Zurück zum Blog
Bedrohungsanalyse·14 Min. Lesezeit

Public-WiFi-Angriffe 2026 — was wirklich passiert und was dagegen hilft

"Kein öffentliches WLAN nutzen" war 2015 ein guter Ratschlag. 2026 sieht die Bedrohungslage anders aus — die meisten Angriffe, die vor zehn Jahren funktionierten, werden heute durch HTTPS, HSTS und moderne Betriebssystem-Schutzmaßnahmen abgewehrt. Einige funktionieren aber noch immer, und manche sind sogar einfacher geworden als früher. Hier ist die ehrliche, aktuelle Karte dessen, was in feindlichen Netzwerken tatsächlich passiert.

Von Casper's Cloak Security Team

Die Kurzfassung: Die klassische Bedrohung aus dem Jahr 2015 – „Jemand im Café-WLAN kann deine Passwörter lesen“ – ist größtenteils Geschichte. HTTPS ist überall, HSTS-Preload schützt die großen Seiten, und SSL-Strip-Angriffe haben eine viel kleinere Angriffsfläche als früher. Doch drei Angriffskategorien funktionieren 2026 nach wie vor, und die Angreifer haben sich angepasst: Evil-Twin-Rogue-APs (ein Netzwerk, dem du vertraust, wird nachgeahmt und dein Gerät verbindet sich automatisch), Captive-Portal-Ausbeutung (die Splash-Page, die deine E-Mail-Adresse abfragt oder Malware verbreitet) und Traffic-Analyse auf Metadatenebene (verschlüsselt, aber beobachtbar: mit wem du kommunizierst, wann, wie oft, wie viel). Die Maßnahmen, die wirklich helfen, sind: ein echter VPN-Tunnel (nicht nur DNS), MAC-Randomisierung aktiviert lassen, unaufgeforderte Captive-Portal-Anmeldeanfragen ignorieren und die Sicherheitsstandards, die Apple/Google standardmäßig mitliefern.

Was in einem typischen feindlichen Netzwerk wirklich passiert

Ein „feindliches Netzwerk“ muss nicht zwingend bedeuten, dass das Café böswillig ist. Es bedeutet meistens, dass eines oder mehrere der folgenden Szenarien zutreffen:

  • Der legitime Netzwerkbetreiber sammelt Daten über verbundene Geräte (sehr verbreitet im Einzelhandel, etwas weniger in Hotels) für Marketing oder Analysen.
  • Ein anderer Gast betreibt Beobachtungswerkzeuge im selben Subnetz (seltener als früher, aber mit Hardware für 200 € trivial umsetzbar).
  • Ein Angreifer betreibt in der Nähe einen Rogue Access Point mit derselben SSID wie ein vertrautes Netzwerk, in der Hoffnung, dass dein Gerät sich automatisch verbindet.
  • Das Captive Portal liefert bösartige Inhalte — entweder Ad-Injection (lästig), Credential-Phishing (schädlich) oder Malware-Push (selten, aber schwerwiegend).

Für die meisten Menschen spielt keines davon im Alltag eine nennenswerte Rolle — HTTPS-Verschlüsselung schützt aktive Sitzungen, und moderne Betriebssystem-Standards behandeln die offensichtlichen Fälle. Problematisch wird es, wenn du lange genug in einem Netzwerk bist, sodass ein geduldiger Angreifer warten kann, wenn du ein Captive-Portal blind akzeptierst oder wenn sich dein Gerät automatisch mit einem Netzwerk verbindet, das du für dein Heimnetz hältst, es aber nicht ist.

Angriff 1 — Evil Twin (Rogue Access Points)

Was es ist: Ein Angreifer bringt einen mobilen Access Point (ein WiFi Pineapple oder einfach ein Laptop mit der richtigen Software) in die Nähe eines Ziels. Er sendet eine SSID aus, die einem Netzwerk entspricht, mit dem das Gerät des Ziels schon einmal verbunden war — „attwifi“, „xfinitywifi“, „Starbucks WiFi“, der Name deines Heimnetzwerks — und zwar mit einem stärkeren Signal als das legitime Netzwerk (oder das legitime Netzwerk ist gar nicht in Reichweite).

