Im Internet bin ich kürzlich auf eine Frage gestoßen, die ich sinngemäß so zusammenfassen würde: Kann das WLAN meines Nachbarn sehen, welche Webseiten ich besuche? Die dort gegebene Antwort war in etwa: „Ein WLAN selbst weiß nichts, aber ein Server in der Infrastruktur des Nachbarn könnte Seitenzugriffe speichern.“ Das ist nicht falsch – aber es greift deutlich zu kurz.
Ich möchte das in diesem Artikel auseinandernehmen, mit konkreten Beispielen, eigenen Packet Captures und dem, was ich täglich in meiner Arbeit als Wireless Network Engineer sehe.
| Situation | Sichtbar für Dritten im Monitoring Mode |
|---|---|
| Nicht verbunden, Gerät in Reichweite | MAC-Adresse, ggf. bekannte SSIDs |
| Offenes WLAN (kein Passwort) | DNS-Anfragen, SNI, HTTP-Inhalte vollständig |
| WPA2/WPA3-verschlüsselt, Passwort bekannt | DNS-Anfragen, SNI (ohne VPN) |
| WPA2/WPA3-verschlüsselt, Passwort unbekannt | Nur MAC-Adressen, Verbindungsstatus |
| Mit aktivem VPN | Nahezu nichts (verschlüsselter Tunnel) |
| Evil Twin (mit dem falschen AP verbunden) | DNS, SNI, HTTP-Inhalt, ggf. HTTPS via SSL Strip |
WLAN ist ein Shared Mediumm, jeder kann Pakete mitlesen
Bevor wir uns anschauen, was ein WLAN sehen kann, müssen wir verstehen, wie WLAN grundsätzlich funktioniert. WLAN ist ein Shared Medium: Alle Geräte in einem bestimmten Frequenzbereich teilen sich dieselbe Übertragungsstrecke. Im Gegensatz zu einem Kabel, das exklusiv zwischen zwei Geräten besteht, senden und empfangen im WLAN grundsätzlich alle. Die Signale unterliegung dabei der Materialdämpfung und der Freiraumdämpfung, welche entscheiden, wie weit ein WLAN-Signal empfangbar ist.
Das bedeutet: Jedes Gerät mit einer WLAN-Karte kann prinzipiell die Funksignale empfangen, die in seiner Umgebung gesendet werden. Auch die Signale von Geräten, die nicht mit dem eigenen Netz verbunden sind. Das 2,4-GHz-Band, das 5-GHz-Band und das 6-GHz-Band sind lizenzfreie Frequenzbänder, in denen jeder senden und empfangen darf. Es gibt keine physische Barriere, die verhindert, dass ein Gerät die Funkübertragungen anderer aufzeichnet.
Was damit möglich ist, hängt von der Verschlüsselung und dem Verbindungsstatus ab. Dazu gleich mehr.
Was passiert, bevor ihr mit einem WLAN verbunden seid?
Probe Requests: Euer Gerät verrät sich zuerst
Bevor eine Verbindung zu einem WLAN überhaupt zustande kommt, sendet euer Smartphone oder Laptop sogenannte Probe Requests aus. Das sind Broadcasts, die euer Gerät aktiv in die Luft schickt – mit der Frage: „Ist hier ein WLAN namens [SSID] in der Nähe?“
Diese Probe Requests sind vollständig unverschlüsselt und für jeden empfangbar, der sich im Monitoring Mode befindet. Monitoring Mode bedeutet: Die WLAN-Karte empfängt alle Frames auf einem Kanal, unabhängig davon, ob sie für das eigene Netz bestimmt sind oder nicht. Wie ich Probe Requests mit Airodump-ng filtere und auswerte, habe ich bereits in einem separaten Artikel beschrieben.
Was steckt in einem Probe Request?
