Suchen

Der Hotspot – (k)ein heißes Pflaster Öffentliches WLAN gefahrlos betreiben und nutzen

Autor / Redakteur: Elmar Török / Dipl.-Ing. (FH) Andreas Donner

Die Störerhaftung ist Geschichte und der Weg für mehr WLAN-Hotspots frei. Für bandbreitenhungrige, mobile Anwender sind das gute Nachrichten, zumindest wenn sie Datenschutz und mögliche Cyber-Attacken im Auge behalten. Das gilt auch für Hotspot-Betreiber, die ihr Netz vor Angreifern abschotten wollen.

Firmen zum Thema

Mit dem richtigen Know-how und einem kleinen Tool lässt es sich auch über ungesicherte Hotspots sicher surfen.
Mit dem richtigen Know-how und einem kleinen Tool lässt es sich auch über ungesicherte Hotspots sicher surfen.
( © John Smith - Fotolia)

WLAN-Hotspots sind praktisch, wenn man unterwegs schnell und kostengünstig online gehen will. Eine Studie des Router-Herstellers Lancom ergab, dass Hotspots von 90 Prozent der Befragten genutzt werden, wenn sie am Standort verfügbar sind. Dass es in Deutschland verhältnismäßig wenige Hotspots gibt, liegt zum großen Teil an der Störerhaftung, die es in dieser Form nur in Deutschland gibt bzw. gab. Da sich die Rechtslage aber gerade geändert hat, könnte es bald zum Hotspot-Boom kommen.

[ganz aktuell hat Lancom in Zusammenarbeit mit der GfK am 03.06.2016 eine weitere Studie veröffentlicht, die zeigt, was die Deutschen von der Störerhaftung gehalten haben und wie private Haushalte nun mit deren Abschaffung umgehen werden.]

Unitymedia beispielsweise plant, Privatkunden über entsprechend konfigurierte Router zu Hotspot-Betreibern zu machen und so ein dichtes Netz aus 1,5 Millionen Hotspots – so genannten "WiFiSpots" – aufzubauen. Ob die Anwender das neue Angebot annehmen werden, ist noch eine offene Frage. Zu lange mussten sie andere Wege wie die Datentarife des Handys oder Tablets in Anspruch nehmen. Im Ausland hingegen sind WLAN-Hotspots selbstverständlicher Bestandteil der digitalen Infrastruktur. Dementsprechend gern werden die Angebote wahrgenommen, natürlich auch von Touristen und Geschäftsreisenden. Doch gerade wenn der Betreiber des Hotspots unbekannt ist, sind die Nutzer einigen Sicherheitsrisiken ausgesetzt. Die Bandbreite der Gefahren reicht vom Protokollieren der angesurften Webseites über die Infektion mit Adware bis hin zur kompletten Übernahme des eigenen Rechners durch Schadsoftware.

Vorsicht Mitleser!

Erste offensichtliche Schwachstelle sind die Funksignale zwischen Endgerät und dem Zugangsknoten des Hotspots. Wen der Anbieter keine Verschlüsselung für das WLAN nutzt, sind die übertragenen Daten im Prinzip für alle und jeden sichtbar. Häufig läuft die Kommunikation auch nach der erfolgreichen Anmeldung unverschlüsselt weiter. Dann kann jeder, der mit einem Notebook und der entsprechenden Software im Umkreis von einigen Dutzend Metern sitzt, alles mitlesen was zwischen Endgerät und der Welt an Daten ausgetauscht wird.

Ob und wie der Anbieter den Funkverkehr verschlüsselt, können Benutzer nicht beeinflussen. Doch selbst wenn die Datenpakete zwischen Endgerät und WLAN-Router verschlüsselt werden, hilft das nur gegen ungewollte Mitleser an den Nachbartischen. Direkt am Router und an allen Internet-Knotenpunkten dahinter wären ohnehin alle Informationen direkt abgreifbar. Und nicht immer wird selbst eine elementare Schutzvorkehrung wie Client-Isolation angeboten, die den Datenverkehr der einzelnen Hotspot-Nutzer voneinander abschirmt.

