Die echten Risiken von öffentlichem Wi-Fi – was 2026 wirklich gefährlich ist
Last updated: April 9, 2026
Öffentliches Wi-Fi ist nicht mehr so gefährlich wie früher. Erfahren Sie, welche realen Risiken bleiben und wie VPNs helfen – und wo nicht.
Stellen Sie sich vor, Sie sitzen in einem Café und verbinden sich mit dem Wi-Fi-Netzwerk "CafeName_Free". Sie öffnen Ihre E-Mail, scrollen durch Social Media, vielleicht überweisen Sie sogar Geld. Eine simple Frage: Wer könnte gerade zuschauen?
Diese Frage wird oft dramatisiert. Vor zehn Jahren war die Antwort deutlich beängstigender als heute. Aber "weniger beängstigend" bedeutet nicht "ungefährlich". Um zu verstehen, welche Risiken wirklich bleiben, müssen wir zunächst klären, wie öffentliches Wi-Fi eigentlich funktioniert und was sich seit den Tagen der offenen Passwörter verändert hat.
Was sich wirklich geändert hat: HTTPS ist der Standard
Vor etwa zehn Jahren konnten Betrüger auf öffentlichem Wi-Fi relativ leicht Ihre Passwörter abfangen. Das funktionierte, weil der Datenverkehr zwischen Ihrem Gerät und dem Server – die Nachrichten, die hin und her reisen – meist unverschlüsselt war, wie eine Postkarte statt eines versiegelten Briefs. Wer in der Nähe war, konnte einfach zuschauen.
Heute nutzt die überwiegende Mehrheit der Websites HTTPS (das "S" steht für "secure"). Das bedeutet: Der Verkehr ist verschlüsselt. Es ist immer noch eine Postkarte, aber sie ist in einen versiegelten Umschlag gesteckt. Jemand, der in Ihrer Nähe sitzt, kann nicht einfach so lesen, was drin ist. Das ist ein massiver Fortschritt.
Deshalb ist das Szenario des direkten Passwortdiebstahls auf öffentlichem Wi-Fi heute deutlich seltener. Das heißt aber nicht, dass öffentliches Wi-Fi sicher ist. Es bedeutet nur, dass die Gefahren subtiler geworden sind.
Das echte Risiko 1: Falsche Netzwerke und gefälschte Anmeldungen
Ein Angreifer kann ein Wi-Fi-Netzwerk mit demselben Namen aufsetzen wie das echte – zum Beispiel "CafeName_Free". Das nennt man einen "bösen Zwilling" oder im Englischen "Evil Twin". Ihr Gerät verbindet sich möglicherweise mit dem falschen, weil es den Namen wiedererkennt.
Sobald Sie verbunden sind, läuft der gesamte Verkehr durch den Angreifer. Auch mit HTTPS ist das problematisch: Der Angreifer kann zwar nicht sehen, was Sie tippen, aber er sieht, welche Websites Sie besuchen und wie oft. Zudem kann er eine gefälschte Anmeldungsseite zeigen – zum Beispiel eine, die so aussieht wie die Log-in-Seite der Bank, aber nicht ist. Wenn Sie dort Ihr Passwort eingeben, hat der Angreifer es.
Das ist kein theoretisches Risiko. Sicherheitsforscher demonstrieren dies regelmäßig auf Konferenzen, und es funktioniert immer noch.
Das echte Risiko 2: Datenverkehr-Metadaten sind nicht verschlüsselt
Auch wenn HTTPS Ihren Datenverkehr verschlüsselt, bleibt eines sichtbar: welche Websites Sie besuchen. Das "wer spricht mit wem" ist ähnlich wie der Name auf einem Briefumschlag – sichtbar, auch wenn der Inhalt versiegelt ist.
Jemand im selben Netzwerk kann sehen: Sie waren auf einer Nachrichtenwebsite, dann auf einer Gesundheitswebsite, dann auf einem Dating-Portal. Er sieht nicht, was Sie gelesen haben, aber er sieht das Muster. In manchen Ländern oder Kontexten kann das bereits sensibel sein. Ein VPN verschlüsselt auch diese Metadaten, aber das ist ein Kompromiss mit anderen Tradeoffs, den wir später betrachten.
Das echte Risiko 3: Apps, die immer noch nicht verschlüsselt sind
Nicht alles im Internet nutzt HTTPS. Manche Apps und Dienste senden Daten immer noch unverschlüsselt. Das ist seltener als früher, aber es kommt vor – besonders bei älteren Apps oder bei speziellen Diensten. Wenn Sie eine solche App auf öffentlichem Wi-Fi nutzen, kann jemand Ihre Daten sehen.
