Öffentliches WLAN 2026: Was wirklich gefährlich ist
Security & Privacy

Öffentliches WLAN 2026: Was wirklich gefährlich ist

Die meisten klassischen WLAN-Warnungen waren schon vor zehn Jahren überholt. Was HTTPS heute tatsächlich schützt, was nicht, und wo an Flughäfen und in Cafés die wirklichen Risiken liegen.

BROWSER.LOL
12.02.2026
20 Min. Lesezeit
Teilen

„Gib im Café-WLAN bloss keine Kreditkartendaten ein." Der Satz ist zehn Jahre alt und steht trotzdem immer noch in jedem Reiseratgeber. Dahinter steckt das Bild vom Hacker mit Laptop am Nebentisch, der dein Banking abfängt. 2011 war das realistisch, 2026 ist es praktisch ausgeschlossen. Der eigentliche Gegner im öffentlichen WLAN sieht heute anders aus. Er hat es meistens gar nicht auf dein Gerät abgesehen, sondern darauf, dass du selbst irgendwo das Falsche eintippst.

Mythen und echte Risiken auseinanderzuhalten lohnt sich wirklich. Die meisten Warnungen drehen sich um ein Problem, das HTTPS und die moderne Plattformsicherheit längst gelöst haben. Andere Risiken (Captive Portals, Evil-Twin-Netze, Geräte-Scanner) gibt es dagegen weiterhin, egal ob du gerade am Gate sitzt oder zu Hause.

Was HTTPS schon heute für dich erledigt

Mehr als 95 Prozent des Web-Traffics laufen inzwischen über HTTPS. Zwischen deinem Browser und dem Server steht also eine verschlüsselte Verbindung, die niemand im selben Netz mitlesen kann. Passwörter, Kreditkartendaten, Chats, Mails, für den Hacker am Nebentisch ist das alles nur unleserlicher Bytesalat.

Moderne Browser bauen darauf noch eine Schicht obendrauf. Chrome und Firefox warnen bei unverschlüsselten Login-Feldern. Strict Transport Security (HSTS) zwingt vertraute Seiten dazu, ausschliesslich über HTTPS aufzumachen, damit ein Angreifer dich nicht auf HTTP herunterstufen kann. DNS-over-HTTPS verschlüsselt sogar die Anfrage, welche Seite du gerade aufrufst.

Damit fällt der klassische „Man in the Middle im Café" auf so gut wie jeder realistischen Seite weg. Worauf du achten musst, ist, dass du Zertifikatswarnungen nicht aktiv wegklickst. Ein beherzter Klick auf „Trotzdem fortfahren" reisst all diese Schutzschichten auf einmal ein.

Die echten Risiken auf öffentlichem WLAN

Ein WLAN-Signalsymbol mit drei abzweigenden Pfeilen, jeder Pfeil endet bei einem anderen Risikosymbol (gefälschte Login-Seite, Captive Portal, Geräte-Scan)

Captive-Portal-Phishing. Flughäfen, Hotels und Bahnhöfe blenden eine Anmeldeseite ein, auf der du die WLAN-Bedingungen abnickst. Ein Angreifer baut diese Seite nach und fragt dort nach deiner Mailadresse oder gleich nach einem Login zu deiner Hotelbuchung. Das ist kein technischer Angriff, das ist Social Engineering, und es funktioniert hervorragend, weil im WLAN-Popup einfach keiner auf die URL schaut.

Angriffe auf offene Ports. Wenn dein Laptop oder dein Handy Dienste nach aussen anbietet (Dateifreigaben, Drucker, SSH), sehen die anderen Geräte im selben WLAN das mit. Die meisten Betriebssysteme stellen öffentliches WLAN automatisch auf „Öffentliches Profil" und blocken solche Dienste. Wer das umkonfiguriert oder vergisst zurückzustellen, lädt die Nachbarn quasi zum Portscan ein.

DNS-Hijacking in billigen Routern. Nicht jeder Café-Router ist sauber konfiguriert. Manche leiten DNS-Anfragen auf Werbefilter um, andere im schlimmsten Fall auf manipulierte DNS-Server. Ohne DNS-over-HTTPS kann dein Gerät für einzelne Domains so plötzlich die falsche IP bekommen.

Abgefischte Logins auf HTTP-Seiten. Das sind heute Randfälle, aber so manche interne Firmen-App, Router-Weboberfläche oder billiger IoT-Dienst läuft immer noch ohne Verschlüsselung. Wer sich dort aus einem öffentlichen Netz einloggt, sollte zumindest wissen, was er tut.