Dein Gerät, das in deiner Tasche liegt, verbindet sich automatisch, weil es eine „bekannte“ SSID sieht. Jetzt ist der Angreifer das Netzwerk: Er sieht deine DNS-Anfragen (und deinen unverschlüsselten Datenverkehr, obwohl davon nicht mehr viel übrig ist), kann Captive-Portal-Aufforderungen einblenden und weitere nachgelagerte Angriffe versuchen.

Stand 2026: Funktioniert noch immer, mit Anpassungen. iOS 14+ und Android 10+ implementieren beide Private MAC Address — dein Gerät präsentiert jeder SSID eine andere MAC-Adresse, was netzwerkübergreifendes Tracking erschwert. Das verhindert jedoch nicht das automatische Verbindungsverhalten; der Angreifer braucht deine echte MAC nicht, er braucht nur, dass sich dein Gerät verbindet. Mehr gebracht hat, dass iOS 16+ explizit vor Netzwerken mit schwacher Sicherheit (offen, WEP, WPA-only) warnt und Nutzer zunehmend davon abhält, sich automatisch zu verbinden; Android 13+ macht Ähnliches.

Was hilft: Deaktiviere „Automatisch verbinden“ für öffentliche Netzwerke (Einstellungen → WLAN → Netzwerk antippen → Automatisch verbinden deaktivieren bei iOS; ähnlicher Pfad bei Android mit leichten UI-Unterschieden). Auf Netzwerken, mit denen du dich verbindest, bedeutet ein VPN-Tunnel, dass der Angreifer-als-Netzwerk nur verschlüsselte Bytes sieht — er kann deinen Datenverkehr nicht lesen, keine Inhalte einschleusen und kein Captive-Portal-Credential-Phishing erfolgreich durchführen (weil dein Browser bei einem Zertifikatsfehler warnt, wenn er es versucht).

Angriff 2 — Captive-Portal-Ausbeutung

Was es ist: Die Splash-Page, die erscheint, wenn du dich im Hotel-, Flughafen- oder Café-WLAN anmeldest („Bedingungen akzeptieren zum Fortfahren“). Die Portalseite wird vom Authentifizierungssystem des Netzwerks bereitgestellt und ist von Natur aus das erste, was dein Gerät in diesem Netzwerk sieht — bevor dein VPN aufgebaut werden kann, bevor HTTPS-Warnungen einen Kontext haben, bevor du wirklich weißt, wer sie ausliefert.

Drei Varianten, wie dies ausgenutzt wird:

  • Credential Harvesting: Die Splash-Page fragt nach deiner E-Mail-Adresse und einem Passwort „zur Authentifizierung“. Viele Menschen geben dasselbe Passwort ein, das sie für andere Konten verwenden. Der Angreifer hat nun E-Mail + Passwort aus deinem üblichen Wiederverwendungsmuster.
  • Drive-by-Malware-Push: Die Splash-Page verlinkt auf „deinen kostenlosen Kaffee-Gutschein“, bei dem es sich um einen bösartigen App-Download handelt. Die meisten modernen Browser warnen; mobile Nutzer tippen Warnungen häufiger weg als Desktop-Nutzer.
  • Erhebung persönlicher Daten: Die Splash-Page fragt nach deiner Telefonnummer „für die Verbindung“ und du gibst sie an. Jetzt ist sie in einer Marketingdatenbank, die oft weiterverkauft wird.

Stand 2026: Captive-Portal-Phishing ist häufiger geworden, nicht seltener. Die Schutzmaßnahmen auf Betriebssystemebene (Private MAC, VPN) helfen hier nicht, weil der Nutzer die Daten freiwillig eingibt. Verbessert hat sich, dass iOS 17+ und Android 14+ Captive Portals in einem abgesicherten Mini-Browser anzeigen, der Exfiltrationswege einschränkt — aber die Daten, die der Nutzer eingibt, werden trotzdem übermittelt.

Was hilft: Gib niemals ein Passwort, das du anderswo verwendest, in ein Captive Portal ein. Gib niemals eine Telefonnummer ein, die du für irgendetwas Wichtiges nutzt. Behandle Captive Portals standardmäßig als feindlich. Wenn ein Netzwerk eine „Registrierung“ mit substanziellen Informationen verlangt, geh weg und nutze die nächste Stunde lang das Mobilfunknetz. Casper's KI-Bedrohungserkennung bewertet Captive-Portal-Domains genauso wie SMS-Phishing — bekannte bösartige Portale werden markiert, bevor du irgendetwas eintippst.

