Stell dir vor, du sitzt im Café und öffnest dein Online-Banking. Am Nachbartisch sitzt jemand mit einem Laptop, auf dem ein Programm namens Ettercap oder Bettercap läuft. Dieses Programm hat deinen Mac bereits davon überzeugt, dass der eigene Laptop das Gateway des Routers ist – ARP-Spoofing. Alles, was du sendest, geht durch seinen Rechner.
Das klingt dramatisch. Und in bestimmten Netzwerken ist es ein reales Risiko. Die Wahrheit ist aber differenzierter als „öffentliches WLAN = gefährlich".
Drei echte Angriffe – und was sie jeweils brauchen
ARP-Spoofing / Man-in-the-Middle
Funktioniert in unverschlüsselten Netzwerken (oder wenn der Angreifer denselben WLAN-Schlüssel kennt). Der Angreifer stellt sich zwischen dein Gerät und den Router. Was er sieht: Deinen gesamten unverschlüsselten Traffic. Was er nicht sieht: HTTPS-Inhalte – die sind end-to-end verschlüsselt, auch wenn der Angreifer in der Mitte sitzt. Er sieht dann nur: Zeitpunkt, Ziel-Domain, Datenmenge.
Evil Twin
Ein Angreifer erstellt einen WLAN-Hotspot mit demselben Namen wie der echte – „Café_Free_WiFi" mit einem besseren Signal. Dein Gerät verbindet sich automatisch. Dann läuft der gesamte Traffic durch sein Gerät. Schutz durch VPN: Ja – wenn das VPN sich automatisch beim Verbinden aktiviert (Always-on VPN). Wenn du erst verbindest und dann manuell das VPN startest, gibt es ein Zeitfenster ungeschützter Verbindung.
SSL-Stripping
Ein älterer Angriff: Wenn du bank.de eintippst (nicht https://bank.de),
könnte ein Angreifer in der Mitte dich zur HTTP-Version umleiten, während er selbst HTTPS zur Bank hält.
Du siehst kein Schlosssymbol. Moderne Browser zeigen bei HTTP eine Warnung –
und HSTS (HTTP Strict Transport Security) verhindert das bei allen Banken und Google-Diensten.
Dieser Angriff ist 2026 weitgehend obsolet.
Kurze Risikoeinschätzung
| Szenario | Risiko | VPN hilft? | HTTPS hilft? |
|---|---|---|---|
| Öffentliches Café-WLAN, browsing | Mittel | ✓ | ✓ |
| Flughafen/Hotel-WLAN | Mittel | ✓ | ✓ |
| Passwort-Login ohne HTTPS | Hoch | ✓ | ✓ |
| Evil Twin Hotspot | Hoch | ✓ (mit Always-on) | Teilweise |
| Normales HTTPS-Browsing ohne VPN | Gering | – | ✓ |
Wann ein VPN im öffentlichen WLAN wirklich nötig ist
Für reines HTTPS-Browsing bei bekannten Diensten (Google, Banking, Social Media) schützt HTTPS bereits gut. Was ein VPN zusätzlich bringt:
- Metadaten: HTTPS verschlüsselt Inhalte, aber nicht Ziel-Domains. Mit VPN sieht der Netzwerkbetreiber nur: Verbindung zu VPN-Server. Nicht: welche Seiten du aufrufst.
- Unverschlüsselte Apps: Nicht jede App nutzt HTTPS. Ältere Apps, IoT-Geräte, bestimmte Spiele – die kommunizieren manchmal unverschlüsselt.
- ISP-Protokollierung im Hotel: Hotel-WLANs protokollieren oft DNS-Anfragen und Verbindungsziele. Das betrifft auch HTTPS-Traffic auf Metadatenebene.
- Dein eigenes Sicherheitsgefühl: Wer sensible Arbeit unterwegs erledigt, fühlt sich mit VPN zurecht sicherer. Perfektion ist hier nicht nötig – konsistenter Schutz schon.
Always-on VPN: Warum der Autostart entscheidend ist
Das schwächste Glied bei öffentlichem WLAN und VPN ist das Zeitfenster zwischen WLAN-Verbindung und VPN-Start. In diesen Sekunden fließt Traffic ungeschützt.
ProtonVPN bietet dafür „Always-on VPN" + „Kill Switch": sobald das Gerät eine Netzwerkverbindung herstellt, startet das VPN automatisch. Schlägt der VPN-Start fehl, blockiert der Kill Switch jeden Traffic. Das ist die sicherste Konfiguration für Nutzer, die häufig zwischen Netzwerken wechseln.