Öffentliche WLANS: Großartig, aber potentiell unsicher
Immer mehr Kommunen, Städte und Firmen führen WLANs ein, die jedermann zur Verfügung stehen. Tatsächlich hat die EU Fördergelder für öffentliche Hotspots in Aussicht gestellt. Länder wie Bayern haben eigene Initiativen gestartet, dort sollen bis 2020 insgesamt 20.000 eigene WiFi Hotspots eingerichtet sein.
Für Anwender ist das großartig und gleichzeitig problematisch. Öffentliche WLANs sind oftmals der Einfachheit halber ohne Verschlüsselung oder sonstige Sicherheitsfunktionen. Dadurch können neugierige Angreifer mit relativ geringem Aufwand den Datenverkehr mitschneiden und so an sensible Daten, etwa Nutzernamen und Kennwörter gelangen.
Besser ist es, wenn ein WPA2-Passwort genutzt wird, doch auch dann können versierte Angreifer im Zweifel mithören – zumindest, wenn sie das Kennwort besitzen und im gleichen WLAN sind. Es gibt vereinzelt Ansätze, die für jeden Nutzer ein eigenes Kennwort anbieten, etwa über eine RADIUS-Lösung. Diese sind jedoch selten, aufwändiger im Betrieb und setzen voraus, dass sich der Nutzer aktiv dafür entscheidet.
Die beste Lösung ist, sich selbst zu schützen und zwar durch Verwendung eines Virtual Private Networks. Dieses sogenannte VPN erstellt einen stark verschlüsselten Tunnel durch das öffentliche Internet, vom Gerät des Nutzers zum VPN-Server. Alle Informationen fließen durch diesen Tunnel, geschützt vor neugierigen Lauschern. Von dort gehen sie zum Zielserver ins Internet und kehren über den VPN-Server und den geschützten Tunnel zum Endanwender zurück.
VPN-Einsatz: Das ist zu beachten
Wenn sie so sicher sind, warum nutzt nicht jeder ständig VPNs? Gute Frage, denn es gibt einige Punkte, die man wissen muss:
- VPNs benötigen Bandbreite und Stabilität: Die Technik erzeugt einen Overhead, der durch die zusätzliche Kommunikation mit dem Server entsteht. Das kostet etwas von der Bandbreite des Nutzers. Sprich, eine langsame Verbindung wird durch ein VPN noch langsamer. Dazu kommt, dass der VPN-Tunnel sehr allergisch auf instabile Verbindungen reagiert und in so einem Fall immer wieder neu starten muss.
- VPNs benötigen Server und schnelle Anbindungen: Da der komplette Datenverkehr über einen VPN-Server läuft muss dieser stets ansprechbar sein (kein Server – kein VPN), zudem benötigt er selbst eine schnelle Verbindung ins Internet. Je langsamer der Server die Daten ins Web schleusen kann, desto langsamer ist das VPN.
- VPNs sind komplex: Ein VPN ist trotz allem noch immer eine komplexe Netzwerktechnologie. Geht etwas schief, kann die Internetverbindung ausfallen.
- Apps mögen VPNs nicht immer: Applikationen, die auf Ressourcen im lokalen Netzwerk zurückgreifen oder das Internet nutzen, um die eigene Position zu bestimmen, können durch ein VPN verwirrt werden.
- VPNs kosten Geld und/oder Ressourcen: Der zusätzliche Schutz durch eine VPN-Verbindung kostet immer mindestens Ressourcen, meist Geld. Bei einem kostenlosen VPN ist höchste Vorsicht angesagt – denn der Betreiber muss sich irgendwie selbst finanzieren.
Kommerzielles VPN: Hilfe bei der Auswahl
Die einfachste Lösung ist der Kauf beziehungsweise das Abo eines kommerziellen VPN Anbieters. Diese haben nicht nur die notwendige Infrastruktur für einen soliden, schnellen Dienst, sondern kümmern sich auch um den Schutz der Nutzerdaten. Allerdings kann es je nach Land sein, dass mehr oder weniger Informationen gespeichert werden (müssen).
