Das Eintreffen am Veranstaltungsort ist umso angenehmer, wenn man gleich in den Genuss einer kostenlosen WLAN-Verbindung kommt. Noch besser, wenn dazu nicht mal ein Passwort eingegeben werden muss. Fragt sich nur, wer für die Annehmlichkeiten verantwortlich ist. Haben die Organisatoren versucht, den Teilnehmern ihren Aufenthalt so angenehm wie möglich zu gestalten? Oder steckt am Ende jemand dahinter, der gar nicht an der Planung beteiligt war und es stattdessen auf die persönlichen Daten der Besucher abgesehen hat?
Keine Frage, bei Hackern sind große Veranstaltungen beliebt. Kaum irgendwo sonst gibt es ähnlich günstige Voraussetzungen, um mit so wenig Aufwand an so viele Daten zu gelangen. Teilnehmer auf der Suche nach einem Internetzugang helfen dabei nichtsahnend mit.
Billige Tricks
Wenn die betrügerischen Netze so harmlos erscheinen, dann liegt das hauptsächlich daran, dass diese von außen betrachtet vertrauenswürdiger wirken als das echte Konferenz-WLAN. Es macht einen großen Unterschied, ob ein Netzwerk als „WLAN-78FKE128H“ oder als „Offiziell_Kongress2017“ in der Liste der verfügbaren Verbindungen auftaucht. Viele der Fake-Hotspots haben zusätzlich noch ein „Free“ im Namen und kommen deshalb besonders gut an. Manchmal erscheint auch der Name eines Sponsors im Titel. Die Wirkung ist dieselbe: Die Mehrzahl der Nutzer geht davon aus, dass sich dahinter nichts anderes als eine nette Geste des Veranstalters verbirgt. Immerhin wird es dadurch möglich, Mails zu lesen oder das eben aufgenommene Video sofort mit den Twitter-Followern zu teilen.
Weil das so selten jemand hinterfragt, legt es den Verdacht nahe, dass bei vielen alle Sicherheitsbedenken außer Acht gelassen werden, sobald irgendwo kostenloses WLAN zur Verfügung steht. Häufig ist die Frage nach einer Internetverbindung die erste, die sich Konferenzbesuchern bei der Ankunft vor Ort stellt. Ganz einfach deshalb, weil es längst zur Gewohnheit geworden ist, auch an öffentlichen Plätzen immer einen Hotspot in der Nähe zu haben. An vielen Bahnhöfen oder Flughäfen ist Gratis-WLAN Standard, dort allerdings meist nur für einen begrenzten Zeitraum. Wer länger braucht, muss ein kostenpflichtiges Paket dazu buchen. Erscheint bei der Konferenz kein entsprechender Hinweis nach dem Herstellen der Verbindung, ist das ein zusätzlicher Grund, die Netzwerke gerne zu nutzen.
Dass das wirklich getan wird, hat das IT-Sicherheitsunternehmen Avast gleich in mehreren Experimenten herausgefunden. Sowohl auf dem Flughafen in Barcelona, wo sich Interessierte für den einige Tage später stattfindenden Mobile World Congress 2016 registrieren konnten, als auch beim Parteikonvent der US-Republikaner im Juli richtete die Firma gezielt Fake-Hotspots ein. Beide Male trugen die Netzwerke Namen, die entweder einen direkten Bezug zur Veranstaltung hatten oder zumindest den Anschein der Seriosität erwecken sollten. Mehrere Tausend Personen sahen keinen Grund, an der Echtheit von Netzwerken mit den Namen „I VOTE TRUMP! FREE INTERNET“ oder „Google Starbucks“ zu zweifeln. Avast konnte daraufhin problemlos erkennen, welches Betriebssystem auf den Geräten der Nutzer läuft oder welche Dienste und Apps genutzt wurden. In mehr als der Hälfte der Fälle war es sogar möglich, die Identität des Nutzers zu bestimmen.
Abseits solcher Experimente ist das mittlerweile sogar im großen Stil zu beobachten. Bei den Olympischen Spielen 2016 in Rio etwa, als die Fake-Hotspots im gesamten Stadtgebiet verteilt waren.
Warum ist das so gefährlich?
Da sich der Angreifer genau in der Mitte zwischen dem Nutzer der WLAN-Verbindung und den aufgerufenen Websites befindet („Man-in-the-Middle-Attacke“), kann dieser ungehindert alle übermittelten Informationen einsehen. Nicht zuletzt stehen öffentliche Netze bei Hackern deshalb so hoch im Kurs, weil sie in kürzester Zeit Zugriff auf persönliche Daten sämtlicher Nutzer versprechen. Private Netzwerke sind vergleichsweise unattraktiv, da diese gewöhnlich nur von wenigen Personen genutzt werden.
Mit den so gewonnenen Daten lässt sich eine ganze Menge anstellen. Sobald der Angreifer im Besitz der übermittelten Passwörter ist, kann er auf die gesicherten Accounts zugreifen und etwa ein Bankkonto leerräumen oder die Online-Identität des Nutzers übernehmen. Nicht auszuschließen ist weiterhin, dass sich Hacker auf diese Weise sogar Zugang zu den Geräten der Konferenzteilnehmer beschaffen, um diese mit Malware zu infizieren oder auf persönliche Dokumente zuzugreifen. Sensible Daten, die nur Mitarbeitern eines Unternehmens bekannt sind, können somit auch für andere sichtbar werden.