Angriff 3 — Traffic-Analyse auf Metadatenebene

Was es ist: Selbst wenn dein Datenverkehr verschlüsselt ist (HTTPS, TLS, jedes moderne Protokoll), kann ein Beobachter im selben Netzwerk noch immer sehen, mit wem du kommunizierst, wann, wie oft und wie viele Daten fließen. Der Inhalt bleibt unlesbar, aber ein Profil deines Verhaltens lässt sich trotzdem erstellen.

In einem feindlichen WLAN bedeutet das:

  • Der lokale Betreiber kann sehen, dass du deine Bank, deinen Gesundheitsanbieter oder deine Dating-App besuchst — auch wenn er nicht sieht, was du dort tust.
  • Muster im Datenverkehrsvolumen verraten, was du machst (Video-Streaming hat eine charakteristische Form; Messaging eine andere; Banking eine weitere).
  • DNS-Anfragen (sofern nicht über DoH/DoT/DNS-over-VPN) verraten Hostnamen-Ziele.
  • TLS Server Name Indication (SNI) hat historisch das Ziel verraten, selbst wenn DNS verschlüsselt war — Encrypted Client Hello (ECH) schließt diese Lücke ab 2025–2026.

Stand 2026: Die ECH-Verbreitung ist bedeutsam (Cloudflare hat es Ende 2024 standardmäßig aktiviert, große Browser unterstützen es in stabilen Versionen), aber die Abdeckung ist lückenhaft. Für Sites, die ECH nicht aktiviert haben, verrät SNI noch immer das Ziel. Selbst mit ECH ist das IP-Verbindungsziel noch immer beobachtbar, und IP-zu-Dienst-Zuordnungen sind öffentlich — eine Verbindung zu einem IP-Cluster im Besitz von Meta verrät dem Beobachter, dass du WhatsApp oder Instagram genutzt hast, selbst wenn alles verschlüsselt ist.

Was hilft: Ein vollständiger VPN-Tunnel. Dein Datenverkehr verlässt das lokale Netzwerk mit Ziel einer einzigen IP (dem VPN-Endpunkt); das lokale Netzwerk kann sehen, dass du ein VPN verwendest, aber nichts darüber hinaus. Dies ist der einzig wirklich effektive Schutz gegen Traffic-Analyse in feindlichen Netzwerken. Reiner DNS-Schutz (NextDNS, Cloudflare 1.1.1.1) hilft beim DNS-Abfragekanal, adressiert aber nicht SNI oder IP-Beobachtung — dafür braucht man den Tunnel. Unser Deep-Dive zu den Grenzen der DNS-Filterung behandelt genau diese Lücke.

Angriffe, die größtenteils nicht mehr funktionieren

Drei klassische Public-WiFi-Bedrohungen, über die 2015-Ratgeber ausführlich schrieben, die aber 2026 weitgehend gelöst sind:

SSL Strip / SSL Split

sslstrip (Moxie Marlinspikes Tool von 2009) degradierte HTTPS auf HTTP im Netzwerk und schrieb Formulare um — jahrelang ein Café-Klassiker. Heute: HSTS-Preload deckt praktisch jede Site ab, die Anmeldedaten verarbeitet (Banken, E-Mail-Anbieter, soziale Netzwerke usw.). Browser weigern sich, Preload-Domains herabzustufen. Sites ohne HSTS existieren, verarbeiten aber selten etwas, was ein Angreifer lesen wollte.

ARP Spoofing für allgemeine MITM-Angriffe

ARP Spoofing in einem gemeinsamen Subnetz ermöglicht es einem Angreifer, sich zwischen dein Gerät und das Gateway zu schalten. Funktioniert noch immer für das LAN-Segment, aber was er bekommt, ist verschlüsselter Datenverkehr — dasselbe Problem wie beim Traffic-Analyse-Angriff oben. Die erhoffte Ausbeute „Passwörter lesen“ ist weg, sofern der Angreifer nicht auch TLS brechen kann, was ihm bei Preload-Sites typischerweise nicht gelingt.