Sicherheit Marke VPN

Für Sicherheit müssen die Anwender also selbst sorgen. Der beste Weg ist die Verschlüsselung, entweder auf Anwendungsebene für die jeweilige Applikation oder transparent für alle Daten durch ein Virtual Private Network (VPN). Auf Anwendungsebene lässt sich beispielsweise der Browser durch Secure Socket Layer (SSL), meist erkennbar an einem kleinen Vorhängeschloss in der Adresszeile, absichern. Dazu wird die Webseite mit einem vorangestellten https://... anstelle von http:// aufgerufen, moderne Browser übernehmen das automatisch, für den Rest gibt es Plug-Ins wie HTTPS Everywhere. Die Erweiterung wird als freie Software von der Electronic Frontier Foundation (EFF) in Zusammenarbeit mit dem Tor Project entwickelt und ist für Mozilla Firefox, Google Chrome, sowie Opera verfügbar.

Anstatt jede Applikation einzeln zu sichern, lässt sich auch der komplette Datenverkehr durch ein Virtual Private Network (VPN) von Anfang bis Ende der Übertragung sichern. Größere Firmen installieren das VPN auf beruflich genutzten Endgeräten in der Regel als grundlegende Sicherheitsmaßnahme. In kleineren Firmen mit unter 200 Angestellten sind nach einer aktuellen Umfrage von F-Secure nur 41 Prozent der Endgeräte mit einem VPN ausgerüstet. Immerhin ist der Trend positiv, noch 2012, so fand eine Studie der Wi-Fi Alliance und Wakefield Research heraus, nutzten nur 18 Prozent der Hotspot-Anwender ein VPN.

Kein Hotspot ohne VPN

Auch Privatanwender können Ihre Privatsphäre mit einem VPN wahren. Dazu ist eine Software auf dem eigenen Handy, Tablet oder Notebook notwendig und eine Gegenstelle, die den Tunnel nur nach korrekter Anmeldung aufbaut. Zahlreiche Firmen wie OpenVPN oder Hotspot Shield bieten kostenlose oder sehr günstige VPN-Verbindungen an. Gesichert wird die Strecke vom Endgerät bis zum Server des Providers, danach treten die Datenpakete unverschlüsselt in das Internet aus. Doch dadurch können zumindest Dritte in der unmittelbaren Umgebung des Hotspots die Netzverbindung nicht abhören.

Generell lösen ein korrekt konfiguriertes und implementiertes VPN zusammen mit einer Personal Firewall auf dem PC den Großteil der Probleme für die IT-Sicherheit eines öffentlichen Hotspots. Sobald der Tunnel mit der Gegenstelle – in der Regel dem Firmennetz – etabliert ist, sind die darin übertragenen Daten sicher. Das setzt aber voraus, dass VPN-Client und Firewall so konfiguriert wurden, dass die Anwender keine Möglichkeit haben, den Tunnel zu umgehen. Nur dann wird der komplette Datenverkehr von Browser, E-Mail und firmenspezifischen Anwendungen durch die Schutzmaßnahmen des Unternehmens wie deren Firewall, IDS und Anti-Viren-Lösung geschleust.

Doch auch wenn kein Weg am VPN-Tunnel vorbei führt, ist der Verbindungsaufbau mit der Gegenstelle ein kritischer Moment. Um sich beim Hotspot anzumelden, muss der Datenverkehr im Klartext abgewickelt werden. Zu diesem Zeitpunkt wird die Sicherheit der Daten oder ein Schutz des Arbeitsgerätes vor Attacken nicht durch den WLAN-Betreiber abgedeckt und muss durch den Anwender selbst sichergestellt sein. Für den Admin heißt dass, entweder HTTP grundsätzlich freizugeben oder die beiden Protokolle in der Firewall so einzurichten, dass sie ungeschützt nur zur Anmeldung am Hotspot genutzt werden können.