Die Wahl eines solchen Anbieters ist Vertrauenssache und hängt stark davon ab, vor was man sich schützen möchte. Den Möchtegern-Hacker schließt man mit jedem der Anbieter aus, wer zudem gegen staatliche Schnüffler gesichert sein möchte, der muss schon etwas genauer auswählen. Eine sehr gute Übersicht bietet ThatOnePrivacySite oder das Blog Torrentfreak.
Wer eine Sicherheitssoftware verwendet, hat möglicherweise damit bereits ebenfalls einen VPN-Dienst. F-Secure etwa bündelt seine Freedome-Lösung mit seinem Anti-Viren-Programm, Kaspersky und andere Anbieter ziehen nach.
Eine interessante Alternative bietet der Browser Opera. Der Hersteller hat vor einigen Jahren einen VPN-Anbieter übernommen und kostenlos in den Browser integriert. Das ist vor allem dann gut, wenn man kurz und ohne Vorbereitung über ein öffentliches Netzwerk online geht. Die Dienstleistung kommt vom kanadischen Anbieter SurfEasy, der zumindest bislang (offiziell) keine Log-Dateien anlegt. Einblick in die Finanzierung des Browsers gibt Finanzbericht, der einmal im Quartal erscheint.
Wichtig ist dabei aber, dass nur der Datenverkehr im Browser gesichert ist. Andere Programme haben keinen Zugriff auf den VPN-Tunnel. Das ist bei einem systemweiten VPN anders: Wer die im Betriebssystem integrierten Funktionen nutzt, der schützt seinen kompletten Datenverkehr.
Eigenes VPN: Auf NAS, Fritz!Box oder in der Cloud
Wer etwas technisches Geschick und einen schnellen Internet-Anschluss mitbringt, kann mit geringem technischen Aufwand einen eigenen VPN-Server betreiben. NAS-Hersteller wie Synology oder QNAP bringen in fast allen Modellen die notwendige Software mit, um den Netzwerkspeicher in einen VPN-Server zu verwandeln. Wer über eine AVM Fritz!Box ins Internet geht, kann die integrierte VPN-Funktion aktivieren, die Hürden hier sind erfreulich niedrig. Andere Hersteller von Routern oder Home-Servern haben ähnliche Lösungen, hier hilft eine Suche im Web.
Wer technisch etwas begabter ist und mehr Leistung braucht, der kann sich seinen eigenes VPN bei einem der zahlreichen Cloud-Anbieter einrichten. Für den Betrieb auf diversen Plattformen wie Microsoft, Amazon, Google oder Digital Ocean gibt es im Web zahlreiche Anleitungen und interessante Konzepte wie beispielsweise Algo.
Fazit: Und was nutzt der Autor?
Ich selbst fahre eine Mischung aus unterschiedlichen VPN-Konzepten. Auf meinem Notebook und meinem Smartphone in fremden oder öffentlichen WLANs nutze ich Freedome von F-Secure als kommerzielle Lösung. Für kurze Zugriffe ins Web oder um meine Geo-IP bei Recherchen anzupassen, verwende ich schon mal den in Opera integrierten Dienst. Zusätzlich läuft auf meinem NAS ein VPN-Client, der aber vor allem für den Zugriff auf lokale Daten von unterwegs gedacht ist.
Der Einsatz eines VPNs ist etwas, das man aktiv wollen muss. Öffentliche WLANs sind verlockend und gerade auf Reisen essentiell. Die Gefahr, dass man unterwegs abgehört wird – sei es gezielt oder als Beifang – sinkt aber durch den Einsatz eines VPNs enorm. Zumindest mir geht es so, dass ich mich ohne VPN in einem fremden WLAN irgendwie „nackt“ fühle.
Moritz Jäger
Über den Gastautor:
Moritz Jäger ist Journalist aus München. Neben Themen rund um die IT-Sicherheit beschäftigt er sich mit dem Datenschutz, Netzwerken sowie aktuellen Lösungen rund um sichere Kommunikation.
Wir würden gerne VPN via Fritz!Box nutzen, nur „steht“ die hinter einen Speedport der Telekom in unseren Netzwerk. :-/
Auch bei mir ist der VPN-Server nachgeschaltet und befindet hinter dem Router meines Zugangs-Providers. Eine beim Speedport eingerichtete Port-Weiterleitung für die Fritzbox sollte eigentlich funktionieren.
Toller Artikel – vielen Dank dafür!