Das echte Risiko 4: Soziale Entwicklung und Vertrauen
Das unterschätzteste Risiko ist oft nicht technisch. Ein Angreifer kann sich als Mitarbeiter des Cafés ausgeben und Sie fragen, ob Sie sein Wi-Fi-Passwort mit ihm teilen möchten – behauptend, das Netzwerk funktioniere nicht. Oder er setzt sich neben Sie und sieht physisch, was Sie tippen. Technik schützt nicht vor menschlicher Überredung.
Wie ein VPN hilft – und wo nicht
Ein VPN (Virtual Private Network) leitet Ihren gesamten Internetverkehr durch einen verschlüsselten Tunnel zu einem Server irgendwo anders. Statt direkt mit Google oder einer Bank zu sprechen, sprechen Sie mit dem VPN, und der VPN spricht mit ihnen.
Das bedeutet: Der Angreifer im Café sieht nicht mehr, welche Websites Sie besuchen. Er sieht nur, dass Sie mit einem VPN-Server kommunizieren. Das schließt die Metadaten-Lücke.
Aber ein VPN schützt Sie nicht vor gefälschten Anmeldungsseiten. Es schützt Sie nicht vor Social Engineering. Und es verlagert das Vertrauen von Ihrem Internet-Provider zu Ihrem VPN-Provider – der sieht nun, wo Sie hingehen. Das ist nicht zwangsläufig besser, es ist ein Tausch.
Ein VPN schützt auch nicht, wenn die Website selbst kompromittiert ist oder wenn eine App ein schlechtes Passwort speichert.
Was Sie wirklich tun sollten
Die praktische Konsequenz: Seien Sie skeptisch. Verbinden Sie sich nur mit Netzwerken, deren Namen der Mitarbeiter bestätigt hat. Nutzen Sie zwei-Faktor-Authentifizierung (ein extra Sicherheitsschritt, der zwei verschiedene Methoden verlangt, um sich anzumelden). Vermeiden Sie sensible Transaktionen auf öffentlichem Wi-Fi, wenn möglich – nutzen Sie stattdessen Ihr Mobilfunknetz. Und ja, ein VPN ist ein sinnvolles Werkzeug, aber es ist kein Zaubermittel.
Öffentliches Wi-Fi ist 2026 weniger gefährlich als früher, aber noch nicht sicher. Die Gefahren sind gewichtiger und subtiler geworden. Echte Sicherheit kommt aus Verständnis, Skepsis und mehreren Schichten von Vorsicht – nicht aus einem einzelnen Tool.
Diese Frage wird oft dramatisiert. Vor zehn Jahren war die Antwort deutlich beängstigender als heute. Aber "weniger beängstigend" bedeutet nicht "ungefährlich". Um zu verstehen, welche Risiken wirklich bleiben, müssen wir zunächst klären, wie öffentliches Wi-Fi eigentlich funktioniert und was sich seit den Tagen der offenen Passwörter verändert hat.
Was sich wirklich geändert hat: HTTPS ist der Standard
Vor etwa zehn Jahren konnten Betrüger auf öffentlichem Wi-Fi relativ leicht Ihre Passwörter abfangen. Das funktionierte, weil der Datenverkehr zwischen Ihrem Gerät und dem Server – die Nachrichten, die hin und her reisen – meist unverschlüsselt war, wie eine Postkarte statt eines versiegelten Briefs. Wer in der Nähe war, konnte einfach zuschauen.
Heute nutzt die überwiegende Mehrheit der Websites HTTPS (das "S" steht für "secure"). Das bedeutet: Der Verkehr ist verschlüsselt. Es ist immer noch eine Postkarte, aber sie ist in einen versiegelten Umschlag gesteckt. Jemand, der in Ihrer Nähe sitzt, kann nicht einfach so lesen, was drin ist. Das ist ein massiver Fortschritt.
Deshalb ist das Szenario des direkten Passwortdiebstahls auf öffentlichem Wi-Fi heute deutlich seltener. Das heißt aber nicht, dass öffentliches Wi-Fi sicher ist. Es bedeutet nur, dass die Gefahren subtiler geworden sind.
Das echte Risiko 1: Falsche Netzwerke und gefälschte Anmeldungen
Ein Angreifer kann ein Wi-Fi-Netzwerk mit demselben Namen aufsetzen wie das echte – zum Beispiel "CafeName_Free". Das nennt man einen "bösen Zwilling" oder im Englischen "Evil Twin". Ihr Gerät verbindet sich möglicherweise mit dem falschen, weil es den Namen wiedererkennt.