Weiter mit Knackpunkt: Hotspot-Anmeldung

Der Secure Client von NCP sichert sogar den Moment der eigentlich ungesicherten Eingabe der Zugangsdaten an einem Hotspot ab.
Der Secure Client von NCP sichert sogar den Moment der eigentlich ungesicherten Eingabe der Zugangsdaten an einem Hotspot ab.
(Bild: NCP)

Knackpunkt: Hotspot-Anmeldung

Wenn HTTP durchgehend freigegeben ist, kann der Benutzer ungeschützt im Internet surfen. Die IT-Abteilung wird versuchen diesen Fall bei einem öffentlichen Netzzugang wie einem Hotspot so weit wie möglich einzuschränken. Doch die Anmeldung am Hotspot muss trotzdem möglich sein. Ein Weg dieses Dilemma zu lösen ist es, das Protokoll nur für eine kurze Zeit bei Bedarf freizugeben.

Der Nutzer startet dazu manuell die Suche nach dem Hotspot und die Personal Firewall wird für eine bestimmte Zeitspanne, etwa zwei Minuten, freigeschaltet. Das funktioniert, erlaubt dem Anwender aber, in diesen zwei Minuten jede beliebige Webseite aufzurufen. Und natürlich hindert ihn niemand daran, die Suche mehrfach auszulösen und immer wieder zwei Minuten lang ungeschützt im Web zu surfen.

Eine Lösung stellt moderne VPN-Software, wie der Secure Client von NCP, dar. Sie kombiniert verschiedene Techniken, um hohe Sicherheit und Flexibilität zu gewährleisten. Befindet sich ein Benutzer mit seinem Endgerät im Empfangsbereich eines öffentlichen WLAN, wählt er den Menüpunkt „Hotspot-Anmeldung“. Der NCP Secure Client sucht daraufhin automatisch den Hotspot und baut, bei einem anmeldungsfreien Dienst, den VPN-Tunnel automatisch zur Gegenstelle auf. Wird eine Benutzereingabe vom Hotspot-Anbieter gefordert, kann der Secure Client einen gehärteten und funktional eingeschränkten Browser starten. Er lässt sich nur für die Anmeldung an Hotspots nutzen und bringt maximale Sicherheit für diesen kritischen Vorgang. Über Dateirechte und HASH-Werte kann zusätzlich sichergestellt werden, dass nur dieser Mini-Browser ausschließlich dann gestartet wird, wenn eine Anmeldung am Hotspot ansteht.

Firewall dynamisch konfigurieren

Abhängig von der notwendigen Kommunikation werden die entsprechenden Firewall-Regeln dynamisch erzeugt. Ebenso kontrolliert wird die Anzahl der IP-Adressen, die der Browser über die Anmeldungswebseite kontaktiert. Nun kann der Anwender seine Zugangsdaten eingeben und nach erfolgreicher Anmeldung mit dem NCP Secure Client die VPN-Verbindung zu seiner Firmenzentrale aufbauen. Eine direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist während der Anmeldung ausgeschlossen. Besonders elegant lässt sich die Anmeldung über Wireless Internet Service Provider Roaming (WISPr) abwickeln. Mit diesem Protokoll ist kein Browser mehr notwendig, der VPN-Client streamt die notwendigen Daten mittels XML an den Hotspot-Server.

Firewalls benötigen unterschiedliche Regeln für das heimische LAN und für nicht-vertrauenswürdige Netze. Was im LAN erlaubt ist, ist vermutlich in einem fremden Netz verboten. Wer sich über ein fremdes Netz per VPN mit dem LAN verbindet, ist erst dann im sicheren Netz angekommen, wenn der Tunnel korrekt etabliert ist und nicht umgangen werden kann.

Für die Personal Firewall stellt das natürlich ein Problem dar, da sie nicht wissen kann, wie ein Netz zu behandeln ist. Die Entscheidung nur auf den IP-Adressbereich zu basieren funktioniert in vielen Fällen nicht. Gerade kleine und mittelgroße Firmen nutzen intern einen Standard-IP-Bereich wie 192.168.x.x und NAT für die Verbindung mit dem Internet. Verbindet ein Mitarbeiter von Firma A seinen Laptop mit dem Netz von Firma B, die zufällig den gleichen IP-Adressbereich nutzt, schaltet seine Firewall im schlimmsten Fall alle Ports und Protokolle frei.

