Blog
VPN·12. März 2026·7 Min. Lesezeit

Ist das WLAN am Bahnhof 2026 wirklich gefährlich?

Man hört alles und das Gegenteil davon. Eine ehrliche Antwort, gestützt darauf, was HTTPS heute tatsächlich schützt – und was noch immer nicht.

ME
Mohamed ESSID
Gründer — Trasimène

Was HTTPS tatsächlich schützt

Seit 2018 ist HTTPS zum absoluten Standard des Webs geworden. Dank der Let's-Encrypt-Initiative und der Browser-Richtlinien (Chrome und Firefox kennzeichnen HTTP-Seiten als 'nicht sicher') sind über 95 % des weltweiten Web-Verkehrs über TLS verschlüsselt.

Diese Verschlüsselung schützt den Inhalt Ihrer Kommunikation Ende-zu-Ende: Ihre Passwörter, Bankkartendaten, Nachrichten und Dateien. Wer Ihren WLAN-Verkehr abfängt, sieht nur kryptografisches Rauschen – er kann nicht lesen, was Sie senden oder empfangen.

Öffentliches WLAN ist 2026 also grundsätzlich weniger gefährlich als 2015, was das direkte Abfangen von Daten betrifft. Die meisten alarmistischen Ratschläge, die Sie lesen, stammen aus einer Zeit, in der HTTP noch allgegenwärtig war.

Was es nicht schützt

HTTPS verbirgt keine Metadaten. In einem Netzwerk, das Sie nicht kontrollieren, kann ein Beobachter sehen, mit welcher Domain Sie sich verbinden (nicht die genaue URL, aber die Domain – dank der im Klartext sichtbaren SNI beim TLS-Handshake), zu welcher Uhrzeit, wie lange und wie viele Daten ausgetauscht werden. Diese Metadaten sind aufschlussreich.

Ein Angreifer im selben Netzwerk kann außerdem DNS-Spoofing betreiben, wenn Ihr Gerät kein DNS over HTTPS nutzt – indem er legitime DNS-Antworten durch Adressen ersetzt, die auf seine eigenen Server verweisen. Er kann einen gefälschten Hotspot mit exakt demselben Namen wie das legitime WLAN einrichten (Evil-Twin-Angriff), um Ihre Verbindungen abzufangen, bevor sie das Internet erreichen. Er kann auch SSL-Stripping bei den seltenen Seiten versuchen, die kein HSTS aktiviert haben.

Die realen Risiken 2026

In der Praxis sind die verbleibenden Risiken im öffentlichen WLAN 2026 die folgenden:

  • Evil Twin: ein betrügerisches WLAN-Netzwerk mit exakt demselben Namen wie das legitime – eine besonders an Flughäfen und großen Bahnhöfen verbreitete Technik. Sie verbinden sich mit dem scheinbar richtigen Netzwerk, aber Ihr Verkehr läuft über von einem Angreifer kontrollierte Geräte.
  • DNS-Spoofing, wenn Ihr Gerät DNS over HTTPS nicht erzwingt – Ihre DNS-Anfragen können auf bösartige Server umgeleitet werden.
  • Apps, die für einige Funktionen (Authentifizierung, Synchronisierung) noch reines HTTP verwenden – 2026 selten, aber existent.
  • Session-Hijacking auf Websites ohne korrekt konfigurierte Secure- und SameSite-Cookies.

Praktische Empfehlungen

In einem öffentlichen WLAN-Netzwerk bleibt es die beste Praxis, Ihr VPN vor jeder Verbindung zu aktivieren. Ein VPN eliminiert den Evil-Twin-Angriff (Ihr Verkehr wird verschlüsselt, bevor er Ihr Gerät überhaupt verlässt) und das DNS-Spoofing (Ihr VPN verwendet seine eigenen verschlüsselten DNS-Server).

Deaktivieren Sie die automatische WLAN-Verbindung auf Ihrem Telefon – das ist die Funktion, die Sie automatisch mit jedem Netzwerk verbindet, dessen Namen Sie bereits verwendet haben. Sie ist praktisch, wird aber von Evil-Twin-Angriffen ausgenutzt.

Prüfen Sie, ob sensible Seiten (Bank, E-Mail, Einkäufe) das HTTPS-Schloss in Ihrem Browser anzeigen, bevor Sie irgendetwas eingeben. Auf iOS und Android erzwingen seriöse Apps HTTPS nativ.

Trasimène aktiviert in ungesicherten Netzwerken automatisch die DNS-over-HTTPS-Filterung und warnt Sie, wenn ein verdächtiges Netzwerk erkannt wird (potenzieller Evil Twin).

Öffentliches WLAN ist weniger gefährlich als noch vor zehn Jahren, aber das ist kein Grund, die Wachsamkeit zu senken. Die verbleibenden Risiken – Evil Twin, DNS-Spoofing, falsch konfigurierte Apps – sind real und ausnutzbar. Mit aktiviertem VPN und DNS over HTTPS sind Sie gegen nahezu alle praktischen Angriffe in einem ungesicherten Netzwerk geschützt.

Quellen
  1. Google, "HTTPS encryption on the web", Google Transparency Report (accessed 2026)
  2. Emily Schechter, "A milestone for Chrome security: marking HTTP as 'not secure'", Google Chrome Blog, 2018
  3. Cloudflare, "Encrypt it or lose it: how encrypted SNI works", Cloudflare Blog, 2018
  4. P. Hoffman & P. McManus, "RFC 8484: DNS Queries over HTTPS (DoH)", IETF, 2018
  5. M. Souppaya & K. Scarfone, "NIST SP 800-153: Guidelines for Securing Wireless Local Area Networks (WLANs)", NIST, 2012
Trasimène — Mobile Sicherheit

Trasimène VPN aktivieren

Trasimène herunterladen →
Weiterlesen
Zurück zum Blog