Zum Hauptinhalt springen

Öffentliches WLAN: So schützen Sie sich in offenen Netzwerken

Wie Sie in öffentlichem WLAN sicher bleiben. Echte Risiken offener Netze, wie Angreifer sie ausnutzen, und welche Werkzeuge Ihre Daten schützen.

Zuletzt aktualisiert: 5. April 2026

Kostenloses WLAN in Cafés, Flughäfen, Hotels und Bibliotheken ist praktisch — und wirklich gefährlich. Öffentliche Netze sind systembedingt unsicher: Sie werden mit Fremden geteilt, sind oft unverschlüsselt und geben Angreifern leichten Zugang, Ihren Verkehr zu beobachten oder abzufangen. Branchenstudien zeigen, dass rund ein Viertel aller öffentlichen WLAN-Hotspots gar keine Verschlüsselung verwendet — und selbst verschlüsselte öffentliche Netze teilen das Passwort mit jedem verbundenen Nutzer. Dieser Leitfaden behandelt die echten Risiken öffentlicher WLANs, die konkreten Angriffe, denen Sie ausgesetzt sind, und praktische Schritte zu Ihrem Schutz — einschließlich des Grundes, warum ein VPN die wirksamste Einzelmaßnahme ist.

Risiken in öffentlichem WLAN

Man-in-the-Middle-Angriffe (MITM)

Bei einem MITM-Angriff positioniert sich ein Angreifer zwischen Ihrem Gerät und dem WLAN-Access-Point und fängt den gesamten Verkehr ab. In unverschlüsselten Netzen kann er E-Mails lesen, Anmeldedaten erfassen, Finanztransaktionen einsehen und Webseiten in Echtzeit manipulieren. Selbst auf HTTPS-Seiten können raffinierte MITM-Angriffe mit Werkzeugen wie SSLstrip Verbindungen herabstufen. Ein VPN macht MITM-Angriffe wirkungslos, weil der gesamte Verkehr Ihr Gerät bereits verschlüsselt verlässt.

Evil-Twin-Angriffe

Ein Angreifer richtet einen gefälschten Hotspot mit dem gleichen Namen wie ein legitimer ein — „Starbucks_WiFi" oder „Airport_Free" — und wartet, bis sich Geräte automatisch verbinden. Sobald verbunden, läuft Ihr Verkehr über das Gerät des Angreifers, der alles online verfolgt. Ihr Telefon kann sich automatisch mit Evil Twins verbinden, wenn Sie vorher mit einem Netz gleichen Namens verbunden waren. Solche Angriffe sind mit frei verfügbaren Tools trivial umsetzbar.

Paket-Sniffing

In offenen (unverschlüsselten) WLAN-Netzen kann jeder mit Tools wie Wireshark allen Verkehr mitlesen. Dazu zählen unverschlüsselte HTTP-Anfragen, E-Mail-Inhalte, FTP-Zugangsdaten und DNS-Abfragen, die zeigen, welche Seiten Sie besuchen. HTTPS schützt zwar Inhalte, aber Sniffing verrät Metadaten — welche Domains, wann und wie oft. Ein VPN verschlüsselt alle Pakete, sodass mitgeschnittene Daten unlesbar bleiben.

Session-Hijacking (Sidejacking)

Nach dem Login auf einer Website speichert Ihr Browser ein Session-Cookie, das Sie authentifiziert hält. In öffentlichem WLAN kann ein Angreifer dieses Cookie per Sniffing erfassen und sich als Sie ausgeben — er greift auf Ihre E-Mails, Social Media oder andere Konten zu, ohne Ihr Passwort zu kennen. Auch wenn HTTPS-Cookies während des Transports geschützt sind, markieren nicht alle Websites Cookies korrekt als „secure-only". Besonders effektiv ist Session-Hijacking in Netzen, in denen ein Angreifer MITM-Position hat.

