Das Café-WLAN war jahrelang ein Sicherheits-Schreckgespenst: Hackern, die mitsniffen, Sessions, die geklaut werden. Die meisten dieser Bedrohungen sind durch flächendeckendes HTTPS und HSTS heute deutlich kleiner geworden — aber nicht ganz weg. Dieser Artikel ordnet, was wirklich noch passieren kann, was sich überschätzt anfühlt, und was die pragmatischen Schritte sind, wenn du außer Haus arbeitest oder surfst.

01 · Abschnitt

Was sich seit den 2010ern geändert hat

Die klassischen Schreckgespenster aus dem Café-WLAN waren:

  • Mitsniffen unverschlüsselter Verbindungen (HTTP-Cookies, Mail-Passwörter, Login-Daten).
  • Session-Hijacking über offene WLANs (Firesheep-Tool, 2010).
  • DNS-Hijacking über manipulierte Resolver.

Was davon ist heute noch realistisch? Vergleichsweise wenig — und der Grund ist die HTTPS-Welle der letzten zehn Jahre:

  • Über 95 % aller Web-Anfragen sind verschlüsselt. Browser zeigen mittlerweile Warnungen, wenn überhaupt etwas unverschlüsselt läuft.
  • HSTS-Preload-Listen verhindern Downgrade-Versuche bei den großen Diensten.
  • Mail-Protokolle (IMAP, SMTP) laufen heute fast immer über TLS.
  • App-Datenverkehr ist in der Regel TLS-verschlüsselt; Apple-/Android-Plattform-Anforderungen erzwingen das.

Das Café-WLAN von 2015 war ein Risiko-Schauplatz. Das Café-WLAN von 2026 ist überwiegend harmlos für TLS-geschützten Traffic — aber nicht für alles. Drei Restrisiken bleiben, plus zwei neuere.

02 · Abschnitt

Die fünf realen Restrisiken

RisikoWas passiertWer ist betroffen
Captive Portal SpoofingGefälschtes Login-Portal des Café-WLANs greift Daten abWer dort Anmelde-Daten oder Zahlungsmittel eingibt
Evil Twin / Fake APAngreifer setzt eigenen Access Point mit dem WLAN-Namen des Cafés aufGeräte, die sich automatisch verbinden
DNS-/HTTP-ManipulationManipulierter Router/Resolver verändert nicht-HTTPS-AnfragenAnwendungen ohne TLS oder mit lockerem Cert-Pinning
Local-Network-DiscoveryAngreifer scannt andere Geräte im selben WLAN, sucht offene Ports und SchwachstellenGeräte mit File-Sharing aktiv, schlecht gepflegte IoT
Pre-TLS-MetadatenDNS-Anfragen und TLS-Server-Name (SNI) sind weiterhin sichtbarWer Datenschutz vor Wifi-Betreiber will

Die ersten beiden sind die häufigsten Probleme — und auch die mit dem direktesten Schaden.

03 · Abschnitt

Captive Portal Spoofing

Viele Cafés, Hotels und Flughäfen verlangen, dass man sich vor dem Surfen mit einer Mail-Adresse, Zimmernummer oder einem AGB-Klick anmeldet — das Captive Portal. Genau diesen Schritt nutzen Phisher: ein gefälschtes Portal sieht aus wie das echte, fragt aber zusätzlich nach Mail-Adresse + Passwort oder Kreditkarten-Daten („für die Premium-WLAN-Stufe").

Reflexe:

  • Niemals Mail-Passwort an Captive Portal geben. Echte Café- und Hotel-Portale fragen höchstens nach Mail-Adresse (für Newsletter) — niemals nach Passwort.
  • Bei Hotel-WLAN-Premium-Stufen: Zahlungsdaten nur auf der echten Hotel-Buchungs-Seite eingeben, nicht im Captive Portal. Im Zweifel an der Rezeption fragen, wie das Bezahlsystem heißt.
  • Wenn das Portal seltsam wirkt — falsches Logo, schlechte Übersetzung, ungewöhnlicher Domain-Name in der URL —, einfach nicht weitermachen. Mobiles Datennetz statt WLAN nutzen.
04 · Abschnitt

Evil Twin: das vertraute, falsche WLAN

Ein Evil Twin ist ein Angreifer-Access-Point, der den Namen (SSID) eines bekannten WLANs verwendet — z. B. „Starbucks_WiFi", „Telekom_FON", „Deutsche_Bahn", „BoingoHotspot". Wenn dein Smartphone oder Laptop Auto-Connect für diese SSIDs aktiviert hat, verbindet es sich beim Vorbeigehen automatisch — und dein Traffic läuft über die Geräte des Angreifers.

Konsequenz: Captive Portal kann gefälscht werden, DNS kann manipuliert werden, alle deine HTTP-Anfragen (nicht TLS) lassen sich umleiten.

