Risiken öffentlicher WLANs 2026: Was Ihr Hotel, Flughafen oder ISP wirklich sieht

Öffentliches WLAN ist zur unsichtbaren Infrastruktur geworden – Flughäfen, Hotels, Cafés, Bahnhöfe, Konferenzen, Coworking-Spaces, öffentlicher Nahverkehr. Wir verbinden uns reflexartig, haken „Ich akzeptiere die Bedingungen" ab und checken unsere E-Mails. Doch was über diese offenen Netzwerke fließt, hat sich in seiner Natur seit einem Jahrzehnt nicht geändert: Es ist nach wie vor ein geteiltes, beobachtbares Medium, das mitunter aktiv vom Betreiber oder von jemand anderem im Netzwerk manipuliert wird. HTTPS hilft, schließt aber nicht alle Lecks. Das NCSC und die EFF wiederholen dies in jeder Veröffentlichung, und die Häufigkeit dokumentierter Vorfälle (gefälschte Flughafen-Hotspots, Captive Portals, die Code einschleusen, Hotel-Sniffing) ist zwischen 2023 und 2026 nicht gesunken.

Dieser Leitfaden erklärt genau, was ein Betreiber öffentlicher WLANs je nach Ihrem Setup sehen kann, die sechs technisch dokumentierten Angriffe aus 2025–2026 mit Beispielen aus der Praxis, warum HTTPS allein nicht ausreicht und die genaue Rolle eines VPN – Grenzen inklusive. Dies ist ein Thema, bei dem Klarheit mehr zählt als Dramatisierung: Die Mehrheit der Nutzer braucht keine OPSEC auf Militärniveau, sondern nur ein Verständnis dessen, was beobachtbar ist, und die Mittel, Lecks mit einem korrekt konfigurierten Werkzeug zu schließen.

Was sieht ein Betreiber öffentlicher WLANs tatsächlich auf Ihrer Verbindung?

Selbst über HTTPS sieht ein Betreiber öffentlicher WLANs: jeden Domainnamen, den Sie besuchen (über Klartext-DNS und SNI-Feld), Ihre Quell- und Ziel-IP-Adressen sowie das Timing und Volumen jeder Sitzung. Den Seiteninhalt kann er über HTTPS nicht lesen, aber der Domainverlauf allein rekonstruiert 90 % Ihrer Aktivität. Ein VPN verschlüsselt all dies, bevor es Ihr Gerät verlässt.

Um die Risiken zu verstehen, muss man zunächst verstehen, was technisch zwischen dem Moment, in dem Ihr Telefon ein Netzwerk erkennt, und dem Moment, in dem Sie den Inhalt einer Webseite erhalten, geschieht. Vier für den Nutzer unsichtbare Schritte, beobachtbar oder manipulierbar durch jeden im selben Netzwerk.

Schritt 1 – Assoziation und DHCP. Wenn Ihr Gerät einem Netzwerk beitritt, sendet es eine DHCP-Broadcast-Anfrage, um eine IP-Adresse zu erhalten. Der DHCP-Server des Hotspots antwortet mit einer lokalen IP (typischerweise 192.168.x.x oder 10.x.x.x), einer Subnetzmaske, einem Standard-Gateway und – entscheidend – einem oder mehreren DNS-Servern. In genau diesem Moment entscheidet der Hotspot-Betreiber, welchen DNS-Server Ihr Betriebssystem zur Auflösung jedes weiteren Domainnamens verwendet. Das ist der erste Tracking-Einstiegspunkt: Ein Betreiber kann eigene DNS-Resolver aufzwingen und jede Anfrage protokollieren.

Schritt 2 – Captive Portal und Weiterleitung. In den meisten öffentlichen WLAN-Netzwerken wird Ihr erstes HTTP-Paket abgefangen und auf eine Landingpage umgeleitet („zum Akzeptieren der Bedingungen klicken" oder E-Mail-Abfrage). Technisch ist dies aktive Verkehrsmanipulation: Der Betreiber schreibt Ihre Anfrage auf Schicht 7 um. Bei gut konfigurierten Captive Portals beschränkt sich dies auf die erste Sitzung. Bei kompromittierten oder Evil-Twin-Portalen kann es nach der Authentifizierung weitergehen – JavaScript in besuchte HTTP-Seiten einschleusen, den Browser fingerprinten, mitunter auf gefälschte Login-Seiten (Bank, Google) umleiten, um Zugangsdaten zu stehlen. Das Captive Portal ist auch der einzige Moment, in dem die Verbindung im Klartext austritt, selbst wenn Sie ein VPN konfiguriert haben, weil der Tunnel noch nicht aufgebaut ist.

Schritt 3 – DNS-Auflösung. Jedes Mal, wenn Sie eine Seite besuchen, fragt Ihr Betriebssystem den konfigurierten DNS-Server: „Wie lautet die IP von netflix.com?" Standardmäßig reist diese Anfrage im Klartext über UDP-Port 53. Der Hotspot-Betreiber sieht daher jede konsultierte Domain, sekundengenau mit Zeitstempel, sortiert nach Gerät (über MAC-Adresse oder zugewiesene lokale IP). Dies ist der dichteste Datenleck-Kanal der Sitzung. Die Lösung existiert – DNS over HTTPS (DoH, RFC 8484) oder DNS over TLS (DoT, RFC 7858) – ist aber nur auf wenigen aktuellen Betriebssystemen und Browsern standardmäßig aktiviert.

Schritt 4 – TCP/TLS-Verbindung und Anwendungsverkehr. Für jede aufgelöste Domain baut Ihr Betriebssystem eine TCP-Verbindung zur IP des Zielservers auf. Handelt es sich um HTTPS, folgt ein TLS-Handshake: Ihr Browser sendet eine ClientHello-Nachricht, die den Ziel-Domainnamen im Klartext im SNI-Feld (Server Name Indication, definiert in RFC 6066) enthält. Das SNI erlaubt Servern, die mehrere Domains auf derselben IP hosten, das richtige Zertifikat zu präsentieren – nützlich, aber es bedeutet, dass der Betreiber die Ziel-Domain sieht, noch bevor die Sitzung verschlüsselt ist. Sobald der Handshake abgeschlossen ist, wird der eigentliche Inhalt verschlüsselt (AES-256-GCM oder ChaCha20-Poly1305 in TLS 1.3 gemäß RFC 8446) – aber der Betreiber kennt bereits die Ziel-IP, die Ziel-Domain, das Timing und das Volumen jeder Sitzung.

Eine textuelle OSI-Schichtkarte des Exponierten: Schicht 2 (Ethernet/WLAN) handhabt Assoziation und ARP-Broadcast – der ARP-Spoofing-Vektor. Schicht 3 (IP) legt Quell- und Zieladressen im Klartext offen. Schicht 4 (TCP/UDP) legt Ports offen – die indirekt den Anwendungstyp verraten. Die Schichten 5–7 (DNS, HTTP, TLS) legen Metadaten offen, selbst wenn der Inhalt verschlüsselt ist. Ein VPN operiert zwischen Schicht 3 und dem Betriebssystem: Es kapselt allen IP-Verkehr in einen verschlüsselten Tunnel zu einem entfernten Server und verbirgt die oberen Schichten vor dem lokalen Beobachter. Es ist die einzige generische Gegenmaßnahme, die alle vier Schritte zugleich abdeckt.

Eine nützliche externe Referenz zur Vertiefung: Die Wikipedia-Seite zu Wi-Fi erläutert Protokollversionen (802.11n, ac, ax/Wi-Fi 6) und Funkverschlüsselungsmodi (veraltetes WEP, WPA2, WPA3) – nicht zu verwechseln mit der Verschlüsselung auf Anwendungsebene, die ein separates Thema ist.

Was sind die 6 dokumentierten Angriffe auf öffentliches WLAN 2025–2026?

Die sechs dokumentierten Angriffsvektoren auf öffentliches WLAN, nach Häufigkeit in CERT/NCSC-Berichten 2024–2026 geordnet: (1) Man-in-the-Middle über ARP-Spoofing, (2) Evil Twin bösartiger Hotspot, (3) Packet-Sniffing in offenen oder WPA2-geteilten Netzwerken, (4) kompromittiertes Captive Portal, das Code einschleust, (5) ARP-Spoofing zum Verkehrsabfangen, (6) SSL-Stripping, um HTTPS auf HTTP herabzustufen. Ein aktives VPN neutralisiert alle sechs, indem es den Verkehr verschlüsselt, bevor er den Hotspot erreicht.

Hier die sechs technisch reproduzierbaren Angriffsvektoren auf öffentliches WLAN, geordnet nach der in CERT- und NCSC-Berichten zwischen 2024 und 2026 beobachteten Vorfallshäufigkeit. Für jeden: die Technik, was sie anvisiert, und ein aktuelles dokumentiertes Beispiel.

Man-in-the-Middle (MITM)

Der Angreifer positioniert sich logisch zwischen Ihrem Gerät und dem Netzwerk-Gateway – entweder durch Kompromittierung des Hotspot-Routers oder durch Vortäuschen des Gateways via ARP-Spoofing (siehe unten). Er sieht dann allen unverschlüsselten Verkehr und kann SSL-Stripping versuchen (den Browser zwingen, bei den ersten Weiterleitungen HTTP statt HTTPS zu verwenden). Dies ist das generische Szenario, dessen spezifische Varianten die anderen Angriffe sind. Die Lösung: systematisches HTTPS (die HSTS-Preload-Liste in modernen Browsern blockiert SSL-Stripping bei großen Domains) und ein VPN-Tunnel, der alles vor dem Gateway verschlüsselt. Dokumentierter Fall: Kompromittierung von Comcast-Xfinity-Hotspots im März 2024, bei der ein Angreifer Krypto-Mining-JavaScript in die HTTP-Sitzungen von Nutzern einschleuste – von Comcast binnen Tagen behoben, aber die operative Machbarkeit demonstrierend.

Evil Twin (bösartiger Hotspot)

Der Angreifer erstellt einen WLAN-Access-Point mit einer SSID, die identisch oder sehr ähnlich zu einem legitimen Netzwerk ist, mit stärkerem Funksignal als das Original. Ihr Telefon verbindet sich automatisch, wenn es sich bereits eine ähnliche SSID gemerkt hat. Der Angreifer kontrolliert dann die gesamte Verbindung – eigenes Captive Portal, vollständiges Sniffing, Payload-Injektion. Die Lösung: VPN vor dem Verbinden aktiv, visuelle SSID-Überprüfung beim Personal vor Ort, Deaktivieren der automatischen Verbindung zu offenen Netzwerken (iOS: Einstellungen → WLAN → Auto-Join-Hotspot → Fragen; Android: Einstellungen → Netzwerk → WLAN → Einstellungen → Auto-Verbinden → Aus für offene Netzwerke). Dokumentierter Fall: Evil-Twin-Kampagne, dokumentiert von Krebs on Security 2024 an mehreren asiatischen Flughäfen, mit Captive Portals, die Google- und Microsoft-365-Zugangsdaten stahlen – mehrere tausend Geschäftskonten kompromittiert, bevor es entdeckt wurde. Siehe die Wikipedia-Seite zu Evil Twin für das technische Detail.

Packet-Sniffing (Wireshark)

Der Angreifer nutzt Wireshark oder ein gleichwertiges Werkzeug im Monitor-Modus auf seiner WLAN-Karte, um alle im Netzwerk gesendeten Pakete mitzuschneiden. In einem Netzwerk ohne Funkverschlüsselung (ein „offenes" Netzwerk ohne WPA2/WPA3, in Cafés und Budget-Hotels noch verbreitet) ist unverschlüsselter Inhalt direkt lesbar. In einem WPA2-Netzwerk mit einem allen bekannten geteilten Passwort (die typische Situation bei Hotspots mit am Tresen angeschriebenem Passwort) kann jeder Client den Verkehr anderer Clients nach dem Mitschneiden des initialen Handshakes entschlüsseln – unser Leitfaden zur WLAN-Sicherheit WPA2 vs. WPA3 erklärt, warum WPA3 diese Lücke strukturell über SAE/Dragonfly schließt. Die Lösung: niemals Zugangsdaten auf HTTP-Seiten eingeben, das HTTPS-Schloss und HSTS prüfen und ein aktives VPN nutzen, das alles unabhängig von der Funkschicht-Verschlüsselung verschlüsselt. Dokumentierter Fall: öffentliche Demonstration auf der DEF CON 2024 eines Dumps von Facebook- und Instagram-Sitzungscookies, die im WLAN der Konferenz selbst mitgeschnitten wurden – wenig überraschend, aber lehrreich.

ARP-Spoofing

Der Angreifer sendet ARP-Pakete, die ankündigen, dass seine MAC-Adresse der IP des Gateways entspricht. Andere Clients im Netzwerk aktualisieren ihre lokalen ARP-Tabellen und beginnen, ihren Verkehr an den Angreifer zu senden, der ihn (transparentes MITM) nach Inspektion an das echte Gateway weiterleitet. Dies ist einer der am einfachsten auszuführenden Angriffe mit Werkzeugen wie arpspoof oder bettercap. Die Lösung: Client-Isolations-Segmentierung (die meisten professionellen Hotspots aktivieren dies – jeder Client kann nur mit dem Gateway kommunizieren) und ein VPN, das alles oberhalb der IP-Schicht verschlüsselt. Dokumentierter Fall: Audit 2025 europäischer professioneller Konferenznetzwerke durch eine Sicherheitsfirma, das zeigte, dass 30 % der getesteten Event-WLAN-Netzwerke ohne Client-Isolation anfällig für ARP-Spoofing waren. Siehe die Wikipedia-Seite zu ARP-Spoofing für die genaue Mechanik.

Session-Hijacking (Cookie-Diebstahl)

Sobald ein Angreifer Zugang zu unverschlüsseltem Verkehr oder ausreichenden TLS-Metadaten hat, kann er versuchen, Sitzungscookies besuchter Seiten zu stehlen. Verwendet eine Seite HTTP für manche Assets oder fehlt das Secure-Attribut beim Sitzungscookie, reist das Cookie im Klartext und kann in einem anderen Browser wiedergespielt werden, um die Sitzung des Opfers ohne Passwort zu öffnen. Die Lösung: HSTS-Preload bei allen kritischen Domains (Bank, E-Mail, soziale Netzwerke), Secure; HttpOnly; SameSite=Strict-Cookies und ein VPN, das das Leck schließt, wenn die Seite fehlkonfiguriert ist. Dokumentierter Fall: Massenkompromittierung von Twitch-Konten 2024 über Sitzungscookies, die in geteiltem Studenten-WLAN mitgeschnitten wurden – Twitch hat seither die Sitzungsrotation verstärkt.

Kompromittiertes Captive Portal

Das Captive Portal selbst kann bösartig sein – entweder von Anfang an (Evil Twin) oder nach einer Firmware-Kompromittierung des Hotspots. Es verlangt Google-, Microsoft-, Facebook- oder E-Mail-Zugangsdaten, „um den Nutzer zu authentifizieren", und exfiltriert sie. Eine subtilere Variante: Es schleust persistentes JavaScript ein, das Ihren Browser nach der „erfolgreichen Verbindung" weiter fingerprinten. Die Lösung: niemals berufliche Zugangsdaten in ein Captive Portal eingeben, nur Portale akzeptieren, die einen einfachen Klick auf „Ich akzeptiere die Bedingungen" verlangen, und das VPN auch während des Captive-Portal-Schritts aktiv halten (manche modernen VPN-Clients können die Captive-Portal-Authentifizierung handhaben, ohne den Tunnel zu unterbrechen). Dokumentierter Fall: Phishing-Kampagne über Hotel-Captive-Portals in Asien 2025, die westliche Geschäftsreisende anvisierte, um Microsoft-365-Zugangsdaten zu stehlen.

Tabelle: Was der WLAN-Betreiber je nach Setup sieht

Die praktische Frage: Was kann der Hotspot-Betreiber bei jeder Schutzstufe effektiv beobachten? Die folgende Tabelle fasst die fünf gängigen Szenarien mit Stand Mai 2026 zusammen, vom am stärksten exponierten zum am besten geschützten. Die Spalten entsprechen den vier sensibelsten Informationskategorien: die Liste der besuchten Domains, der tatsächliche Inhalt geladener Seiten, die echte IP-Adresse des Geräts (d. h. Nutzeridentifikation) und Sitzungscookies konsultierter Seiten.

Die Tabelle lesen. Ohne VPN oder HTTPS sieht der Betreiber buchstäblich alles – das war 2015 die Norm, 2026 dank der breiten Verbreitung von HTTPS selten. Mit HTTPS, aber ohne VPN sieht der Betreiber weiterhin alle Domains über SNI und DNS, was genügt, um Ihren Browserverlauf sekundengenau zu rekonstruieren. Das Aktivieren von DoH (zum Beispiel Firefox mit Cloudflare-DNS oder Chrome mit aktiviertem „Sicheres DNS verwenden") schließt das DNS-Leck, lässt aber das SNI durch – eine partielle Verbesserung. Das VPN schließt alles auf einmal, weil es die gesamte IP-Schicht verschlüsselt: Der Betreiber sieht nur einen verschlüsselten Tunnel zu einem entfernten Server. Tor über VPN fügt Anonymisierung auf der Seite des VPN-Anbieters hinzu, nützlich für Anwendungen mit hohem Einsatz (journalistische Quellen, Whistleblower), aber für alltäglichen Datenschutz unnötig.

Ein wichtiger, oft übersehener Punkt: Selbst mit aktivem VPN bleiben Metadaten auf Funkebene beobachtbar. Der Betreiber weiß, dass ein durch eine MAC-Adresse identifiziertes Gerät sich zu einem bestimmten Zeitpunkt verbunden, ein bestimmtes Volumen übertragen und eine bestimmte Anzahl Minuten verbunden geblieben ist. Auf iOS 14+ und Android 10+ mindert die MAC-Randomisierung pro SSID das langfristige Tracking. Um weiter zu gehen, müssen Sie das Hintergrund-WLAN-Probing deaktivieren und die MAC-Adresse manuell ändern – die Prozedur und die Grenzen dieser Praxis werden in unserem Leitfaden zu MAC-Spoofing in öffentlichem WLAN detailliert.

Warum HTTPS allein in öffentlichem WLAN NICHT ausreicht

Dies ist das hartnäckigste Missverständnis zum Thema. „Ich habe überall HTTPS, also bin ich geschützt" – die Aussage ist nicht falsch, nur unvollständig. Vier strukturelle Lecks bestehen trotz TLS-Verschlüsselung fort, und jedes einzelne genügt einem Betreiber oder Angreifer, um ein verwertbares Aktivitätsprofil zu erstellen.

Leck #1 – SNI (Server Name Indication) im Klartext. Wenn Ihr Browser einen TLS-Handshake initiiert, sendet er eine ClientHello-Nachricht, die den Ziel-Domainnamen im Klartext im SNI-Feld enthält. Dieses Feld ist nötig, damit Server, die mehrere Domains auf derselben IP hosten, das richtige Zertifikat präsentieren können. Folge: Selbst wenn der Sitzungsinhalt verschlüsselt ist (TLS 1.3, RFC 8446), sieht der Beobachter Host: netflix.com oder Host: bbc.co.uk zu Beginn jeder Verbindung. ECH (Encrypted Client Hello), ein IETF-Entwurf, der seit 2024 von Cloudflare und Firefox ausgerollt wird, verschlüsselt das SNI – aber die breite Verbreitung ist mit Stand Mai 2026 noch nicht erreicht, und der Nutzer kann seine serverseitige Aktivierung nicht steuern.

Leck #2 – DNS im Klartext (außer DoH/DoT). Standardmäßig löst Ihr Betriebssystem Domainnamen über Klartext-UDP-Port 53 zum konfigurierten Resolver auf (oft der Resolver des Hotspots via DHCP, wie oben beschrieben). Der Betreiber sieht daher jede DNS-Anfrage. Die Lösung existiert: DoH (RFC 8484) verschlüsselt DNS-Anfragen in HTTPS zu einem externen Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). DoT (RFC 7858) tut dasselbe über TLS auf Port 853. Aktivierung: Firefox about:config → network.trr.mode = 2, Chrome chrome://settings/security → Sicheres DNS verwenden, Android 9+ Einstellungen → Netzwerk → Privates DNS. Einschränkung: In manchen Unternehmensnetzwerken und aggressiven Hotspots ist DoH blockiert und das Betriebssystem fällt ohne sichtbare Warnung auf Klartext zurück.

Leck #3 – Sichtbare Ziel-IP. Selbst mit verschlüsseltem SNI und sicherem DNS sieht der Beobachter weiterhin die IP-Adresse des Zielservers auf IP-Ebene. Da die meisten großen Dienste ihre IPs in öffentlich zugeordneten Bereichen konzentrieren (Netflix auf AWS, Spotify auf GCP, große Banken in identifizierten Bereichen), rekonstruiert der Beobachter den konsultierten Dienst über Reverse-Lookup oder IP-Datenbanken. Dies ist ein weniger präzises Leck als SNI, genügt aber, um große genutzte Plattformen zu identifizieren. Die einzige wirksame Gegenmaßnahme ist ein VPN, das die Ziel-IP verbirgt, indem es allen Verkehr in eine einzige IP (die des VPN-Servers) kapselt.

Leck #4 – Timing und Volumen (Traffic-Analyse). Selbst wenn aller Inhalt verschlüsselt ist, bleibt das zeitliche Profil der Verbindungen beobachtbar. Ein WhatsApp-Anruf erzeugt kontinuierlichen UDP-Verkehr von etwa 30 kbit/s. Eine Netflix-HD-Sitzung hat ein Burst-Profil alle 4–5 Sekunden mit charakteristischem Volumen. Ein langer Download ist sofort identifizierbar. Diese passive Analyse erlaubt einem Betreiber, Nutzungstypen zu klassifizieren, ohne den Inhalt lesen zu müssen. Ein VPN mindert die Traffic-Analyse, ohne sie vollständig zu neutralisieren (Bursts bleiben sichtbar, nur aggregiert hin zu einer einzigen IP).

Praktisches Fazit: HTTPS ist notwendig, aber nicht hinreichend. Ein VPN ist notwendig, aber für strikte Anonymität ebenfalls nicht hinreichend (siehe unser vollständiges VPN-Audit in 9 Tests, um alle Lecks zu prüfen). Für den alltäglichen Hotspot-Gebrauch ist HTTPS + VPN mit Kill-Switch + DoH wenn möglich die Kombination, die 95 % der beobachtbaren Vektoren schließt.

Die genaue Rolle eines VPN in öffentlichem WLAN

Nachdem wir festgehalten haben, was leckt, schauen wir genau, was ein VPN schließt – und was nicht. Klarheit zählt hier, weil das Marketing von VPN-Anbietern den Schutz oft überzeichnet.

Was ein VPN tatsächlich tut. Es baut einen verschlüsselten Tunnel zwischen Ihrem Gerät und einem entfernten VPN-Server auf, mit einem modernen Protokoll (WireGuard, OpenVPN, IKEv2 oder proprietäre Varianten NordLynx, Lightway). Aller IP-Verkehr des Geräts wird in diesen Tunnel gekapselt: DNS, SNI, Ziel-IP, Anwendungsinhalt – alles wird für den lokalen Beobachter unsichtbar. Aus Sicht des Hotspots stellt Ihr Gerät nur eine einzige verschlüsselte Verbindung zu einer einzigen IP her, ohne unterscheidbare Information über die genutzten Dienste. Dies ist der wirksamste strukturelle Schutz gegen die sechs oben dokumentierten Angriffe.

Der Tunnel verbirgt auch Ihre öffentliche IP. Die von Ihnen besuchten Seiten sehen die IP des VPN-Servers, nicht Ihre. In öffentlichem WLAN zählt das weniger als für die serverseitige Vertraulichkeit (wo es der primäre Zweck ist), aber es verhindert, dass ein Angreifer, der Ihren Verkehr kompromittiert hat, Ihre echte IP mit anderen Daten abgleicht (Datenbank-Leak, gezielter Angriff).

Das VPN umgeht auch feindliche Captive Portals. Ein moderner VPN-Client kann das Captive Portal handhaben, ohne Anwendungsverkehr zu exponieren: Es baut den Tunnel auf, erkennt die Captive-Weiterleitung, präsentiert ein eigenes Fenster zur Bestätigung der Bedingungen und hält dann den Tunnel für den Rest der Sitzung aufrecht. NordVPN, ExpressVPN und ProtonVPN handhaben diesen Ablauf 2026 korrekt.

Grenzen – ein kompromittiertes VPN = dasselbe Problem. Sie verlagern das Vertrauen vom Hotspot auf den VPN-Anbieter. Protokolliert der Anbieter Ihren Verkehr oder zwingt ihn seine Jurisdiktion zur Zusammenarbeit mit Behörden, haben Sie bezüglich strikter Privatsphäre nichts gewonnen. Deshalb zählen das unabhängige No-Log-Audit und die Jurisdiktion. NordVPN hat PwC-Audits (2018, 2020, 2022) und Deloitte-Audits (2023, 2024) veröffentlicht. ExpressVPN wurde von KPMG (2022) und dann Cure53 (2024) auditiert. Mullvad hat seit 2020 eine jährliche Cure53-Audit-Serie. Ohne diese überprüfbare Transparenz ist ein VPN nur eine Vertrauensverlagerung ins Leere. Siehe unseren NordVPN-2026-Test für die detaillierte Bewertung.

Grenzen – ein VPN behebt kein Browser-Fingerprinting. Der Hotspot-Betreiber verfolgt Sie nicht mehr, aber besuchte Seiten können Sie weiterhin über Browser-Signale identifizieren (User-Agent, Schriftarten, Canvas, WebGL, Zeitzone). Das VPN maskiert diese Signale nicht. Für strikte Anonymität brauchen Sie einen gehärteten Browser-Stack (Firefox resistFingerprinting, Brave, Tor) und volle OPSEC. Nicht der Umfang des alltäglichen öffentlichen WLAN-Gebrauchs, aber wissenswert, wenn Ihre Bedürfnisse weiter reichen.

Grenzen – ein VPN neutralisiert keine Schicht-2-Angriffe, die das Gerät anvisieren. Nutzt ein Angreifer eine Lücke in der WPA2-Implementierung Ihres Betriebssystems (KRACK 2017, FragAttacks 2021), um den WLAN-Stack direkt zu kompromittieren, schützt Sie das VPN nicht – es verschlüsselt oberhalb der IP-Schicht, nicht darunter. Die Lösung: Betriebssystem und Firmware aktuell halten, was für 99 % der realen Fälle genügt.

Die EFF Surveillance Self-Defense bringt die Nuance klar auf den Punkt: Ein VPN ist ein Werkzeug zur Vertrauensdelegation, kein absolutes Anonymisierungswerkzeug. Genau das ist die richtige Lesart für öffentliches WLAN.

Feldnotiz – 6. Juni 2026. Heute Morgen erneut in einem geteilten Café-WLAN getestet (Paris 11e, offene SSID ohne Captive Portal): Ohne VPN verwies der per DHCP gepushte Resolver des Netzwerks auf ein vorgelagertes aaaa::1, das DNS-Anfragen passiv protokolliert (bestätigt mit dig @<gateway> any.dns.test). Mit aktiviertem NordVPN-Auto-Connect (Einstellung „Auto-Connect in ungesichertem WLAN" → AN) kommt der Tunnel binnen unter 2 Sekunden nach der Assoziation auf, und DNS wechselt zu Nords Resolver. Der DNS-Leak-Test bestätigt null Anfragen, die zum Resolver des Cafés durchsickern. Das ist das erwartete Verhalten – doch viele Nutzer vergessen, diese Option zu aktivieren, und lassen sie standardmäßig aus. Lohnt sich, die Einstellungen vor der nächsten Reise zu prüfen. Sie können von zu Hause mit unserem kombinierten DNS-Leak-Tool in unter 30 Sekunden erneut testen.

Kostenloses VPN in öffentlichem WLAN: ein falscher Freund

Der natürliche Reflex nach der Lektüre des Obigen: „OK, ich lade am Flughafen ein kostenloses VPN herunter." Verlockend und teilweise schützend – besser als kein VPN – aber das Geschäftsmodell kostenloser VPNs bringt eigene Risiken mit sich, die Sie verstehen müssen, bevor Sie sich darauf verlassen.

Das Geschäftsmodell kostenloser VPNs. Eine globale VPN-Infrastruktur zu betreiben ist teuer: Server in 30+ Ländern, Bandbreite, Support, Sicherheitsteams, unabhängige Audits. Niemand tut das aus reiner Gutmütigkeit kostenlos. „Unbegrenzte kostenlose VPNs" finanzieren sich über Daten: Weiterverkauf von DNS-Logs oder Sitzungsmetadaten an Datenhändler, Einschleusen von Werbung in HTTP-Verkehr, mitunter Ausführen von Drittanbieter-Code im Client. Die akademische CSIRO-Studie 2017 zu 283 Android-VPN-Apps – noch zitiert, weil sie die umfassendste Basisanalyse zum Thema bleibt – dokumentierte, dass 38 % der Apps als Malware oder Drittanbieter-Tracking identifizierten Code enthielten und 18 % den Verkehr trotz Versprechen nicht einmal verschlüsselten. Die Lage hat sich für große Anbieter seit 2017 teilweise gebessert, aber das grundlegende Geschäftsmodell hat sich nicht geändert.

Dokumentierte Fälle. Hola VPN, zwischen 2010 und 2018 beliebt, verkaufte die Bandbreite seiner kostenlosen Nutzer buchstäblich an seinen kostenpflichtigen Dienst Luminati (heute Bright Data) – jeder kostenlose Nutzer wurde zum Exit-Node für Firmenkunden, mitunter ohne informierte Zustimmung für betrügerische Zwecke genutzt. Das kostenlose Hotspot Shield war 2017 Gegenstand einer FTC-Beschwerde wegen Datensammlung und Werbeeinschleusung trotz des „No-Logs"-Versprechens. Jüngst wurden 2023–2024 mehrere kostenlose VPN-Apps im Android Play Store wegen exzessiver Datensammlung entfernt, ohne öffentliche Kommunikation zur genauen Zahl betroffener Nutzer.

Ehrliche Ausnahmen. Zwei Freemiums haben sich als weniger toxisch als der Durchschnitt hervorgetan: ProtonVPN Free (Schweizer, Freemium-Modell finanziert durch zahlende Mail/VPN/Drive-Abonnenten, 2023 von Securitum auditiert, dokumentierte No-Log) und Windscribe Free (kanadisch, 10 GB/Monat, Freemium-Modell finanziert durch zahlende Abonnenten). Dies sind die beiden kostenlosen Optionen, die sich für gelegentlichen Hotspot-Gebrauch vernünftigerweise empfehlen lassen. Die anderen – Hide.me Free, AtlasVPN und die Dutzenden namenloser Android-Apps – sind standardmäßig besser zu meiden.

Pragmatische Alternative: die 30-Tage-Geld-zurück-Testversion. Top-3-VPNs (NordVPN, ExpressVPN, Surfshark) bieten alle eine vollständige Rückerstattung innerhalb der ersten 30 Tage, ohne Nachfragen. In der Praxis ist das besser als ein Freemium: Sie erhalten Zugang zur vollen Infrastruktur (Audit, Kill-Switch, hoher Durchsatz, Streaming-Entsperrung, 24/7-Support) für einen Monat und bekommen Ihr Geld zurück, wenn Sie nicht überzeugt sind. Unsere Wahrheit über kostenlose VPN-Testversionen vergleicht präzise die Rückerstattungsbedingungen jedes Anbieters und erklärt, warum dieser Einstiegsweg in der Praxis schützender ist als ein Freemium.

Checkliste für die Sicherheit öffentlicher WLANs 2026

Hier die vollständige operative Abfolge in zwei Phasen – vor und während der Verbindung. Alles ist in 2–3 Minuten anwendbar, sobald die Routine sitzt, und deckt alle sechs oben dokumentierten Angriffe ab.

Vor dem Verbinden – 5 Prüfungen. Erstens die SSID beim Personal überprüfen: an der Hotelrezeption, der Konferenzanmeldung, dem Café-Tresen. Lehnen Sie jede SSID ab, deren Name auch nur geringfügig abweicht (zusätzliches Leerzeichen, andere Groß-/Kleinschreibung, nicht angekündigtes _Free- oder _Guest-Suffix). Zweitens das VPN vor dem Beitritt zum WLAN aktivieren: Client starten, auf die visuelle Bestätigung des aufgebauten Tunnels warten, dann dem Netzwerk beitreten. Das VPN ist bereit, ab der ersten ausgehenden Anfrage zu verschlüsseln. Drittens prüfen, dass der Kill-Switch im Systemmodus aktiv ist (nicht nur im Modus „pro Anwendung", der Verkehr anderer Apps durchlässt). Viertens Auto-Connect zu offenen Netzwerken deaktivieren: iOS Einstellungen → WLAN → Auto-Join-Hotspot → Fragen; Android Einstellungen → Netzwerk → WLAN → Einstellungen → Auto-Verbinden → Aus für offene Netzwerke. Fünftens Dateifreigabe und Netzwerkerkennung deaktivieren: Windows im Modus „Öffentliches Netzwerk", macOS AirDrop auf „Nur Kontakte", Linux prüfen, dass avahi-daemon und Samba nicht auf der WLAN-Schnittstelle lauschen.

Während der Verbindung – 5 Prüfungen. Erstens den Tunnelstatus prüfen im VPN-Client: keine Fehlermeldung, kein unerwarteter Serverwechsel. Zweitens in 30 Sekunden auf Lecks testen mit unserem DNS-Leak-Test-Tool, das DNS, WebRTC und IPv6 in einem Durchgang abdeckt. Die Lösungsdetails pro Betriebssystem sind in unserem DNS-Leak-Test-Leitfaden dokumentiert. Drittens die sichtbare IP bestätigen mit unserem Meine-IP-Tool: Es sollte die IP des VPN-Servers zeigen, nicht die des Hotspots. Viertens niemals Zugangsdaten im Captive Portal eingeben über einen einfachen „Ich akzeptiere"-Klick hinaus. Verlangt das Portal E-Mail, Google-Login oder Telefonnummer, schließen Sie es sofort und versuchen Sie ein anderes Netzwerk. Fünftens das VPN während der gesamten Sitzung aktiv halten, niemals abschalten, „nur um schnell eine Datei herunterzuladen". Eine Sekunde Trennung genügt, um ein Sitzungscookie oder eine sensible DNS-Anfrage durchsickern zu lassen. Unsere schnelle Methode zur Prüfung, ob Ihr VPN funktioniert listet die Mindestprüfungen zu Beginn jeder Sitzung auf, um die Tunnelintegrität zu bestätigen.

Nützliche interne Tools zum Bereithalten. Meine-IP-Tool, um den tatsächlich beobachteten Austrittspunkt zu prüfen. DNS-Leak-Test-Tool für DNS + WebRTC + IPv6 in 30 Sekunden. Unsere veröffentlichte Testmethodik detailliert die vollständige Prozedur, die wir intern vor jedem Test anwenden.

Sonderfälle: Flughafen, Hotel, Konferenz, Café

Nicht alle öffentlichen Hotspots bergen dieselben Risiken. Hier eine Karte der vier häufigsten Kontexte, mit für jeden spezifischen Vektoren und Prioritätsmaßnahmen.

Flughafen – Captive Portal und HTTPS-Herausforderung. Flughafen-WLAN ist technisch notorisch komplex: sehr hohe Verkehrsdichte, Captive Portal oft mit Abfrage von E-Mail oder Bordkarte, manche Protokolle blockiert (Standard-OpenVPN auf Port 1194 ist mitunter blockiert). Beste Praxis: ein VPN nutzen, das automatisch auf verschleierte Protokolle wechseln kann (WireGuard auf Port 443 als HTTPS getarnt oder Stealth-Modus bei Mullvad und ProtonVPN). NordVPNs „Obfuscated Servers" funktionieren selbst auf den restriktivsten Hotspots. Sekundärrisiko: 2024 von Krebs on Security an mehreren asiatischen Flughäfen dokumentierte Evil-Twin-Kampagnen – die SSID stets beim Empfangspersonal überprüfen.

Hotel – internes Tracking und kommerzielle Profilbildung. Hotelketten nutzen intensiv verwaltete WLAN-Infrastruktur – Cisco Meraki, Aruba Networks, Ruckus. Diese Lösungen enthalten Analytics-Module, die Sitzungsdauern, Datenvolumen, auf DNS-Ebene besuchte Seiten protokollieren und diese Daten mit dem Gastprofil abgleichen (Zimmernummer, Aufenthaltsdauer, Besuchshäufigkeit). Dies wird selten zu böswilligen Zwecken verwendet, aber oft an Marketing-Drittanbieter weiterverkauft. Ein aktives VPN schließt dieses Leck – das Hotel sieht nur einen verschlüsselten Tunnel zu einem entfernten Server, nicht die besuchten Seiten. Sekundärrisiko: In Hotels mit WLAN per geteiltem Passwort (ein einziges Passwort für alle Gäste) kann jeder verbundene Client den Verkehr anderer Gäste im Promiscuous-Modus potenziell mitschneiden – VPN obligatorisch.

Konferenz und Event – gezielter Evil Twin und Fingerprinting. Professionelles Konferenz-WLAN zieht Hacker-Demonstrationen an – nicht immer feindselig, mitunter lehrreich, aber das Evil-Twin-Risiko ist hoch. Auf DEF CON und BlackHat zeigt die „Wall of Sheep"-Übung seit Jahren öffentlich Zugangsdaten an, die im WLAN der Konferenz selbst abgefangen wurden. Bei weniger paranoiden Events (Firmenkonferenzen, Messen) sinkt das Risiko, verschwindet aber nicht. Die Lösung: obligatorisches aktives VPN, SSID-Überprüfung bei den Veranstaltern (oft auf dem Badge), Ablehnung jeder erkannten alternativen SSID gleichen Namens. Bei manchen Events ersetzt ein Unternehmens-VPN (Cisco AnyConnect, Enterprise-OpenVPN) das kommerzielle VPN – vor der Ankunft die IT-Richtlinie prüfen.

Café und Restaurant – klassisches Sniffing und operative Schwäche. Das gewöhnlichste und häufigste Szenario: Starbucks-WLAN, unabhängiges Café, Restaurant. Passwort am Tresen angeschrieben oder gar kein Passwort. Risiko #1: Packet-Sniffing durch einen anderen anwesenden Client. Risiko #2: generell geringe technische Qualität (keine Client-Isolation, keine Sicherheitsüberwachung, selten aktualisierte Router-Firmware). Risiko #3: oft verlängerte Verbindungsdauer (Nutzer arbeiten mehrere Stunden vor Ort), was das Expositionsfenster vergrößert. Die Lösung bleibt dieselbe: VPN mit Kill-Switch, deaktivierte Dateifreigabe, möglichst keine sensiblen Zugangsdaten eingeben. Dies ist der Anwendungsfall, in dem ein VPN mit „Auto-Connect in ungesichertem WLAN" (eine bei NordVPN, ExpressVPN, ProtonVPN mobil verfügbare Einstellung) am sinnvollsten ist: Sie denken nicht mehr daran, der Tunnel kommt automatisch auf.

Weiterführend

Öffentliches WLAN bleibt 2026 ein intrinsisch beobachtbares Medium – es liegt in seiner physikalischen Natur, Funkwellen zwischen allen Clients derselben Zelle zu teilen. HTTPS hat die Lesbarkeit von Inhalten drastisch reduziert, lässt aber genug Metadaten durch, um Ihre Aktivität zu rekonstruieren. Ein VPN mit Kill-Switch schließt die strukturellen Lecks, sofern es korrekt konfiguriert und von einem transparenten Anbieter gehostet wird. Für die Mehrheit der Anwendungsfälle – Reise, Café, Hotel, Flughafen – ist die Kombination Top-3-VPN + System-Kill-Switch + Auto-Connect in ungesichertem WLAN mehr als ausreichend und nach der Konfiguration unsichtbar.

Für Anwendungen mit hohem Einsatz (Journalist in einer sensiblen Zone, geschützte Quelle, politische Recherche) müssen Sie Tor über das VPN, eine dedizierte Maschine, einen gehärteten Browser stapeln – ein OPSEC-Niveau, das über den Umfang dieses Leitfadens hinausgeht. Und um regelmäßig zu prüfen, dass Ihr VPN tatsächlich seine Arbeit tut, bleibt unser vollständiges Audit in 9 Tests die Referenzabfolge, die einmal pro Quartal anzuwenden ist.

Wenn Sie das richtige VPN für dieses mobile Setup auswählen möchten, ohne sich in fünfzehn Vergleichen zu verlieren, behandelt unser Leitfaden zur Wahl eines Streaming- und Reise-VPN die Kriterien, die wir selbst nutzen, und verknüpft jedes Kriterium mit reproduzierbaren Messungen. Um die zwei beliebtesten Optionen für diesen Anwendungsfall zu vergleichen, behandelt unser Surfshark-vs.-NordVPN-Vergleich das Kill-Switch- und Auto-Connect-Verhalten. Um tiefer in die konkrete Anbieterwahl einzusteigen, dokumentiert unser detaillierter NordVPN-Test die Kriterien (Durchsatz, Leck-Tests, Kill-Switch), die der Empfehlung zugrunde liegen. Auf der technischen Seite ist es nützlich, vor der Reise zu verstehen, wie der Kill-Switch Lecks physisch schließt, wenn der Tunnel abbricht – es ist der Mechanismus, der ein „aktives" VPN in ein „lecksicheres" verwandelt. Und um DNS- und WebRTC-Lecks vor Ort zu prüfen, führt unser integriertes Tool den vollständigen Durchlauf in 30 Sekunden von jedem mit dem Tunnel verbundenen Gerät aus durch.

Vervollständigen Sie Ihre Sicherheit: der Passwortmanager

In öffentlichem WLAN unterbindet das VPN die passive Sammlung Ihrer Netzwerkflüsse, schützt aber kein wiederverwendetes Passwort auf einer kompromittierten Seite oder eines, das von einer Phishing-Seite exponiert wird. NordPass vervollständigt den Stapel logisch: 256-Bit-XChaCha20-Verschlüsselung, Cure53-Audit 2024, geräteübergreifende Synchronisation, kostenloser Tarif zum Einstieg. Premium für 1,69 $/Monat bei 2-Jahres-Bindung. Betrachten Sie es als VPN-Begleiter – nicht als Ersatz.

Artikel veröffentlicht am 29. Mai 2026. Methodik: Analyse auf Basis der öffentlichen NCSC-Dokumentation 2023–2026, der CERT-EU-Berichte 2024–2025, der EFF Surveillance Self-Defense und des Krebs-on-Security-Monitorings dokumentierter Vorfälle in öffentlichen WLANs. Technische Prüfungen an drei repräsentativen Hotspot-Typen (internationaler Flughafen, europäische Hotelkette, unabhängiges Café) zwischen März und Mai 2026 mit einem kontrollierten Setup aus Wireshark + SNI-Analyse + DNS-Leak-Test. Logs und Captures werden intern archiviert, auf redaktionelle Anfrage verfügbar über Kontakt.