Was können Veranstalter unternehmen?
Die am wenigsten aufwendige aller Lösungen für den Veranstalter wäre es hier, überhaupt kein Konferenz-WLAN anzubieten. Das könnte allerdings für Unmut unter den Teilnehmern sorgen und das nicht ganz zu Unrecht, schließlich dürften inzwischen die meisten davon ausgehen, vor Ort eine Internetverbindung vorzufinden. Betrüger haben dann außerdem besonders leichtes Spiel, einen vermeintlich offiziellen Hotspot einzurichten.
Dann gäbe es noch die Möglichkeit, die Teilnehmer das selbst regeln zu lassen. Mit Hilfe von Tethering richten Besucher eigene Hotspots über ihre mobile Internetverbindung ein und teilen diese mit mehreren Geräten. Viel sicherer ist das zwar auch nicht, liegt dafür aber nicht mehr im Verantwortungsbereich des Veranstalters. Hotspots lassen sich damit schnell einrichten, dennoch bleibt fraglich, ob am Ende wirklich jemand Tethering nutzt. Die meisten Mobilfunkverträge beinhalten kein unbegrenztes Datenvolumen und Besuchern aus dem Ausland ist schon alleine wegen der Roaming-Gebühren davon abzuraten.
Der beste Ansatz wäre es daher, alle rechtzeitig für das Problem zu sensibilisieren. Weisen Sie gleich in der Anmeldungsphase auf der Event-Website auf mögliche betrügerische Absichten hin. Bitten Sie die Teilnehmer, ausschließlich die offizielle Verbindung zu nutzen.
Ein fortgeschrittenes Verfahren ist darüber hinaus das Absichern des WLAN mit Hilfe von WPA-Enterprise und RADIUS. Möchte sich ein Nutzer mit dem Netzwerk verbinden, werden ein Nutzername und ein Passwort verlangt. Die Zugangsdaten werden anschließend an einen RADIUS-Server weitergeleitet, der die Authentifizierungsanfrage beantwortet und darüber entscheidet, ob ein Besucher Zugriff auf das Netzwerk erhält. Eine sichere Datenübertragung ist auch dann noch möglich, wenn alle Nutzer-Passwort-Kombinationen erlaubt werden, weil der Hotspot die individuelle Verschlüsselung pro Nutzer zulässt. Man-in-the-Middle-Attacken werden somit stark erschwert.
Wie können sich die Besucher schützen?
Etwas zum eigenen Schutz beitragen lässt sich schon vorher. Hilfreich ist es zum Beispiel, generell keine neuen WLAN-Verbindungen zu speichern. Während sich das Smartphone den Zugang für das Netzwerk zu Hause oder am Arbeitsplatz merken darf, sollte es sich nie selbstständig mit anderen, weniger häufig genutzten WLANs verbinden dürfen. Auch die automatische Synchronisierung von Apps und weniger häufig genutzten E-Mail-Postfächern sollte besser deaktiviert werden. Beim Besuch von Websites ist das grüne Sicherheitsschloss in der Adresszeile des Browsers unerlässlich, ansonsten ist die Verbindung nicht sicher. Die HTTPS Everywhere-Extension erledigt das automatisch.
Solange die Verbindung mit einem Fake-Hotspot besteht, kann einem Nutzer alles, was er eingibt, später zum Verhängnis werden. Deshalb am besten also weder Online-Banking noch Kreditkartengeschäfte vor Ort abwickeln. Auch die Eingabe von Passwörtern ist kritisch zu sehen, solange nicht eindeutig feststeht, dass das offizielle Konferenz-WLAN genutzt wird. Für E-Mail-Postfächer und soziale Netzwerke hilft zudem die Zwei-Faktor-Authentifizierung. Diese stellt sicher, dass nur der Kontoinhaber selbst auf seinen Account zugreifen kann, denn zusätzlich zum Passwort ist die Eingabe eines Sicherheitscodes erforderlich, der entweder per SMS zugeschickt oder mit Hilfe einer App erzeugt wird.
Obwohl sie keine Universallösung sind, sollten Antivirenprogramme und Firewalls standardmäßig auf Laptops und Smartphones vorhanden sein.
Noch besseren Schutz bieten VPN-Clients, mit denen sich der Nutzer in einem virtuellen privaten Netzwerk bewegt. Die Anwendung verbirgt die IP-Adresse des Geräts und sorgt für eine verschlüsselte Verbindung. Für Angreifer ist das umständlich. Wollen diese an die Daten kommen, müssten sie erst einen Weg finden, um die Verschlüsselung aufzuheben. Das ist durchaus manchmal noch möglich, erfordert aber sehr viel Zeit. Um VPN zu nutzen, müssen Besucher einer Konferenz nicht technisch versiert sein. Inzwischen existieren zahlreiche verschiedene Clients, die sich ganz einfach auf jedem Gerät installieren lassen. Neben einigen kostenpflichtigen Anwendungen gibt es auch leistungsstarke Gratis-Alternativen mit unbegrenztem Datenvolumen wie Opera VPN oder Turbo VPN.