Malware-Verbreitung

Angreifer im selben Netz können Schwachstellen in Dateifreigabeprotokollen ausnutzen, bösartige Inhalte in unverschlüsselte Seiten einschleusen oder gefälschte Software-Update-Aufforderungen senden. Bei aktivierter Dateifreigabe oder AirDrop können Angreifer schädliche Dateien direkt zustellen. Manche fortgeschrittene Angriffe nutzen kompromittierte Router, um JavaScript-Miner einzuspeisen oder Downloads auf manipulierte Versionen umzulenken. Halten Sie OS und Apps aktuell, deaktivieren Sie Dateifreigaben in öffentlichen Netzen und nehmen Sie nie unerwartete Dateiübertragungen an.

So schützen Sie sich

Öffentliches WLAN muss nicht gefährlich sein, wenn Sie die richtigen Vorkehrungen treffen. Diese sechs Schritte senken Ihr Risiko in jedem offenen Netz deutlich:

  1. Verwenden Sie ein VPN — die einzelne wirksamste Maßnahme. Ein VPN verschlüsselt allen Verkehr, der Ihr Gerät verlässt, sodass niemand im Netz mitlesen kann. Selbst wenn ein Angreifer Pakete erfasst, sieht er nur verschlüsselte Daten. Aktivieren Sie das VPN vor der WLAN-Verbindung und nutzen Sie den Kill-Switch, der den Verkehr blockiert, falls das VPN abreißt. Proton VPN und NordVPN bieten beide Auto-Connect für unsichere Netze.
  2. Prüfen Sie HTTPS auf jeder Website — achten Sie auf das Schloss-Symbol in der Adressleiste. Geben Sie niemals Passwörter, Zahlungs- oder persönliche Daten auf HTTP-Seiten (ohne HTTPS) ein. Erwägen Sie die HTTPS Everywhere-Erweiterung oder den HTTPS-Only-Modus Ihres Browsers. HTTPS verschlüsselt die Verbindung Browser–Website, ein VPN bietet umfassenderen Schutz für alle Anwendungen.
  3. Deaktivieren Sie Auto-Verbindungen zu WLAN-Netzen in den Geräteeinstellungen. So verbindet sich Ihr Telefon oder Laptop nicht automatisch mit zuvor bekannten Namen, die Evil-Twin-Netze sein könnten. Auf iOS: Einstellungen > WLAN und Auto-Verbinden für öffentliche Netze ausschalten. Auf Android: Einstellungen > Netzwerk > WLAN-Einstellungen und automatische Wiederverbindung deaktivieren.
  4. Vergessen Sie öffentliche WLANs nach Gebrauch. Ihr Gerät merkt sich verbundene Netze und wählt sie in Reichweite automatisch erneut. Entfernen Sie aus der Liste der gespeicherten Netze jeden öffentlichen Hotspot — Cafés, Flughäfen, Hotels. Damit verhindern Sie, dass Ihr Gerät sich mit Netzen verbindet, die Sie nicht aktiv wählen.
  5. Aktivieren Sie die Firewall Ihres Betriebssystems und deaktivieren Sie Dateifreigaben. Unter macOS: Systemeinstellungen > Netzwerk > Firewall aktivieren. Unter Windows: Sicherstellen, dass die Windows-Defender-Firewall aktiv ist. Schalten Sie AirDrop, In-der-Nähe-Teilen und Netzwerkerkennung in öffentlichen Netzen aus. Diese Funktionen sind für vertraute Netze gedacht und schaffen in öffentlichen Angriffsflächen.
  6. Aktivieren Sie Zwei-Faktor-Authentifizierung auf allen wichtigen Konten. Selbst wenn ein Angreifer Ihr Passwort im öffentlichen WLAN erbeutet, verhindert 2FA den Zugriff ohne den zweiten Faktor. Verwenden Sie eine Authenticator-App (Google Authenticator, Authy) statt SMS. Siehe unseren vollständigen 2FA-Leitfaden für die Einrichtung.