- Die MAC-Adresse des sendenden Geräts
- Optional: Die SSIDs von Netzen, zu denen sich das Gerät bereits verbunden hat (Preferred Network List)
- Informationen über unterstützte Übertragungsraten
Das reicht bereits aus, um ein Gerät eindeutig zu identifizieren – zumindest, wenn es keine MAC-Adress-Randomisierung nutzt. Aktuelle iPhones und Android-Geräte randomisieren die MAC-Adresse bei Probe Requests seit einigen Jahren. Aber ältere Geräte, und auch viele IoT-Geräte, tun das nicht.
Wie Filialshops das bereits ausnutzen
Dieses Prinzip wird übrigens kommerziell genutzt: Retail-Chains und Einkaufszentren betreiben WLAN-Infrastruktur unter anderem deshalb, weil sie damit Besucherfrequenz und Wiederkehrerquoten messen können. Ein Aruba-Controller zeigt in der Client-Übersicht genau, welche Geräte sich wann in Reichweite eines Access Points befunden haben – auch ohne aktive Verbindung, allein durch die Auswertung von Probe Requests.
Der Weg zur Verbindung: Was beim Handshake passiert
Verbindet ihr euch mit einem WLAN, läuft ein Authentifizierungs- und Assoziierungsprozess ab – der sogenannte Handshake. Bei WPA2 und WPA3 werden dabei die Schlüssel für die verschlüsselte Kommunikation ausgehandelt.
Was in dieser Phase sichtbar ist:
- Management Frames (unverschlüsselt bei WPA2): Association Request, Authentication Frame, Beacon Frames des Access Points
- Die MAC-Adresse des Clients und des Access Points
- Die SSID des Netzwerks
- Unterstützte Verschlüsselungsverfahren und Fähigkeiten des Clients (RSN Information Element)
Was nicht sichtbar ist: Der eigentliche Schlüssel. Beim WPA2-4-Way-Handshake wird der Schlüssel nicht übertragen, sondern aus einem gemeinsamen Geheimnis (dem WLAN-Passwort) berechnet. Trotzdem: Wer den Handshake aufzeichnet, kann offline versuchen, das Passwort per Brute-Force zu erraten – das ist die Grundlage vieler WLAN-Angriffe.
Was ein fremdes WLAN sehen kann – und was nicht!
Szenario 1: Ihr seid nicht mit dem WLAN verbunden
Ihr lauft mit eurem Smartphone an einem fremden WLAN vorbei oder seid in dessen Reichweite. Verbunden seid ihr nicht.
Was ein Angreifer im Monitoring Mode sehen kann:
- Eure MAC-Adresse (sofern keine Randomisierung aktiv)
- Die SSIDs der Netze, die euer Gerät kennt (ältere Geräte)
- Wann ihr in Reichweite wart
Was er nicht sehen kann:
- Welche Webseiten ihr besucht
- Welche Apps ihr nutzt
- Irgendetwas aus eurem Datenverkehr
Szenario 2: Ihr seid in einem offenen WLAN (kein Passwort)
Das ist das kritischste Szenario. In einem offenen WLAN ohne Verschlüsselung – typisch für Hotspots in Cafés, Hotels oder Bahnhöfen, wenn kein individuelles Passwort vergeben wird – ist der gesamte Datenverkehr unverschlüsselt auf Layer 2 übertragbar.
Ich habe das selbst mit Wireshark in einem solchen Netz getestet. Mit den richtigen Wireshark-Filtern für WLAN lässt sich der Datenverkehr anderer Clients in einem offenen WLAN mitlesen.
Was sichtbar ist:
- DNS-Anfragen: Selbst wenn eine Webseite per HTTPS aufgerufen wird, wird die DNS-Anfrage (also die Namensauflösung von z.B. „www.beispiel.de“) standardmäßig unverschlüsselt übertragen. Das bedeutet: Die Domainnamen der besuchten Seiten sind sichtbar – auch wenn der Seiteninhalt verschlüsselt ist.
- HTTP-Seiteninhalt: Bei Webseiten ohne HTTPS (heute selten, aber noch vorhanden) ist der komplette Seiteninhalt lesbar – Formulareingaben, Loginseiten, alles.