DNS Spoofing im lokalen Netzwerk

Ein feindlicher Netzwerkbetreiber kann falsche DNS-Antworten auf abgefragte Hostnamen zurückgeben und dich auf Phishing-Klone umleiten. Das war effektiv, als DNS unverschlüsselt und TLS-Zertifikate leicht zu fälschen waren. Heute: Certificate Transparency Logs und HSTS-Preload bedeuten, dass der Phishing-Klon ein gültiges Zertifikat für die Zieldomain beschaffen müsste (für populäre Sites extrem schwierig) — und DNS-over-HTTPS / DNS-over-TLS / VPN-geroutetes DNS unterbrechen das Spoofing jeweils auf DNS-Ebene. Funktioniert noch für unkundige Nutzer auf kleinen, unbekannten Sites; für den durchschnittlichen Verbraucher selten ein Problem.

Plattform-Standards: Was jedes Betriebssystem für dich tut

iOS / iPadOS

  • Private MAC Address standardmäßig für neue SSIDs seit iOS 14
  • Warnungen für WPA2-und-ältere Netzwerke (Hinweis auf WPA3) seit iOS 16
  • Automatisches Verbinden pro SSID steuerbar
  • iCloud Private Relay (iCloud+-Abonnenten) verschlüsselt Safari-Datenverkehr — sieh dir unseren Private-Relay-Deep-Dive an, was abgedeckt ist und was nicht
  • VPN-on-Demand-Unterstützung, um Casper automatisch bei nicht vertrauenswürdigen SSIDs auszulösen

Android

  • Private MAC Address (als „Zufällige MAC-Adresse verwenden“ bezeichnet) standardmäßig seit Android 10
  • Private DNS (DoT) nativer Support seit Android 9
  • VPN-Routing pro App (flexibler als iOS)
  • „Gespeicherte Netzwerke prüfen“-Warnungen seit Android 13 — Alarm, wenn eine bekannte SSID ein anderes Sicherheitsprofil hat als zuvor (potenzieller Evil Twin)
  • Bedrohungserkennung auf Netzwerkebene in Play Protect

macOS

  • Private Wi-Fi Address seit macOS Sequoia (Parität mit iOS)
  • iCloud Private Relay (iCloud+)
  • Integrierte Firewall + Tarnmodus (standardmäßig deaktiviert — sieh unseren macOS-Datenschutzleitfaden)
  • FileVault-Verschlüsselung (Standard auf neuen Macs)

Praktischer Ablauf: Was du beim Verbinden mit dem Café-WLAN wirklich tun solltest

  1. Bestätige die SSID beim Betreiber. „Wie heißt euer WLAN?“ — eine 3-Sekunden-Überprüfung, die die meisten Evil-Twin-Angriffe vereitelt. Der gefälschte AP hat meistens einen Namen, der dem legitimen ähnelt, aber nicht identisch ist.
  2. Akzeptiere das Captive Portal, ohne wesentliche Daten einzugeben. „Bedingungen akzeptieren“ — in Ordnung. „E-Mail + Passwort eingeben“ — Tab schließen, Mobilfunk nutzen. „Telefonnummer eingeben“ — nur, wenn du darauf vertraust, dass die Daten nicht verkauft werden.
  3. Schalte dein VPN ein, bevor du irgendetwas Sensibles tust. Manche Setups (Casper's iOS-App, NetworkExtension-Auto-Trigger) erledigen das automatisch, wenn du einem neuen Netzwerk beitrittst. Das Zeitfenster zwischen dem Beitreten des Netzwerks und dem VPN-Aufbau ist der Moment, in dem Traffic-Analyse-Angriffe am meisten ausgesetzt bist; minimiere ihn.
  4. Verbinde dich für künftige Besuche nicht automatisch, es sei denn, du vertraust dem Betreiber. Der 5-Sekunden-Aufwand, jedes Mal manuell beizutreten, ist die 0,01-%-Wahrscheinlichkeit eines Evil-Twin-Angriffs an diesem Ort in der Zukunft wert.
  5. Deaktiviere Bluetooth / AirDrop, wenn du sie nicht brauchst, in wirklich feindlichen Netzwerken. Das sind separate Angriffsflächen gegenüber WLAN, die aber oft gleichzeitig angegriffen werden.
  6. Vergiss das Netzwerk, wenn du gehst. Einstellungen → WLAN → Netzwerk antippen → Vergessen. Reduziert die Exposition durch zukünftiges automatisches Verbinden.

Wann ist ein VPN wirklich notwendig und wann nur sinnvoll?

Ehrlich gesagt: Bei einem typischen 5-minütigen Café-Besuch mit E-Mail und Slack über HTTPS-Dienste ist die praktische Bedrohung gering. Die TLS-Schutzmaßnahmen leisten die eigentliche Arbeit. Ein VPN bietet Defense-in-Depth, aber du wirst meistens nicht sichtbar angegriffen, wenn du keines hast.

