30. März 2022 Gehackt im öffentlichen WLAN: Eine Erste-Hilfe-Anleitung

Über öffentliche WLAN-Netzwerke können Cyberkriminelle sensible Daten von Userinnen und Usern abgreifen. Was zu tun ist, wenn Sie gehackt wurden, erfahren Sie hier in einer Schritt-für-Schritt-Anleitung.

Öffentliche WLAN-Netzwerke sind bequem: Sie sind kostenlos an vielen Orten im öffentlichen Raum verfügbar, zum Beispiel in Cafés, Bibliotheken, Flughäfen, Zügen und Bussen. Ihre Nutzung ist jedoch mit Risiken für Userinnen und User verbunden. Hackerinnen und Hacker können öffentlich zugängliche WLAN-Hotspots ausnützen, um den Datenverkehr einer Userin oder eines Users auszuspionieren oder Schadprogramme auf ein mit dem Netzwerk verbundenes Gerät einzuschleusen.

Ist es Cyberkriminellen erst einmal gelungen, eine Nutzerin oder Nutzer innerhalb eines WLAN-Netzwerkes zu täuschen und deren Datenverkehr mitzulesen, bemerken Betroffene davon oft nichts. Erst wenn die Bank wegen verdächtiger Kreditkartenzahlungen anruft, das E-Mail-Konto gesperrt ist oder Freundinnen und Freunde darauf aufmerksam machen, dass seltsame Links über den Messenger-Dienst verschickt werden, wird oft klar, dass man gehackt und Opfer eines Cyber-Angriffs wurde. In diesem Beitrag erfahren Sie, was zu tun ist, wenn Sie in einem öffentlichen WLAN-Netzwerk gehackt wurden und schnelles Handeln zur Schadensreduktion gefragt ist.

Risiken öffentlicher WLAN-Netzwerke

Öffentliche WLAN-Hotspots bieten eine große Angriffsfläche für Hackerinnen und Hacker, die innerhalb desselben Netzwerkes auf ungesicherte Geräte zugreifen können. Sicherheitsrisiken können dabei vor allem durch gefälschte WLAN-Zugriffspunkte und durch eine unzureichend verschlüsselte Datenübertragung entstehen.

Als sichere Verschlüsselungsprotokolle für WLAN-Netzwerke gelten heute beispielsweise WPA2 und WPA3. Für öffentliche WLAN-Netzwerke kommen oftmals jedoch ältere Verschlüsselungsstandards (WPA, WEP) zum Einsatz, die nur unzureichenden Schutz vor Hackerinnen und Hackern bieten. Zudem verzichten Betreiberinnen und Betreiber häufig auf eine Verschlüsselung des WLANs, wodurch der Datenverkehr auch von Unbefugten leicht abgegriffen werden kann.

Gefälschte Pseudo-Netzwerke

Gefälschte Zugriffspunkte für öffentliche WLAN-Netzwerke werden im Rahmen sogenannter Man-in-the-Middle-Angriffe (MitM) durchgeführt. Der Pseudo-Hotspot der Angreiferin beziehungsweise des Angreifers gibt sich dabei fälschlich als ein vertrautes Heimnetzwerk oder ein bekanntes öffentliches Netzwerk aus, das über die automatische Netzwerksuche des Geräts angeboten wird. Klicken Userinnen oder User auf das gefälschte Netzwerk anstatt sich mit dem echten WLAN zu verbinden, stellt ihr Gerät eine Verbindung mit dem gefälschten Hotspot her. Ohne es zu wissen, kommunizieren sie zunächst mit dem Netzwerk der Angreiferin oder des Angreifers, die oder der ihre Daten ausliest und an die trügerische Hotspot-Verbindung weiterleitet.

Da das Pseudo-Netzwerk eine echte Internetverbindung herstellt, wird der Angriff häufig nicht bemerkt. Cyberkriminelle können in weiterer Folge den gesamten Datenverkehr zwischen den Nutzerinnen und Nutzern sowie den Servern der von ihnen besuchten Websites mitlesen („Sniffing“) und manipulieren.

Dadurch verschaffen sich Cyberkriminelle den Zugriff auf das E-Mail-Konto ihrer Opfer, Bankinformationen oder Zugangsdaten für wichtige Online-Dienste. Freie und ungesicherte WLAN-Netzwerke können zudem auch genutzt werden, um Malware (Schadprogramme) zu verbreiten beziehungsweise infizierte Software auf anderen Geräten einzuschleusen. Ist der Zugangspunkt infiltriert, kann beim Verbindungsaufbau beispielsweise ein Pop-up-Fenster mit vermeintlicher Werbung angezeigt werden. Dahinter versteckt sich eine Schadsoftware, die sich durch einen Klick auf das Fenster unbemerkt installiert.

