Werbung zu schicken.
Das regelt die neue Datenschutzgrundverordnung (DsGVo) im sogenannten Kopplungsverbot. Sprich: Die Einwilligung in die Nutzung des W-LAN darf nicht mit der Einwilligung in die Nutzung privater Daten gekoppelt werden.
Dennoch darf der Anbieter solche Daten speichern, die den Nutzer identifizierbar machen. Das liegt Gerling zufolge vor allem an Haftungsfragen. Zwar sind nach der Abschaffung der Störerhaftung nicht mehr die Anbieter der Hotspots für das verantwortlich, was Nutzer in ihrem Netzwerk treiben, erklärt der Fachanwalt für IT-Recht.
Allerdings müssen diese identifizierbar sein, um sie überhaupt haftbar zu machen. "Deshalb dürfen die Anbieter Daten wie den Zeitpunkt der Nutzung oder die MAC-Adresse, also die des Gerätes. Damit sie belegen können, von wem Verstöße ausgehen." Mit anderen Worten: Was wir tun und wer wir sind, ist im Hotspot-Netzwerk recht leicht nachvollziehbar - auch ohne fortgeschrittene IT-Kenntnisse.
Gerling geht davon aus, dass diese Daten bei den Anbietern lange vorgehalten werden, um potenzielle Verstöße auch nach langer Zeit zuordnen zu können. Damit steigt theoretisch auch die Gefahr, dass diese Daten unberechtigten Dritten in die Hände fallen.
Wie können Nutzer sich schützen?
Beiden Experten, Kranzlmüller wie Gerling, fällt dazu vor allem ein Stichwort ein: VPN. Durch die Umleitung des Datenstroms über ein anderes Netzwerk bekommen die Endgeräte eine neue Netzwerkadresse, die Kommunikation wird verschlüsselt. Potenzielle Angreifer "verstehen dann nichts mehr", sagt Gerling. Entsprechende VPN-Programme können sowohl für Laptops als auch Mobilgeräte heruntergeladen werden.
Generell, sagt Gerling, müssen Nutzer sich bewusst machen, dass ihre Daten abgefangen werden können, wenn sie sich in öffentlichen, also meist offenen Netzwerken bewegen. Und das mit relativ wenig Aufwand.