Die Fälle, in denen ein VPN wirklich einen Unterschied macht:

  • Feindliche internationale Netzwerke (Hotel-WLAN im Ausland in Ländern mit aktiver staatlicher Überwachung oder bekannt feindliche Konferenznetzwerke).
  • Lange Sitzungen im selben Netzwerk (stundenlang aus einem Café arbeiten, mehrtägiger Hotelaufenthalt) — gibt Angreifern Zeit und ein stationäres Ziel.
  • Netzwerke unbekannter Herkunft (das WLAN in einem kleinen Büro, das Netzwerk in einem kleinen Airbnb, Konferenz-WLAN von unbekannten Betreibern).
  • Bei sensiblen Aktivitäten — auf Gesundheitsdaten zugreifen, echte Bankgeschäfte erledigen, alles, worüber du nicht möchtest, dass ein Beobachter ein Profil erstellt.
  • Um Traffic-Analyse-Profiling durch den Netzwerkbetreiber zu verhindern, der fast immer zumindest Metadaten protokolliert.

Für diese Fälle ist ein echter VPN-Tunnel (nicht nur DNS-Filterung) die richtige Maßnahme. Casper's Bedrohungsschutz-Layer kombiniert den WireGuard-Tunnel mit KI-basierter Zero-Day-Phishing-Erkennung, Blocklist-Filterung und App-bezogenen Routing-Kontrollen. Der Tunnel ist aktiv; die Verschlüsselung ist Ende-zu-Ende; das lokale Netzwerk sieht verschlüsselte Bytes und sonst nichts.

Was ist mit dem Handy-Hotspot im Vergleich zu öffentlichem WLAN?

Der Hotspot deines Handys (Mobiles Tethering) ist deutlich sicherer als zufälliges öffentliches WLAN, weil:

  • Du das einzige Gerät darauf bist (keine anderen Gäste, die Beobachtungswerkzeuge betreiben)
  • Der Mobilfunkanbieter der einzige vorgelagerte Betreiber ist (eine bekannte Entität, reguliert, auf Metadatenebene generell vertrauenswürdig)
  • Die Verschlüsselung dein WPA3-Setup ist, das du kontrollierst
  • Es vergänglich ist — keine anhaltende Exposition, wenn du dich bewegst

Der Nachteil ist der Datenverbrauch. Bei datenschutzsensiblen Sitzungen (Banking, Gesundheit, sensible Arbeit) ist Tethering generell ein besserer Standard als Hotel-/Café-WLAN — besonders wenn du kein VPN konfiguriert hast. Die meisten Mobilfunkanbieter schließen in modernen Tarifen etwas Hotspot-Volumen ein; prüfe das, bevor du dich für längere Sitzungen darauf verlässt.

Fazit

Öffentliches WLAN ist 2026 kein Katastrophengebiet wie 2015, und der Standardratschlag „Benutze nie öffentliches WLAN“ passt zunehmend nicht mehr zum tatsächlichen Bedrohungsmodell. Die pragmatische Sichtweise für 2026: HTTPS schützt den Inhalt deines Datenverkehrs; was weiterhin exponiert bleibt, sind die Metadaten, das Captive Portal und die Auto-Join-Angriffsfläche. Ein VPN schließt die Metadaten- und Traffic-Analyse-Lücke. Captive-Portal-Disziplin (keine Passwörter oder E-Mails eingeben) schließt die Phishing-Lücke. SSID-Verifikation vor dem Verbinden behandelt den Evil-Twin-Fall.

Wenn du all das automatisiert haben möchtest — VPN aktiv, Bedrohungserkennung aktiv, DNS-Filterung aktiv, App-bezogenes Routing wo du es brauchst — genau das macht Casper in jedem Netzwerk, dem du beitrittst. Kostenlose Testversion, Apps für iPhone, Mac und Android.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

Schutz für Café- und Hotel-WLAN, vollautomatisch

Casper's Cloak betreibt einen dauerhaft aktiven WireGuard-Tunnel mit KI-basierter Zero-Day-Phishing-Erkennung bei jeder Verbindung. iOS/Mac/Android-Apps, App-bezogenes Routing, keine manuelle Konfiguration beim Beitreten eines neuen Netzwerks.