Schutzmaßnahmen:

  • Auto-Connect für öffentliche WLANs aus. Auf iOS: Einstellungen → WLAN → „Auto-Anmeldung" pro Netz aus. Auf Android: Einstellungen → WLAN → Netzwerk-Detail → „Automatisch verbinden" aus.
  • Gespeicherte SSIDs pflegen. Wenn du in einem bestimmten Hotel oder Café einmal das WLAN genutzt hast, kann es sein, dass dein Gerät die SSID für Jahre speichert. Beim Vorbeigehen verbindet es sich automatisch — auch mit Evil Twins, die dieselbe SSID broadcasten. Empfehlung: nach Aufenthalt das gespeicherte Netz vergessen.
  • WPA-Enterprise statt WPA-Personal bevorzugen. Hochschul- und Firmen-Netze nutzen oft eduroam oder ähnliche RADIUS-Mechanismen — mit Zertifikats-Prüfung. Evil Twins funktionieren da nicht.
  • Bei Bedarf: Mobiles Datennetz. Wenn das WLAN ungewöhnlich oder die Sicherheits-Anforderung hoch ist (Online-Banking, vertrauliche Mail), Hotspot vom Smartphone aktivieren statt fremdes WLAN.
05 · Abschnitt

Lokale Netzwerk-Scans: nicht das Gerät vergessen

Ein Aspekt, der oft übersehen wird: in einem fremden WLAN sind andere Geräte im selben Netz. Wenn dein Laptop File-Sharing, AirDrop, Bluetooth oder einen offenen SMB-Port hat, sehen die anderen Geräte das.

Mögliche Folgen:

  • Drucker- oder NAS-Discovery (Bonjour/Zeroconf-Anfragen) verraten Geräte-Name und OS-Version.
  • Offene SMB-Shares können von Mitsurfenden gemountet werden.
  • AirDrop im „Jeder"-Modus erlaubt fremden Apple-Geräten, Daten zu schicken — manche Phishing-Versuche laufen so.

Praktische Vorbereitung:

  • „Öffentliches Netzwerk" als Klassifikation auswählen, wenn dein OS fragt (Windows-Klassifikation: Öffentlich; macOS hat eine ähnliche Frage beim ersten Connect).
  • File-Sharing aus. macOS: System-Einstellungen → Allgemein → Freigaben — alles aus, was nicht aktiv genutzt wird. Windows: Netzwerk- und Freigabecenter → Erweiterte Freigabe-Einstellungen → Öffentliches Profil → Sharing aus.
  • AirDrop nur „Kontakte" statt „Jeder" (oder ganz aus). Bluetooth aus in öffentlichen Räumen.

Das sind alles eher Hygiene-Themen — kein Spezialschutz, sondern Default-Hardening, das auch zuhause sinnvoll ist.

06 · Abschnitt

Wann ein VPN wirklich hilft

VPN ist im Café-Kontext der häufigste empfohlene Schritt — und auch der meistverkaufte. Realistische Einordnung:

Wofür ein VPN im öffentlichen WLAN wirklich nützt:

  • DNS-Privatsphäre. Der WLAN-Betreiber sieht deine DNS-Anfragen nicht — sie laufen durchs VPN.
  • SNI-Privatsphäre. Der TLS-Server-Name (Welche Domain spreche ich mit TLS an?) ist in vielen TLS-Versionen unverschlüsselt. Mit VPN sieht der WLAN-Betreiber nur, dass du zu deinem VPN-Server sprichst.
  • Schutz gegen weniger fortgeschrittene Captive-Portal-Manipulation. Wenn das WLAN versucht, deinen Traffic zu modifizieren, scheitert es am VPN-Tunnel.
  • Vertrauens-Verlagerung. Du vertraust nicht mehr dem Café-WLAN, sondern dem VPN-Anbieter. Das ist ein Tausch, kein Wegfall — siehe vpn-grundlagen-und-mythen.

Wofür ein VPN im Café-WLAN NICHT mehr wirklich nötig ist:

  • Schutz vor HTTPS-Mitschnitt. TLS schützt deinen Web-Verkehr ohnehin.
  • Anonymität. Ein VPN macht dich nicht anonym — du bist in deinen Accounts angemeldet.