Was zu tun ist, wenn man gehackt wurde: Erste-Hilfe-Anleitung

Zunächst gilt es zu klären, was angegriffen wurde – dabei sind zwei verschiedene Arten des Hackings denkbar: Entweder hat die Angreiferin oder der Angreifer das Gerät kompromittiert oder aber einen Account der Userin beziehungsweise des Users (zum Beispiel E-Mail, Social Media, Cloud) ist betroffen. Im schlimmsten Fall treffen sogar beide Szenarien zu.

Schritt 1: Verbindung trennen/Gerät abschalten

Um weiteren Schaden zu verhindern, müssen Sie zunächst Ihr Gerät vom Internet beziehungsweise vom Netzwerk trennen. Dies gilt vor allem, wenn Ihr Gerät durch ein Schadprogramm infiziert wurde. Hiermit verhindern Sie die weitere Ausbreitung der Malware, wodurch keine weiteren IT-Geräte in Ihrem Netzwerk mit dem Schadprogramm befallen werden können. Außerdem wird somit sichergestellt, dass keine Daten mehr an die Angreiferinnen oder Angreifer über das Internet gesendet werden. Beachten Sie zudem, dass am Rechner angeschlossene Festplatten oder USB-Sticks ebenfalls infiziert sein können. Überprüfen Sie mithilfe eines seriösen Antiviren-Programms, ob Ihr Gerät mit einer Malware infiziert wurde. Gehen Sie außerdem auf Nummer sicher und lassen sich das Ergebnis von einer IT-Technikerin oder einem IT-Techniker bestätigen.

Schritt 2: Zugangsdaten ändern

Wenn Ihr Account gehackt wurde, müssen Sie alle Online-Konten durch neue und starke Passwörter absichern. Priorisieren sollten Sie hierbei sämtliche Konten, für die Sie dieselbe E-Mail-Adresse oder dasselbe Passwort verwenden. Richten Sie außerdem überall, wo es möglich ist und noch nicht geschehen ist, eine Zwei-Faktor-Authentifizierung ein. Wurde beispielsweise ein Social-Media-Account gehackt, können Sie den jeweiligen Support kontaktieren und dort den gehackten Account melden. Nach erfolgter Authentifizierung der Inhaberin oder des Inhabers erhalten Betroffene den Zugriff auf ihr Benutzerkonto zurück. Wenn Sie anschließend wie gewohnt Ihre Online-Dienste nutzen, achten Sie auf fragwürdige Account-Aktivitäten oder Warn-E-Mails zu verdächtigen Anmeldungen.

Schritt 3: Dritte informieren

Ein kompromittiertes E-Mail- oder Social-Media-Konto wird häufig dazu genutzt, im Namen der Betroffenen weitere Personen aus der Kontaktliste mit infizierten Nachrichten zu kontaktieren. Für die Schadensbegrenzung ist es daher wichtig, Personen aus der Kontaktliste des gehackten Accounts über einen anderen Kommunikationskanal zu informieren beziehungsweise frühzeitig zu warnen. Melden Sie den Hackerangriff außerdem Anbietern, bei denen Sie sensible Daten – beispielsweise Zahlungsinformationen in Onlineshops – hinterlegt haben und informieren Sie sich, ob hier verdächtige Aktionen in ihren Accounts zu erkennen sind. Dies ist besonders wichtig, wenn sich die Angreiferinnen oder Angreifer Zugang zu jenem E-Mail-Konto verschaffen konnten, mit dem diese Accounts verknüpft sind.

Wurde der Firmenlaptop beziehungsweise ein unternehmenseigenes Gerät gehackt, sollten Betroffene umgehend ihren Arbeitgeber beziehungsweise die IT-Abteilung des Unternehmens informieren.  

Schritt 4: Bereinigen und beobachten

Das gehackte IT-System sollte zunächst ausgeschaltet bleiben. Wenn Sie das Gerät wieder gefahrlos verwenden wollen, sollten Sie es von einer IT-Technikerin beziehungsweise einem IT-Techniker bereinigen lassen. Je nach Art und Schwere der Kompromittierung kann das System nach dem Löschen und Formatieren des Speichers neu installiert werden. Ist eine Sicherheitskopie beziehungsweise ein Backup vorhanden und wurde dieses zweifelsfrei vor dem Angriff erstellt, kann dieses anschließend eingespielt werden.