Automatik für Freund oder Feind

Um hier automatisiert die richtige Wahl zu treffen, sollte die Firewall selbst in der Lage sein, das heimische Netz durch einen Friendly Net-Server (FNS) im LAN zu erkennen. Ist er erreichbar, kann die Firewall den reduzierten Regelsatz anwenden, fehlt er im internen Netz, gelten automatisch die restriktiveren Regeln. Komfortabel ist es auch, wenn der VPN-Client mit Firewalls am Hotspot umgehen kann, die keine IPsec-Verbindung zulassen. Mit der neuen Path-Finder-II-Technologie schaltet der NCP Secure Client automatisch von IPsec auf SSL um, falls spezielle Application Firewalls oder Proxies den Aufbau des klassischen IPsec-Tunnels blockieren. Für den Anwender erfolgt der Wechsel transparent, ein Icon zeigt den aktiven SSL-Modus an.

Trotz automatisierter Hotspot-Anmeldung und Friendly Net-Detection ist es sinnvoll, grundlegende Sicherheitsmaßnahmen zu beachten. Natürlich ist ein Hotspot der deutschen Telekom oder der Bahn vertrauenswürdiger als der Hotspot eines Restaurants oder ein gänzlich unidentifizierter Access-Point. Wenn mehrere verfügbar sind, sollte man immer den bekannteren Anbieter wählen.

Bye, bye, Störerhaftung

Von diesen verlässlichen Anbietern könnte es bald viel mehr geben. Die unsägliche Störerhaftung, die Betreiber offener WLAN-Hotspots für Rechtsverstöße der Nutzer verantwortlich machte, ist gefallen. Nachdem die konservative politische Fraktion lange auf der Störerhaftung bestanden hatte, kam nach einem Gutachten des EuGH-Generalanwalts im März Bewegung in die Situation. Das Gutachten ergab, dass zumindest Gewerbetreibende, die der Öffentlichkeit ein kostenloses WLAN zur Verfügung stellen, nicht für das verantwortlich sind, was die Nutzer damit tun.

In Deutschland wird noch nicht einmal zwischen gewerblichen und privaten Hotspots unterschieden, es war klar, dass ein folgendes Urteil des europäischen Gerichtshofs die deutsche Gesetzgebung als europarechtswidrig demaskieren würde. Nun einigte sich die große Koalition auf die lange umstrittene Reform des Telemediengesetzes (TMG), mit der Hotspot-Betreiber praktisch vollständig von der Störerhaftung befreit werden. Lief bisher jeder Hotspot-Anbieter Gefahr, straf- und zivilrechtlich belangt zu werden, wenn Nutzer illegale Aktivitäten über seinen Hotspot durchführten, herrscht jetzt bald Rechtssicherheit für die Anbieter. Die Folge dürfte eine Vielzahl von neuen privaten und gewerblichen Hotspots im öffentlichen Raum sein.

Noch ist das Gesetz nicht verabschiedet, aber die Regierungskoalition hat sich auf die lange umstrittene Reform des Telemediengesetzes (TMG) geeinigt. Auch private und nebengewerbliche Anbieter, wie ein Restaurant, sollen das so genannte Providerprivileg der gewerblichen Anbieter genießen. Sie müssen ihr WLAN nicht mehr mit einer Vorschaltseite oder mit einer Passwortsperre sichern. Das Gesetz könnte bereits im Herbst 2016 in Kraft treten. Dann gibt es endlich den passenden rechtlichen Rahmen für die bereits zuhauf verfügbaren technischen Lösungen.

Die Angebotspalette reicht vom Heim-Router über dedizierte Gateways auf Linux-Basis und Windows-10-PCs bis hin zu gewerblichen Hotspot-Lösungen. Egal welche Plattform zum Einsatz kommt, wichtig ist in jedem Fall, auf die Trennung von lokalem Netz und dem Netzsegment mit dem Hotspot-Traffic zu achten. Gerade bei Routern für den Hausgebrauch ist nicht immer klar, ob der Hotspot-Teil in einem VLAN separiert oder auf eine andere Art und Weise vom Rest des LANs getrennt ist.

(ID:44088042)