- SNI (Server Name Indication): Beim Aufbau einer HTTPS-Verbindung wird der Domainname im Klartext übertragen, damit der Server das richtige Zertifikat ausliefern kann. Auch das ist ohne VPN sichtbar.
- VoIP-Telefonie (SIP/RTP): Klassische VoIP-Telefonie läuft über zwei Protokolle: SIP für die Verbindungssteuerung (wer ruft wen an, Rufaufbau, Gesprächsende) und RTP für den eigentlichen Audiostrom. Beide sind standardmäßig unverschlüsselt. In einem offenen WLAN sind damit im PCAP-Mitschnitt nicht nur die Rufnummern und SIP-URIs der Gesprächspartner sichtbar – Wireshark kann den RTP-Audiostrom direkt dekodieren und als Audiodatei abspielen. Das Gespräch lässt sich also wortwörtlich mithören. Wer VoIP über ein offenes WLAN nutzt, sollte zwingend auf verschlüsselte Varianten setzen: SRTP (Secure RTP) für den Audiostrom und TLS für die SIP-Signalisierung – oder den gesamten Verkehr per VPN tunneln.
Was dagegen hilft: Ein VPN verschlüsselt den gesamten Datenverkehr bereits auf eurem Gerät, bevor er das WLAN verlässt. DNS-Anfragen, SNI und Inhalte sind dann für niemanden im Netz lesbar.
Szenario 3: Ihr seid in einem verschlüsselten WLAN (WPA2/WPA3)
Hier wird es differenzierter. Im verschlüsselten WLAN ist der Datenverkehr zwischen eurem Gerät und dem Access Point verschlüsselt. Ein Angreifer, der nicht das WLAN-Passwort kennt und nicht selbst im Netz ist, kann den Datenverkehr nicht entschlüsseln.
Was trotzdem sichtbar ist – auf dem MAC-Layer (Layer 2):
- Welche Geräte (MAC-Adressen) mit welchem Access Point verbunden sind
- Wann sie aktiv sind (anhand von Datenframes)
- Die ungefähre Menge der übertragenen Daten (Frame-Längen)
Was nicht sichtbar ist:
- Welche Webseiten besucht werden
- Welche Apps genutzt werden
- Jeglicher Inhalt der Kommunikation
Das bedeutet: Ein Nachbar-WLAN kann im Monitoring Mode sehen, dass euer Gerät mit einem bestimmten Access Point verbunden ist und Daten überträgt. Er sieht also, wann ihr nach Hause kommt. Welche Seiten ihr dabei aufruft bleibt verborgen.
Szenario 4: Der Evil Twin – wenn ihr dem falschen WLAN vertraut
Das ist das gefährlichste Szenario – und gleichzeitig das, das viele nicht auf dem Radar haben. Beim Evil Twin handelt es sich um einen gefälschten Access Point, der denselben WLAN-Namen (SSID) und dieselbe BSSID (MAC-Adresse des Access Points) imitiert wie ein legitimes Netz – zum Beispiel das WLAN in einem Café, einem Hotel oder einem Flughafen.
Wie ein Evil Twin funktioniert
Das Prinzip ist erschreckend einfach: Ein Angreifer richtet mit einem Laptop und einer entsprechenden WLAN-Karte einen eigenen Access Point ein, der dieselbe SSID sendet wie das echte Netz. Sendet er mit höherer Signalstärke als der echte Access Point, verbindet sich euer Gerät automatisch mit dem Evil Twin – weil euer Gerät schlicht das stärkste Signal mit dem bekannten Namen wählt.
WLAN-Geräte vertrauen ausschließlich der SSID und – bei älteren Implementierungen – der BSSID. Ein kryptografischer Beweis, dass ein Access Point wirklich zu dem Netz gehört, das er vorgibt zu sein, existiert bei WPA2 nicht. Bei WPA3 mit SAE (Simultaneous Authentication of Equals) ist das bereits besser gelöst, aber WPA3 ist noch nicht flächendeckend verbreitet.