Empfehlung:

  • Für Mainstream-Nutzer:innen ist ein VPN im Café-WLAN heute eher Komfort als Pflicht — die HTTPS-Welle hat den Bedarf reduziert.
  • Wer regelmäßig in fremden Netzen arbeitet, DNS-Privatsphäre schätzt oder Geo-Inhalte umgehen will: bezahltes VPN bei seriösen Anbietern (Mullvad, IVPN, ProtonVPN) ist eine sinnvolle Investition.
  • Mobiles Datennetz statt WLAN ist oft die einfachere Lösung — dein Mobilfunk-Provider ist die einzige andere Entität, die dabei mitliest, und das ist eine etablierte Vertrauens-Beziehung.
07 · Abschnitt

Hotspot vom eigenen Smartphone: oft die beste Option

Die elegante Alternative zum fremden WLAN: persönlicher Hotspot vom eigenen Smartphone. iOS und Android haben das eingebaut, viele Tarife enthalten das ohne Aufpreis.

Vorteile:

  • Du kontrollierst den Access Point. Kein Evil Twin, kein gefälschtes Captive Portal, keine fremden Geräte im LAN.
  • Verschlüsselung zwischen Laptop und Smartphone ist WPA3 (auf aktuellen Geräten) — stärker als die meisten Hotel-WLANs.
  • Sichtbarkeit ist nur dein Mobilfunk-Provider — Vertrauen, das du ohnehin hast.

Nachteile:

  • Datenvolumen. Hotspot zieht Daten — bei begrenzten Tarifen ein Faktor.
  • Akku. Hotspot drainage ist nennenswert. Für längere Sessions: Smartphone laden.
  • Internationale Roaming-Tarife. Im Ausland kann der Hotspot teuer werden. Lokale eSIM oder Reise-Tarif erwägen.

Faustregel: Wenn ich nur kurz etwas brauche, lieber Hotspot als unbekanntes WLAN. Für längere Sessions oder Datenvolumen-anspruchsvolle Tätigkeiten (Video-Calls, Cloud-Backups) ist gepflegtes WLAN ggf. die bessere Option — dann mit VPN.

08 · Abschnitt

Besonderheiten

Auto-Connect ist die Hauptangriffsfläche

Viele Smartphones haben Auto-Connect für SSIDs aktiviert, mit denen sie einmal verbunden waren. Bedeutet: wenn du einmal "Starbucks_WiFi" in Berlin verbunden hast, verbindet sich dein iPhone in San Francisco automatisch — mit dem Evil Twin, der dort steht. Auto-Connect ausschalten oder gespeicherte SSIDs nach Reise löschen.

WPA3 statt WPA2 verbessert die Lage

WPA3 (seit 2018, breit ausgerollt seit 2021) führt eine bessere Initial-Handshake-Verschlüsselung ein (SAE statt PSK). Open-WPA3-Networks haben sogar Verschlüsselung ohne Passwort. Auf neuen Geräten Default — auf älteren Routern oft nicht verfügbar.

Encrypted Client Hello (ECH) versteckt den SNI

Eine TLS-Erweiterung, die seit 2024 in Chrome und Firefox produktiv ist: Encrypted Client Hello verschlüsselt auch den Server-Namen im TLS-Handshake. Damit sieht der WLAN-Betreiber nicht mehr, welche Domain du ansprichst — auch ohne VPN. Wird derzeit ausgerollt; nicht alle Server unterstützen es.

Captive Portals als Frühindikator

Wenn du in einem Hotel WLAN ein Captive Portal siehst, das dich nach Kreditkarten-Daten fragt — auch wenn dein Zimmer-Tarif "WLAN inklusive" ist —, ist das verdächtig. Vor dem Eingeben: an der Rezeption nachfragen, ob es ein offizielles Premium-WLAN gibt und wie es heißt.

VPN-Apps im App-Store kritisch betrachten

Kostenlose VPN-Apps (insbesondere im App-Store) sind oft Daten-Sammel-Vehikel. Studien (CSIRO 2017, ProPublica 2020) haben mehrfach Privacy-Mängel in "Top-VPN-Apps" aufgedeckt. Wer VPN ernst meint: bezahlter Anbieter mit Audit-Geschichte (Mullvad, ProtonVPN, IVPN).

Hotel-WLANs sind oft schlechter als ihr Ruf

Manche Hotel-WLANs setzen TLS-Inspections-Proxies ein (für "Filterung" und Werbeeinblendungen). In solchen Fällen kommen TLS-Warnungen, weil das Hotel-eigene Zertifikat genutzt wird — auf keinen Fall "Ausnahme hinzufügen". Lieber Hotspot vom Smartphone.

Flughafen-WLAN: Standortdaten-Sammlung

Viele Flughafen-WLAN-Anbieter (Boingo, iPass, Eduroam) kombinieren WLAN-Zugang mit umfangreicher Daten-Sammlung — IMEI, MAC-Adresse, Browsing-Aktivität, Standort. Wer die AGB nicht liest, gibt viel zu — der Preis für 30 Minuten kostenloses WLAN ist oft hoch.

Weiterführende Ressourcen

Externe Quellen

/ Weiter

Zurück zu Sicheres Surfen

Zur Übersicht