Evil-Twin-Netze und wann sie funktionieren

Ein Evil Twin ist ein WLAN-Zugangspunkt, der sich wie ein echter ausgibt (oft mit demselben oder einem sehr ähnlichen Namen, etwa „Starbucks_Free") und mit einem stärkeren Signal sendet, damit dein Gerät sich automatisch dort einklinkt. Der Angreifer sieht dann zwar alles, was du raussendest, das ist aber mit aktivem HTTPS erstmal nicht besonders aufregend.

Richtig gefährlich wird der Evil Twin, sobald er mit einem Captive Portal kombiniert wird, das dich zur Installation eines Zertifikats auffordert, oder dich auf eine nachgebaute Login-Seite eines bekannten Dienstes umleitet. In dem Moment, in dem du händisch ein Zertifikat des Angreifers installierst, ist dein TLS-Sicherheitsmodell hinüber. Solche Aufforderungen lehnst du grundsätzlich ab.

Der zweite gefährliche Fall sind Apps, die Zertifikate nicht sauber prüfen, also kein Certificate Pinning machen oder mit den System-Trust-Chains zu lax umgehen. Die grossen Apps sind inzwischen meistens in Ordnung, ältere Apps und Spezialsoftware aus dem Unternehmensumfeld dagegen oft nicht.

Wo ein VPN hilft und wo nicht

Ein Laptop mit einer gestrichelten Tunnelform, die aus dem WLAN-Symbol herauskommt und zu einem Serversymbol führt

Ein VPN nimmt die Kontrolle über deine Verbindung dem Café-Router weg und gibt sie an einen anderen Anbieter weiter. Das hilft, wenn du dem lokalen Netz nicht über den Weg traust oder Geoblockaden umgehen willst. HTTPS ersetzt es nicht, und gegen Captive-Portal-Phishing nützt es ebenfalls nichts, weil die Phishing-Seite noch vor dem VPN-Tunnel sitzt.

Eine isolierte Browser-Session ergänzt das genau dort, wo du einzelne Seiten aufrufst, denen du nicht traust, oder dich irgendwo einloggst und Angst hast, in ein nachgebautes Captive Portal zu tappen. Der Browser läuft dann nicht auf deinem Gerät, sondern in der Cloud, und du bekommst nur das Bild gestreamt. Ein gefälschtes Zertifikat im Evil-Twin-Netz trifft dann den Cloud-Browser und nicht dein Gerät. Den vollständigen Vergleich findest du in Virtual Browsers vs VPNs.

Praktische Regeln, die wirklich zählen

Statt der alten Schreckensliste hier die kurze Version, die 2026 funktioniert.

  1. 1

    Öffentliches WLAN auf „Öffentlich“ stehen lassen

    Keine Dateifreigaben, keine Dienste, die nach aussen lauschen. Wenn das Betriebssystem fragt, antwortest du mit „Öffentlich“.
  2. 2

    Zertifikatswarnungen nie wegklicken

    Sagt der Browser, die Verbindung sei nicht privat, steigst du aus. Kein öffentliches Netz ist ein schnelles „Trotzdem fortfahren“ wert.
  3. 3

    Niemals ein WLAN-Zertifikat installieren

    Echte Café- und Flughafen-Portale verlangen so etwas nicht. Wenn ein Portal auf einer CA-Installation besteht, ist es ein Angreifer.
  4. 4

    VPN für den Komfort, isolierter Browser für Logins

    Ein VPN hebt dein Grundniveau gegen neugierige Netze an. Sensible Logins laufen zusätzlich in einem isolierten Browser, der nach der Session wieder verschwindet.

Desktop-Power, auf jedem Gerät?

Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.

Desktop-Browser starten

Kein Download nötig • Läuft auf jedem Gerät

Über 250'000 Profis sind schon dabei
Volle Desktop-Kompatibilität
Sofort einsatzbereit

Neueste Beiträge

Alle Beiträge
Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben
Sicherheit & Privatsphäre

Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben

Gegen diese drei hilft kein Cookie-Löschen. So entstehen Canvas-Hashes, WebGL-Renderer-Strings und AudioContext-Signaturen, und so leakt selbst Tor noch einen davon.

17.05.2026Weiterlesen
Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst
Sicherheit & Privatsphäre

Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst

Manche Angriffe im Browser kommen ganz ohne Malware aus. Sie tauschen den Inhalt eines unbenutzten Tabs aus oder schieben einen echten Button unter einen gefälschten, und du gibst deine Zugangsdaten selbst preis. So funktionieren diese UI-Tricks.

19.03.2026Weiterlesen
Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt
Sicherheit & Privatsphäre

Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt

Wallet-Drainer brauchen deine Seed Phrase nicht. Sie bringen dich dazu, eine Transaktion zu unterschreiben, die mit einem Klick alles überträgt. So funktioniert die Masche, und so signierst du sicher.

05.03.2026Weiterlesen