Aber: Ein moderner Client verbindet sich nicht automatisch mit einem offenen Evil Twin, wenn das Original-Netz WPA2/WPA3 war. Das Betriebssystem speichert zusammen mit der SSID auch das Sicherheitsprofil. Windows, iOS und Android prüfen: SSID bekannt + Sicherheitsprofil passend. Stimmt das Sicherheitsprofil nicht überein, wird nicht automatisch verbunden. Der Evil Twin ist deshalb in der Praxis vor allem in diesen Szenarien relevant:
1. Offene Netze: Hotel-WLAN, Bahnhof-WLAN, Café ohne Passwort. Hier gibt es kein Sicherheitsprofil zu prüfen, und der Client verbindet sich automatisch mit dem stärksten Signal gleicher SSID. Das ist der reale Angriffs-Sweet-Spot. Zum Mitlesen muss der Angreifer den Umweg über Evil Twin aber hier nicht gehen, da eh alles offen über den Äther geht.
2. Angreifer kennt das WPA2-Passwort: Dann baut er den Evil Twin ebenfalls mit WPA2 und demselben Passwort auf. Der Client verbindet sich problemlos, merkt nichts. Dazu muss der PSK vorher natürlich geknackt worden sein.
3. Social Engineering via Captive Portal: Der Client wird per Deauth vom echten AP getrennt, verbindet sich mit dem Evil Twin, und bekommt eine gefälschte Captive-Portal-Seite angezeigt: „Bitte geben Sie Ihr WLAN-Passwort zur Firmware-Aktualisierung erneut ein.“ Erschreckend viele Nutzer tippen es ein.
Was ein Angreifer mit einem Evil Twin sehen kann
Ist euer Gerät mit dem Evil Twin verbunden, ist der Angreifer euer Gateway ins Internet. Er sieht damit:
- DNS-Anfragen im Klartext – alle Domains, die ihr aufruft
- SNI bei HTTPS-Verbindungen – welche Seiten ihr besucht, auch bei verschlüsselten Verbindungen
- HTTP-Seiteninhalt vollständig – bei Seiten ohne HTTPS
- Zertifikats-Warnungen, wenn er versucht, HTTPS zu entschlüsseln (SSL Stripping / Man-in-the-Middle) – aber viele Nutzer klicken diese weg
Besonders tückisch: Ein Angreifer kann mit Tools wie bettercap oder mitmproxy einen transparenten Proxy einrichten, der HTTPS-Verbindungen aktiv angreift. Euer Browser zeigt dabei eine Zertifikatswarnung – aber nur, wenn der Angreifer kein gültiges Zertifikat vorweisen kann. Bei HSTS-geschützten Seiten (z.B. Bankwebseiten) schlägt das fehl. Bei nicht-HSTS-Seiten kann es funktionieren.
Woran erkennt ihr einen Evil Twin?
Das ist schwierig – für normale Nutzer oft gar nicht ohne weiteres möglich. Ein paar Hinweise:
- Zertifikatswarnung im Browser: Wenn eine bekannte Webseite plötzlich eine Zertifikatswarnung zeigt, ist das ein deutliches Warnsignal. Niemals wegklicken.
- Doppelte SSID in der WLAN-Liste: Manche Geräte zeigen an, wenn eine SSID von zwei verschiedenen Access Points (unterschiedliche BSSIDs) gesendet wird. Das kann ein Hinweis sein.
- Captive Portal ohne erkennbaren Grund: Wenn ihr euch mit einem bekannten WLAN verbindet und plötzlich eine Login-Seite erscheint, die ihr nicht kennt, ist Vorsicht geboten.
Was ein WLAN nie sehen kann
Unabhängig vom Szenario gibt es Dinge, die ein WLAN prinzipiell nicht sehen kann:
- Den Inhalt von Ende-zu-Ende-verschlüsselten Verbindungen (z.B. Signal, WhatsApp-Nachrichten)
- Den Inhalt von HTTPS-Verbindungen (nur der Domainname ist über SNI/DNS ggf. sichtbar, Sonderfall Evil Twin beachten!)
