Gefangen in der Wifi-Falle

Wie sicher sind öffentliche Hotspots?

Die Verbreitung öffentlicher Hotspots und Wifi-Infrastrukturen nimmt hierzulande rapide zu. Doch Vorsicht: Nicht immer sind die Zugangspunkte ausreichend abgesichert und verschlüsselt, sodass deren Nutzung schnell mit bösen Überraschungen enden kann.

  • Immer mehr Nutzer wünschen sich öffentliches WLAN.

    Immer mehr Nutzer wünschen sich öffentliches WLAN. Dabei können die User-Daten jedoch auch gesammelt und entsprechend ausgewertet werden.

  • Kostenfreie Hotspots im ÖPNV

    Auch im öffentlichen Personennahverkehr findet man mitunter kostenfreie Hotspots.

Die Erleichterung bei Hotelbetreibern, Gastronomen, Veranstaltern und anderen Anbietern öffentlicher Wifi-Netze war groß, als vergangenen Juni endlich die in die Jahre gekommene „Störerhaftung“ ad acta gelegt wurde. „Die Änderung des Telemediengesetzes (TMG) wurde damals jedoch häufig so dargestellt, als ob bei offenen WLAN-Netzen nun niemand mehr in die Haftung genommen wird“, erinnert sich Maximilian Pohl, Gründer und Geschäftsführer der Mein Hotspot GmbH. Aber natürlich hat der Gesetzgeber mit der Abschaffung der Störerhaftung keinen rechtsfreien Raum geschaffen. „Vielmehr unterbindet die neue Regelung, dass Betreiber offener WLAN-Netze direkt bei der ersten Abmahnung wegen einer Urheberrechtsverletzung zahlen müssen. Diese seltsame Rechtspraxis gab es nämlich zuvor“, berichtet Pohl weiter.

Wer heute bei konkreten Fällen haftet, entscheiden die Gerichte. So wurde mit der neuen Rechtsprechung der bis dato florierenden Abmahnindustrie in Deutschland die Grundlage entzogen, ergänzt Jan Buis, Vice President bei der Lancom Systems GmbH. Aktuell sind Hotspot-Betreiber nicht mehr dazu verpflichtet, den Zugang nur nach einer Registrierung freizugeben. „Die Wahrscheinlichkeit, dass man als Anbieter abgemahnt wird, ist sehr gering, weil man gegen unrechtmäßige Abmahnungen jederzeit gerichtlich vorgehen kann. Der Abmahner bleibt dann auf seinen Kosten sitzen“, ergänzt Hans-Dieter Wahl, Business Line Manager für WLAN bei Bintec Elmeg.

Werden Straftaten über das WLAN begangen, bleibt der Betreiber des Anschlusses allerdings erster Ansprechpartner für die Strafverfolgungsbehörden, da es außer der IP-Adresse, die zum Anschlussinhaber führt, oft gar keinen anderen Ansatz gibt. „Eine vollständige Sicherheit für die Betreiber gibt es nicht. Von daher tun sie gut daran, das WLAN entsprechend zu schützen, um unnötigen Ärger zu vermeiden“, rät Pohl. Gleichzeitig verweist er auf die Angebote spezialisierter Dienstleister: Denn wird das WLAN über einen Hotspot-Anbieter betrieben, ist nur die IP-Adresse dieses Anbieters nach außen sichtbar und der Betreiber wird mit Ansprüchen Dritter nicht behelligt.