Warum ein VPN in öffentlichem WLAN unverzichtbar ist

Ein VPN ist das einzelne wirksamste Werkzeug für die Sicherheit in öffentlichem WLAN. Es verschlüsselt allen Verkehr zwischen Ihrem Gerät und dem VPN-Server mit AES-256 (oder ChaCha20-Poly1305 bei WireGuard) — denselben Algorithmen, die HTTPS und TLS 1.3 schützen, weit über jede plausible Brute-Force-Bedrohung hinaus. Damit werden MITM-Angriffe, Paket-Sniffing und Session-Hijacking in einem Zug neutralisiert. Moderne VPNs wie Proton VPN und NordVPN enthalten Kill-Switches, die jeden Internetverkehr blockieren, falls die VPN-Verbindung abreißt — selbst eine kurzzeitige Bloßstellung wird verhindert. Auto-Connect kann das VPN aktivieren, sobald Sie ein unsicheres Netz betreten. Wählen Sie für den besten Schutz ein VPN mit WireGuard-Unterstützung (schnellster), auditierter No-Logs-Politik und DNS-Leak-Schutz.

  • Verschlüsselt allen Verkehr mit AES-256 oder ChaCha20, sodass Daten in geteilten Netzen unlesbar sind
  • Kill-Switch blockiert allen Verkehr bei VPN-Abbruch — keine kurzzeitige Bloßstellung
  • Auto-Connect aktiviert das VPN beim Wechsel in unsichere Netze
  • DNS-Leak-Schutz sorgt dafür, dass DNS-Abfragen im verschlüsselten Tunnel bleiben

Mythen über öffentliches WLAN

„HTTPS macht öffentliches WLAN sicher"

HTTPS verschlüsselt die Verbindung zwischen Ihrem Browser und einer bestimmten Website, schützt aber nicht den gesamten Verkehr. DNS-Anfragen laufen oft unverschlüsselt und verraten, welche Seiten Sie besuchen. Andere Apps nutzen möglicherweise unverschlüsselte Protokolle. HTTPS verhindert nicht, dass ein Angreifer Verbindungs-Metadaten sieht oder Verkehr von Nicht-HTTPS-Diensten abfängt. Ein VPN bietet umfassenden Schutz, den HTTPS allein nicht erreicht.

„Passwortgeschütztes WLAN ist sicher"

Ein WLAN-Passwort verhindert unbefugten Beitritt — aber alle, die das Passwort haben, teilen denselben Schlüssel. In WPA2-Personal-Netzen (üblich an den meisten öffentlichen Orten) kann jeder mit dem Passwort den Verkehr anderer entschlüsseln. Auch WPA3-Netze schützen, obwohl verbessert, nicht vollständig vor anderen authentifizierten Nutzern im selben Netz. Das Passwort hält Außenstehende fern — vor Insidern schützt es Sie nicht.

„Ich habe nichts, was sich in öffentlichem WLAN zu stehlen lohnt"

Vielleicht geben Sie keine Kreditkartennummern ein, aber Angriffe in öffentlichem WLAN erbeuten weit mehr als Finanzdaten. E-Mail-Zugang ermöglicht Passwort-Resets für jedes verknüpfte Konto. Social-Media-Logins ermöglichen Identitätsmissbrauch und Social Engineering. Session-Cookies erlauben Zugang ohne Passwort. Browser-Verlauf und DNS-Abfragen offenbaren Interessen, Gesundheits- und politische Themen. Selbst harmlos wirkende Daten werden aggregiert wertvoll. Jeder hat etwas, das es zu schützen gilt.

Fazit

Öffentliches WLAN ist systembedingt unsicher, muss aber nicht gemieden werden — es muss klug genutzt werden. Ein VPN ist das wichtigste Einzelwerkzeug für die Sicherheit in öffentlichem WLAN: Es verschlüsselt allen Verkehr und neutralisiert die häufigsten Angriffe. Kombinieren Sie es mit HTTPS-Bewusstsein, deaktiviertem Auto-Connect, 2FA für wichtige Konten und grundlegender Netzwerkhygiene — dann können Sie jedes WLAN bedenkenlos nutzen. Die eigentliche Gefahr ist nicht das öffentliche WLAN selbst — sondern es ohne Schutz zu verwenden.

