Die Sicherheit jeder WLAN-Verbindung steht und fällt mit dem verwendeten Verschlüsselungsprotokoll. Es ist wichtig, den Unterschied zwischen veralteten und modernen Standards zu verstehen.

Während das uralte WEP-Protokoll heute binnen Sekunden geknackt werden kann und in keiner Konfiguration mehr auftauchen sollte, ist WPA2 (Wi-Fi Protected Access 2) nach wie vor der weltweite Standard. Es nutzt eine starke AES-Verschlüsselung, die im Alltag als sicher gilt. Allerdings hat WPA2 eine Schwachstelle im sogenannten „Handshake“ – dem Moment, in dem sich Gerät und Router auf ein Passwort einigen. Hier waren in der Vergangenheit Attacken möglich (Stichwort: KRACK).

Die Zukunft gehört daher WPA3. Dieser neue Standard schließt die Lücken des Vorgängers durch ein Verfahren namens SAE (Simultaneous Authentication of Equals).

Der entscheidende Vorteil: Selbst wenn ein Nutzer ein vergleichsweise schwaches Passwort für sein WLAN wählt, verhindert WPA3, dass Angreifer dieses Passwort offline durch reines Ausprobieren (Brute-Force-Attacken) erraten können. Wer kann, sollte im Router daher auf „WPA2/WPA3 Mixed Mode“ oder, wenn alle Geräte es unterstützen, auf reines WPA3 umstellen.

Öffentliche WLAN-Netze in Hotels, Zügen oder Cafés sind praktisch, aber aus technischer Sicht „untrusted Networks“ (nicht vertrauenswürdige Netzwerke). Wer sie nutzen muss, sollte mehrere Verteidigungslinien aufbauen.

Der wichtigste Schutz ist ein VPN (Virtual Private Network). Ein VPN baut einen verschlüsselten Tunnel durch das unsichere öffentliche WLAN auf. Selbst wenn ein Hacker im selben Café sitzt und den Datenverkehr mitschneidet („Sniffing“), sieht er nur einen unlesbaren Datenstrom. Der Endpunkt dieses Tunnels ist ein sicherer Server des VPN-Anbieters oder sogar der eigene Router zu Hause.

Zusätzlich sollten Sie die automatische Verbindungsfunktion deaktivieren. Smartphones senden permanent Suchanfragen („Probe Requests“) aus, um bekannte Netzwerke zu finden. Das verrät nicht nur, wo Sie schon einmal waren (z. B. „WLAN_Firma_Mueller“, „Hotel_Paris“), sondern macht das Gerät auch anfällig für die oben beschriebenen Evil-Twin-Angriffe. Löschen Sie daher regelmäßig alte WLAN-Profile oder deaktivieren Sie die Funktion „Automatisch verbinden“ für öffentliche Netze.

Ein oft übersehener Punkt ist das Tracking. Um zu verhindern, dass Kaufhäuser oder Flughafenbetreiber Bewegungsprofile von Ihnen erstellen, nutzen moderne Smartphones randomisierte MAC-Adressen. Das bedeutet, das Handy gibt sich gegenüber jedem WLAN mit einer neuen, zufälligen Hardware-Adresse aus, statt seine echte, unveränderliche Kennung zu zeigen. Diese Funktion sollte unter Android und iOS stets aktiviert bleiben.

Eine häufig diskutierte Frage unter sicherheitsbewussten Anwendern ist, ob man das WLAN am Smartphone zu Hause deaktivieren sollte, um potenzielle Angriffsflächen zu minimieren.

Warum die dauerhafte Verbindung zu Hause sicher ist

Im Gegensatz zu öffentlichen Hotspots haben Sie im Heimnetzwerk die volle Kontrolle über die Umgebung („Trusted Environment“). Wenn Ihr Router auf dem aktuellen Softwarestand ist und durch ein starkes, individuelles Passwort sowie WPA2/WPA3-Verschlüsselung geschützt ist, ist das Risiko eines Angriffs von außen verschwindend gering. Ein Hacker müsste sich physisch in der Nähe Ihres Hauses befinden und dann gezielt versuchen, Ihre Verschlüsselung zu brechen – ein Aufwand, der für Durchschnittsnutzer extrem unwahrscheinlich ist.

Der Begriff „Netzwerk-Segmentierung“ klingt kompliziert, das Prinzip dahinter ist jedoch simpel. Stellen Sie sich Ihr Heimnetzwerk wie ein Wohnhaus vor.

Das Szenario ohne Segmentierung (Der „Tag der offenen Tür“)

In einem normalen Heimnetzwerk sind alle Geräte im selben „Raum“. Ihr Laptop, das Smartphone, der smarte Kühlschrank und die Überwachungskamera befinden sich alle im Wohnzimmer.

• Das Problem: Wenn ein Einbrecher (Hacker oder Virus) durch ein unsicheres Fenster (z. B. eine billige smarte Glühbirne oder eine verseuchte App auf dem Handy) hereinklettert, steht er mitten im Zimmer. Er kann sofort zum Schreibtisch gehen, wo Ihr PC mit den Bankdaten steht, oder zum Schrank mit den privaten Fotos (NAS-Laufwerk). Es gibt keine Hindernisse.

Das Szenario mit Segmentierung (Das „Gästehaus-Prinzip“)

Bei der Netzwerk-Segmentierung zieht Ihr Router eine massive Wand ein. Er teilt das Netzwerk in zwei (oder mehr) voneinander getrennte Bereiche auf:

• Das Haupt-Netzwerk (Der Tresorraum): Hier befinden sich nur Ihre vertrauenswürdigen, kritischen Geräte (PC, Laptop, Datenspeicher/NAS).
• Das Gäste-Netzwerk (Der Wintergarten): Hier befinden sich Geräte, die zwar Internet brauchen, aber nicht auf Ihre sensiblen Daten zugreifen müssen (Smarte Lampen, Staubsaugerroboter, die PlayStation und eben auch das Smartphone).

Wie funktioniert das technisch?

• Der Router fungiert als Türsteher.
• Richtung Internet: Der Router erlaubt beiden Räumen (Haupt-Netz und Gäste-Netz), nach draußen ins Internet zu gehen. Sie können also im Gäste-WLAN problemlos surfen, streamen und chatten.
• Richtung Innen: Der Router blockiert rigoros jeden Versuch eines Geräts aus dem „Wintergarten“ (Gäste-WLAN), die Tür zum „Tresorraum“ (Haupt-Netz) zu öffnen.

WLAN-Sicherheit erfordert eine differenzierte Betrachtungsweise. In der Öffentlichkeit gilt das Prinzip „Zero Trust“: Misstrauen Sie jedem offenen Netzwerk und nutzen Sie konsequent VPN-Dienste sowie Tracking-Schutz.

In den eigenen vier Wänden hingegen überwiegt der Nutzen einer stabilen WLAN-Verbindung deutlich das theoretische Risiko. Solange der Router gut konfiguriert ist, können und sollten Sie das WLAN am Smartphone eingeschaltet lassen, um Updates und Backups zu gewährleisten. Wer das Sicherheitsniveau auf die Spitze treiben möchte, nutzt die Segmentierung über ein Gäste-Netzwerk, statt auf Komfort zu verzichten.