Anonym nur bis 
zum gewissen Grad

Neben dem Telemediengesetz sollten die Betreiber öffentlicher Hotspots auch an die ab Mai 2018 verbindlich gel
tende EU-Datenschutz-Grundverordnung (DSGVO) denken. Zwar wird die Nutzung von WLAN-Hotspots darin nicht explizit geregelt, allerdings geht es prinzipiell um den Schutz von natürlichen Personen und deren personenbezogener Daten. „Als personenbezogene Daten können sowohl IP- als auch MAC-Adressen (Hardware-Adresse eines Clients) angesehen werden. Da die Übermittlung der IP-Adresse jedoch technisch gesehen eine Grundvoraussetzung für das Zustandekommen einer WLAN-Verbindung ist, ist der Einwahlversuch in ein (öffentliches) WLAN als stillschweigende Einwilligung anzusehen. Dies wird normalerweise auch im entsprechenden Passus der Hotspot-AGB so erläutert“, erläutert Jan Buis.

Dies ist ein Artikel aus unserer Print-Ausgabe 3-4/2018. Bestellen Sie ein kostenfreies Probe-Abo.

In diesem Zusammenhang gibt Oliver Grachegg, Systems Engineer bei Ruckus Networks, zu bedenken, dass allein das Auslesen von IP- und MAC-Adressen noch „anonym“ erfolge, da die WLAN-Infrastrukturen zunächst allein die MAC-Adressen der Mobilgeräte erfassen. Dabei handle es sich nicht um personenbezogene Informationen, da man zwar das Gerät erkennt, aber keine Verknüpfung mit persönlichen Infos auf dem Device erfolgt. Die Verknüpfungen zur Person können erst über eine Anmeldung zum WLAN-Hotspot hergestellt werden, wo die Geräte-MAC-ID mit der Konto-ID des Nutzers verbunden werden kann. Sobald diese Verbindung steht, lassen sich Standortdaten sammeln. „Allerdings wird der Nutzer benachrichtigt, ob er zulassen möchte, dass Apps seine Standortdaten sammeln, und er kann jederzeit abstellen, dass die Daten erhoben oder geteilt werden“, führt Grachegg weiter aus.

Lukrative Location-based Services

Für viele Betreiber ist der Datenschatz, den sie mit Auswertungen zur Hotspot-Nutzung heben können, sehr lukrativ. Dabei erheben sie die Nutzerdaten laut Maximilian Pohl hauptsächlich für statistische und technische Zwecke. Auf ein konkretes Beispiel verweist Jan Buis: Professionelle Access Points (AP) können sogenannte Location-based Services und Location-Analytics-Daten liefern und insbesondere im Einzelhandel für intelligente Analysen sorgen. „Denn insbesondere in den Filialen geht es um höhere Effizienz und um Fragen, wie viele Kassen benötigt werden, ob Werbeflächen wirken, wie lange und oft Kunden den Laden betreten oder welche Wege sie laufen“, ergänzt Jan Buis. Dabei, betont er, könnten auch solche Big-Data-Auswertungen ohne jeglichen Personenbezug funktionieren – ähnlich wie Verkehrsinformationen, die von Sensoren in den Straßen und Mobilfunkbetreibern ausgewertet werden.

Über den Einzelhandel hinaus existiert derzeit ein Trend, WLAN-Daten auch an öffentlichen Plätzen wie Schulen, Krankenhäusern, öffentlichen Gebäuden oder bei Veranstaltungen auszuwerten. „Darüber lässt sich beispielsweise errechnen, wann und wie viele Personen ein Gebäude oder eine Veranstaltung besuchen und ob Zugangsbeschränkungen oder Wegeregelungen eingesetzt werden müssen. Ein anderes Beispiel sind aktuelle Wartezeitanzeigen an Skiliften“, erläutert Jan Buis.