- Verbindungen, die über VPN laufen (alles ist verschlüsselt, bevor es das WLAN verlässt)
- Den Inhalt von DNS-over-HTTPS (DoH) – wenn euer Gerät DoH nutzt, sind selbst die DNS-Anfragen verschlüsselt
Ein fremdes WLAN – also ein Access Point, mit dem ihr nicht verbunden seid – kann nicht sehen, welche Seiten ihr besucht. Auf dem MAC-Layer ist jedoch sichtbar, welche Geräte mit welchem Access Point verbunden sind.
In einem offenen WLAN, dem ihr euch verbunden habt, sind DNS-Anfragen und SNI-Felder sichtbar – damit also die Domainnamen der besuchten Seiten, auch wenn HTTPS den Seiteninhalt schützt. Ohne HTTPS ist sogar der vollständige Inhalt lesbar.
In einem verschlüsselten WPA2- oder WPA3-Netz mit unbekanntem Passwort können weder Seitenaufrufe noch Inhalte mitgelesen werden. Wer jedoch auf Nummer sicher gehen will – insbesondere in fremden oder öffentlichen Netzen – sollte ein VPN nutzen.
Das gefährlichste Szenario ist der Evil Twin: Ein gefälschter Access Point mit derselben SSID wie ein bekanntes Netz. Verbindet sich euer Gerät damit, läuft der gesamte Datenverkehr über den Angreifer. Ein VPN schützt auch hier zuverlässig – weil der Datenverkehr bereits auf eurem Gerät verschlüsselt wird, bevor er den Access Point erreicht.
FAQ
Kann mein Nachbar sehen, was ich im Internet mache, wenn ich sein WLAN-Passwort nicht kenne? Nein, die Inhalte nicht. Er kann im Monitoring Mode sehen, dass sich ein Gerät mit eurer MAC-Adresse in seiner Nähe befindet – mehr nicht. Seitenaufrufe und Inhalte sind durch die WPA2/WPA3-Verschlüsselung geschützt. Er kann aber sehen, wann ihr nach Hause kommt oder wenn ihr das Haus verlasst, wenn ihr euer Handy dabei habt und es im WLAN war.
Hilft ein VPN wirklich? Ja – ein VPN verschlüsselt euren Datenverkehr bereits auf dem Gerät. DNS-Anfragen, SNI und Inhalte sind dann für niemanden im WLAN sichtbar. Lediglich die Tatsache, dass ihr eine VPN-Verbindung aufgebaut habt, ist erkennbar. Wann ihr das WLAN nutzt und wieviel Daten übertragen werden, kann der Nachbar aber trotzdem auslesen.
Was ist der Monitoring Mode? Der Monitoring Mode ist ein spezieller Betriebsmodus für WLAN-Karten, bei dem alle Frames auf einem Kanal empfangen werden – unabhängig davon, ob sie für das eigene Gerät bestimmt sind. Dieser Modus wird für WLAN-Analysen und Sicherheitstests genutzt. Nicht alle WLAN-Karten und Treiber unterstützen ihn.
Kann mich ein Access Point auch ohne Verbindung tracken? Prinzipiell ja – über Probe Requests, die euer Gerät aussendet, und über die MAC-Adresse. Aktuelle Smartphones schützen sich dagegen mit MAC-Adress-Randomisierung. Ältere Geräte und viele IoT-Geräte tun das jedoch nicht.
Was ist ein Evil Twin und wie gefährlich ist er wirklich? Ein Evil Twin ist ein gefälschter Access Point mit derselben SSID wie ein echtes Netz. Verbindet sich euer Gerät damit, sieht der Angreifer euren gesamten Datenverkehr – DNS-Anfragen, SNI-Felder, HTTP-Inhalte und bei erfolgreichen SSL-Stripping-Angriffen sogar HTTPS-Verbindungen. Der einzige zuverlässige Schutz ist ein VPN. Zertifikatswarnungen im Browser niemals wegklicken – das ist oft das einzige sichtbare Zeichen eines laufenden Angriffs.
