Vorsicht vor offenen Wlan-Netzwerken

17. April 2013, 22:15 Uhr

Kostenlose Wlan-Netze im Café oder am Flughafen sind praktisch. Doch stern TV beweist: Wer über solche Hotspots ins Internet geht, kann leicht ausspioniert werden. So können User ihre Profile schützen

Wlan, Wifi, Netze, Facebook, Spionage, unsicher, Sicherheit, stern, TV, App

Wer über kostenlose, öffentlichen Wlan-Netzwerke ins Internet geht, kann leicht ausspioniert werden.©

Kurz neue E-Mails checken oder von unterwegs mit Freunden chatten - kein Problem. Fast überall gibt es heute freies Internet. Doch dabei ist Vorsicht geboten. "Fast jeder, der in einem öffentlichen Wlan surft, ist gläsern", sagt IT-Sicherheitsexperte Tobias Schrödel und fügt hinzu: "Vor allem wissen die wenigsten, wie leicht man fremde Konten kapern kann - Schreiben und Löschen von Daten inklusive."

Bereits vor einem Jahr hatte ein Test von Tobias Schrödel das bewiesen. Sein Werkzeug: eine kostenlose Spionage-App, die laut Hersteller damals bereits 50.000 Mal heruntergeladen wurde. Fachwissen ist für das Spionieren also gar nicht von Nöten. Mit nur zwei Klicks wählte sich der Experte mit der App in fremde Facebook-Accounts ein, las Mails und konnte sogar Nachrichten posten. Die Ausspionierten bemerkten davon nichts. Nach dem damaligen stern TV-Test versprachen einige E-Mail-Provider und Anbieter von sozialen Netzwerken, dieses Sicherheitsloch zu schließen.

Mit wenigen Klicks in fremde Accounts

Ursprünglich wurde die App von einem Studenten als Teil seiner Bachelor-Arbeit programmiert, um derartige Sicherheitslücken bei Internetanbietern aufzuzeigen. Die Anwendung arbeitet mit den so genannten Cookies, die die Internetseiten zurückschicken, sobald sich ein User in seinen Account – zum Beispiel bei Facebook – eingeloggt hat. "Wenn ich mich in einem sozialen Netzwerk anmelde, gebe ich User-ID und Passwort ein. Durch Klicken auf den Knopf werden diese Daten an den Betreiber übertragen. Und der prüft, ob die Daten richtig sind", erklärt Tobias Schrödel. Zwar sei dieser Vorgang verschlüsselt, doch: "Der Betreiber schickt dann ein sogenanntes Zugangsticket unverschlüsselt zurück. Und das kann ich dann nutzen." Das Passwort selbst wird nicht übermittelt.

Die Spionage-App zeigt sogleich in einer Liste an, wer in der Umgebung gerade in einem sozialen Netzwerk oder einem Freemail-Account angemeldet ist. Deshalb kann sie auch zu Missbrauchszwecken genutzt werden. "Wir haben schon nach wenigen Sekunden mehrere Leute gefunden, die sich irgendwo eingeloggt haben - mit Namen. Jetzt brauche ich nur noch auf die Namen in der Liste klicken und schon bin ich in ihrem Account – mit vollen Lese- und Schreibrechten", sagt Tobias Schrödel.

Erschreckendes Fazit nach neuem Test

Als stern TV diesen Test nach gut einem Jahr wiederholt, ist es noch immer genauso einfach, fremde Internetprofile zu knacken. "Als Fazit kann man sagen, dass in den letzten 12 Monaten auf Anbieterseite nicht viel passiert ist", resümiert Tobias Schrödel. "Zwar haben die Anbieter gesagt, sie arbeiten an der Verbesserung der Sicherheit. De facto ist es aber nahezu identisch wie vor einem Jahr: Wir haben bei Facebook dieselben Möglichkeiten ins System reinzukommen, ebenso bei Yahoo-Mail und bei Amazon, wobei es dort nicht ganz so kritisch ist."

Facebook

Bei Facebook gibt es weiterhin den Menüpunkt "Sicheres Durchstöbern aktivieren". Der ist aber standardmäßig deaktiviert. Um sein Facebook-Profil gegen das Spionieren schützen will, muss diesen Punkt aktivieren.

Yahoo

Bei Yahoo habe man sogar Zugriff auf den Mails-Account: "Ich kann Mails lesen und verschicken, kann Adressen ändern, Termine verschieben, was immer ich will. Ich bin genauso wie der Besitzer des Kontos eingeloggt", warnt der IT-Experte.

Amazon

Amazon habe eine zweite Sicherheitsstufe eingebaut: "Zwar komm ich mit so einem Hackerprogramm in den Amazon-Account rein, kann gucken, was ein Mensch im Warenkorb hat und beispielsweise Waren löschen oder hinzufügen. Ich kann aber nichts bestellen, dafür brauche ich dann das Passwort."

Verschlüsselte Verbindungen sind sicher

Von dem Sicherheitsproblem sind grundsätzlich alle Seiten und Accounts betroffen, die mit den so genannten Session-Cookies arbeiten und sie unverschlüsselt zurück "funken". Die Seitenbetreiber könnten Abhilfe schaffen, indem sie die komplette Transaktion, also das Surfen auf diesen Seiten, verschlüsseln – erkennbar an einem "https" am Anfang der URL oder einem Schlosssymbol in der Browserleiste. Das, so Tobias Schrödel, werde jedoch vielfach aus Kostengründen nicht gewährleistet: "Verschlüsselung braucht Zeit und Rechenpower, das kostet. Aber ich denke heutzutage sollte das kein Problem mehr sein."

Wer sich vor Angriffen schützen will, sollte entweder nicht in öffentlichen Wlan-Netzen surfen oder sich währenddessen zumindest nicht in private Accounts einloggen, so die Empfehlung. Wenn man statt Wlan die Internetverbindung seines Mobilfunknetzes nutzt, kann man ebenfalls nicht gehackt werden. Bei einigen Internetangeboten, zum Beispiel Facebook, lassen sich Profileinstellungen vornehmen, die dafür sorgen, dass man auch nach dem Einloggen sicher ist. Je nach Anbieter werden die Einstellungen an verschiedenen Stellen vorgenommen, sodass man sich beim Seitenbetreiber erkundigen sollte, ob und wie es geht. Viele Seiten klären darüber auf Ihren Hilfe- und Sicherheits-Informationsseiten auf.

Der Andriod-Markt hat erkannt, dass mit der Spionage-App Schindluder getrieben werden kann – und bietet sie nicht mehr an. Vergleichbare Programme kursieren jedoch weiterhin im Internet. In öffentlichen Wlan-Netzen ist also weiterhin entsprechende Vorsicht geboten. Denn bis die Seitenbetreiber ihre Angebote bei drahtloser Nutzung durchgängig verschlüsseln, könnte mindestens ein weiteres Jahr vergehen.

Welche Seiten sind schlecht, welche gut gesichert? Bei welchen Internetangeboten ist ein Zugriff auf Nutzerprofile noch möglich? stern TV forderte die Zuschauer auf, Seiten vorzuschlagen, die Tobias Schrödel mit Hilfe der App auf ihre Sicherheit testen sollte. Noch während der Sendung konnte er Profile folgender Anbieter ausspionieren:

Yahoo!
facebook.com
amazon.de
ADAC
Wer kennt wen?
Youtube
Jappy

Unter anderem auf diesen Seiten surfen Sie in öffentlichen Wlan-Netzen sicher:

Google +
xing.com
twitter.com
gmx.net
web.de
t-online.de
Dropbox
Hotmail.de

Daten-Spionage am Hotspot
Daten-Spionage am Hotspot
Daten-Spionage am Hotspot
Daten-Spionage am Hotspot
So sichern Sie Ihr Facebook-Profil Mit einer Spionage-App ist es möglich, sich in fremde Facebook-Accounts einzuwählen. stern TV erklärt hier Schritt für Schritt, wie Sie Ihr Profil dagegen sichern können.
Datensicherheit
Datensicherheit
Datensicherheit
Datensicherheit
So schützen Sie Ihr Yahoo-Postfach Wie Sie Ihr Yahoo-Postfach mit nur wenigen Klicks schützen können, erfahren Sie hier.