Wie aufgezeigt, lässt sich über die Verbindung der Mobilgeräte zum Wifi-Netz nachvollziehen, wie stark bestimmte Standorte frequentiert werden und welche Wege die Nutzer vor Ort wählen. Dabei geht es wie bereits erwähnt zunächst allein um die Geräte an sich, „wobei die dadurch erfassten Daten keine Verbindung zu Personen zulassen und es sich um anonyme Bewegungsdaten handelt“, bestätigt Maximilian Pohl. Die genauen Nutzerinformationen erhalten Hotspot-Betreiber erst beim Login-Vorgang. Im Anschluss daran ist es – nach der Zustimmung der Nutzer – möglich, persönliche Daten zu erfassen, um individuelle Informationen bereitzustellen oder Fans für Social-Media-Plattformen zu gewinnen. „Für die Anbieter kann es dabei grundsätzlich schon interessant sein zu wissen, welche Geräte sich häufig anmelden. Denn somit lässt sich einschätzen, wie hoch der Anteil des Stammpublikums ist“, ergänzt Pohl. Auf wiederkehrenden Geräten könnten dann auch andere Informationen angezeigt werden als auf Devices, über die sich Nutzer zum ersten Mal anmelden.

Fiese Attacken auf Hotspots

Neben Rechtssicherheit und Datenschutz gilt es für Hotspot-Betreiber, stets ihre IT-Sicherheit im Auge zu behalten. Denn öffentliche Hotspots besitzen in der Regel alles andere als einen sicheren Ruf, auch da immer wieder Vorkommnisse wie Datenklau und Manipulationen publik werden. „Sind die Infrastrukturen nicht professionell eingerichtet, muss man nicht einmal ein Hacker sein, um auf Geräte im WLAN zugreifen zu können“, betont Maximilian Pohl. Zugreifen könne man dabei nicht nur auf die Devices anderer Nutzer, sondern auch auf sich im Netzwerk befindliche Geräte des Betreibers. Wirklich gefährlich wird es, wenn sich Geräte mit Kundendaten wie Rezeptions-Computer, Multifunktionsgeräte oder Kassensysteme im selben Netzwerk befinden, welches auch öffentlich bereitgestellt wird.

Bedenkliche Sicherheitslücken bemerkt auch Hans-Dieter Wahl. Seiner Einschätzung nach sind die meisten öffentlichen Wifi-Netze unverschlüsselt, um den Benutzern einen barrierefreien Zugang zu erlauben. Dadurch könne jedoch der Datenverkehr anderer WLAN-
Nutzer problemlos mitgelesen werden. „Von daher sollten die Betreiber ihre WLAN-Gäste in den Allgemeinen Geschäftsbedingungen darüber informieren, dass die User selbst für die Verschlüsselung ihrer Daten zuständig sind“, so Wahl weiter. Vertrauliche Daten wie etwa Passwörter sollten die User ausschließlich über Https-Webseiten austauschen und E-Mail-Abrufe sollten allein über SSL-Verbindungen erfolgen. Vor diesem Hintergrund rät Jan Buis den Anwendern darauf zu achten, sich nur bei den „echten“ Hotspots ihrer Anbieter anzumelden und keinesfalls auf sogenannte Honeypots oder „Fake Acces Points“ hereinzufallen. Denn deren einzige Aufgabe besteht darin, den Internetverkehr abzuhören.

Nicht zuletzt verweist Thomas Duda, Vice President Strategic Global Accounts bei iPass, darauf, dass generell jedwede Kommunikation, die über Kabelstrukturen oder Radiowellen läuft, mitgeschnitten werden kann. „Öffentliches Wifi ist mit Man-in-the-Middle-Angriffen verwundbar, über die der gesamte Datenverkehr beobachtet werden kann“, berichtet Duda. Von daher bietet iPass WLAN-Betreibern einen Smartconnect-Client an, der ein sogenanntes Last-Mile-VPN inkludiert.

Wollen die Betreiber selbst schließlich sicher
gehen, dass WLAN-Nutzer nicht auf illegalen Webseiten surfen, lassen sich unerwünschte Inhalte durch einen Webfilter aussperren. „Desweiteren lässt sich die unerwünschte Nutzung öffentlicher WLANs auch verhindern, indem man den Zugang begrenzt“, ergänzt Hans-Dieter Wahl. Dies könne in Hotels über einen Zugangscode allein für Hotelgäste oder generell durch zeitlich begrenzte Zugänge geregelt werden.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok