Ist öffentliches WLAN ohne VPN sicher?

Domainnamen: bei einem Besuch von `nytimes.com` enthüllt das SNI-Feld im TLS-Handshake die Domain, auch wenn URL-Pfad und Inhalt verschlüsselt bleiben. Wer passiv mitlauscht, sieht die Liste der besuchten Sites.

DNS-Lookups: meist noch unverschlüsselt, sofern Sie nicht DNS-over-HTTPS oder DNS-over-TLS aktiviert haben. Die ganze Liste jeder Site, die Ihr Gerät abfragt, ist sichtbar.

App-Verkehr ohne TLS: 2026 selten, aber nicht null — manche Legacy-Apps und IoT-Geräte senden Tokens oder Telemetrie noch im Klartext.

Ein Angreifer richtet eine SSID `Hilton-Guest` neben dem echten Hotel-WLAN ein. Ihr Gerät verbindet sich mit dem stärksten Signal. Der Angreifer-Kasten sieht nun all Ihr DNS, kann Ihnen gefälschte Captive-Portal-Seiten ausliefern, die Anmeldedaten verlangen, und MITM auf alles, was Zertifikate nicht strikt pinned.

Ein VPN unterbindet das vollständig: selbst in einem feindlichen Netz sieht der Angreifer nur verschlüsselten Verkehr zur IP Ihres VPN-Anbieters.

Drei konkrete Vorteile in öffentlichem WLAN: er verbirgt DNS-Lookups vom Netz, er verbirgt den SNI-Domain-Strom, und er macht Evil-Twin-Angriffe zwecklos, weil Sie aus dem lokalen Netz heraustunneln, bevor Sie irgendetwas anderes tun.

Praktischer Rat: behandeln Sie öffentliches WLAN als nicht vertrauenswürdig, nutzen Sie ein VPN, wenn Sie sich anmelden, und sonst verlassen Sie sich auf HTTPS — das heute die meiste Arbeit erledigt.