Häufig gestellte Fragen

Ja, ein VPN macht öffentliches WLAN deutlich sicherer. Es verschlüsselt den gesamten Datenverkehr, der Ihr Gerät verlässt, sodass niemand im Netzwerk Ihre Daten lesen kann. Bei aktivem VPN werden MITM-Angriffe, Paket-Sniffing und Session-Hijacking unwirksam, weil der Angreifer nur verschlüsselte Daten sieht. Für maximalen Schutz aktivieren Sie das VPN vor der Verbindung zum öffentlichen Netz und lassen den Kill-Switch aktiv, um Leaks zu verhindern, falls das VPN kurz abreißt.

Ja, öffentliches WLAN setzt Sie mehreren Angriffsvektoren aus. Ohne Schutz können Angreifer im selben Netzwerk unverschlüsselten Verkehr abfangen, Anmeldedaten erfassen, Session-Cookies stehlen und Schadsoftware auf Ihr Gerät einschleusen. Das Risiko ist auf offenen Netzen (ohne Passwort) am höchsten, aber auch passwortgeschützte öffentliche Netze sind verwundbar, da alle Nutzer denselben Schlüssel teilen. Ein VPN, aktuelle Software und die obigen Schutzschritte senken Ihr Risiko auf nahezu null.

Wenn Sie kein VPN haben, ist Mobilfunk (4G/5G) deutlich sicherer als öffentliches WLAN. Mobilfunkverbindungen sind zwischen Ihrem Telefon und dem Mast verschlüsselt, und jeder Nutzer hat einen eigenen verschlüsselten Kanal — anders als geteiltes WLAN. Allerdings kann Ihr Mobilfunkanbieter Ihre Aktivität trotzdem sehen. Ideal ist jedes Netz (auch öffentliches WLAN) mit einem VPN — das liefert starke Verschlüsselung unabhängig von der Verbindungsart.

Ohne VPN sollten Sie sich nicht in E-Mail, Banking oder andere Konten mit sensiblen Daten einloggen. Geben Sie keine Kreditkartennummern oder andere persönliche Daten ein. Greifen Sie nicht auf Arbeitsressourcen zu. Laden Sie keine Dateien herunter und akzeptieren Sie keine Software-Update-Aufforderungen. Besuchen Sie keine HTTP-Seiten (ohne HTTPS). Kurz: Wenn Sie es nicht auf eine Postkarte für Fremde schreiben würden, übertragen Sie es nicht über ungeschütztes öffentliches WLAN.

Der Flugmodus deaktiviert alle Funkmodule inklusive WLAN — wenn WLAN aus ist, können Sie nicht über WLAN angegriffen werden. Allerdings kann man auf den meisten Geräten WLAN im Flugmodus wieder aktivieren, was diesen Schutz aufhebt. Der Flugmodus ist kein praktisches Sicherheits-Werkzeug — er trennt Sie schlicht von allem. Ein VPN ist die bessere Lösung, weil Sie damit sicher verbunden bleiben.

Hotel-WLANs sind öffentliche Netze mit denselben Risiken wie jedes andere öffentliche WLAN — sie wirken nur sicherer, weil Sie in einem privaten Zimmer sitzen. Das Netz wird mit jedem Gast, Mitarbeiter und jeder Person geteilt, die das Passwort bekommt. Manche Hotels betreiben veraltete Hardware mit bekannten Schwachstellen. Geschäftsreisende werden gezielt angegriffen, weil ihre Geräte oft wertvolle Firmendaten enthalten. Nutzen Sie im Hotel immer ein VPN und behandeln Sie das Netz so vorsichtig wie ein Café- oder Flughafennetz.