Sobald Sie verbunden sind, läuft der gesamte Verkehr durch den Angreifer. Auch mit HTTPS ist das problematisch: Der Angreifer kann zwar nicht sehen, was Sie tippen, aber er sieht, welche Websites Sie besuchen und wie oft. Zudem kann er eine gefälschte Anmeldungsseite zeigen – zum Beispiel eine, die so aussieht wie die Log-in-Seite der Bank, aber nicht ist. Wenn Sie dort Ihr Passwort eingeben, hat der Angreifer es.
Das ist kein theoretisches Risiko. Sicherheitsforscher demonstrieren dies regelmäßig auf Konferenzen, und es funktioniert immer noch.
Das echte Risiko 2: Datenverkehr-Metadaten sind nicht verschlüsselt
Auch wenn HTTPS Ihren Datenverkehr verschlüsselt, bleibt eines sichtbar: welche Websites Sie besuchen. Das "wer spricht mit wem" ist ähnlich wie der Name auf einem Briefumschlag – sichtbar, auch wenn der Inhalt versiegelt ist.
Jemand im selben Netzwerk kann sehen: Sie waren auf einer Nachrichtenwebsite, dann auf einer Gesundheitswebsite, dann auf einem Dating-Portal. Er sieht nicht, was Sie gelesen haben, aber er sieht das Muster. In manchen Ländern oder Kontexten kann das bereits sensibel sein. Ein VPN verschlüsselt auch diese Metadaten, aber das ist ein Kompromiss mit anderen Tradeoffs, den wir später betrachten.
Das echte Risiko 3: Apps, die immer noch nicht verschlüsselt sind
Nicht alles im Internet nutzt HTTPS. Manche Apps und Dienste senden Daten immer noch unverschlüsselt. Das ist seltener als früher, aber es kommt vor – besonders bei älteren Apps oder bei speziellen Diensten. Wenn Sie eine solche App auf öffentlichem Wi-Fi nutzen, kann jemand Ihre Daten sehen.
Das echte Risiko 4: Soziale Entwicklung und Vertrauen
Das unterschätzteste Risiko ist oft nicht technisch. Ein Angreifer kann sich als Mitarbeiter des Cafés ausgeben und Sie fragen, ob Sie sein Wi-Fi-Passwort mit ihm teilen möchten – behauptend, das Netzwerk funktioniere nicht. Oder er setzt sich neben Sie und sieht physisch, was Sie tippen. Technik schützt nicht vor menschlicher Überredung.
Wie ein VPN hilft – und wo nicht
Ein VPN (Virtual Private Network) leitet Ihren gesamten Internetverkehr durch einen verschlüsselten Tunnel zu einem Server irgendwo anders. Statt direkt mit Google oder einer Bank zu sprechen, sprechen Sie mit dem VPN, und der VPN spricht mit ihnen.
Das bedeutet: Der Angreifer im Café sieht nicht mehr, welche Websites Sie besuchen. Er sieht nur, dass Sie mit einem VPN-Server kommunizieren. Das schließt die Metadaten-Lücke.
Aber ein VPN schützt Sie nicht vor gefälschten Anmeldungsseiten. Es schützt Sie nicht vor Social Engineering. Und es verlagert das Vertrauen von Ihrem Internet-Provider zu Ihrem VPN-Provider – der sieht nun, wo Sie hingehen. Das ist nicht zwangsläufig besser, es ist ein Tausch.
Ein VPN schützt auch nicht, wenn die Website selbst kompromittiert ist oder wenn eine App ein schlechtes Passwort speichert.
Was Sie wirklich tun sollten
Die praktische Konsequenz: Seien Sie skeptisch. Verbinden Sie sich nur mit Netzwerken, deren Namen der Mitarbeiter bestätigt hat. Nutzen Sie zwei-Faktor-Authentifizierung (ein extra Sicherheitsschritt, der zwei verschiedene Methoden verlangt, um sich anzumelden). Vermeiden Sie sensible Transaktionen auf öffentlichem Wi-Fi, wenn möglich – nutzen Sie stattdessen Ihr Mobilfunknetz. Und ja, ein VPN ist ein sinnvolles Werkzeug, aber es ist kein Zaubermittel.
Öffentliches Wi-Fi ist 2026 weniger gefährlich als früher, aber noch nicht sicher. Die Gefahren sind gewichtiger und subtiler geworden. Echte Sicherheit kommt aus Verständnis, Skepsis und mehreren Schichten von Vorsicht – nicht aus einem einzelnen Tool.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ REDAKTIONSEMPFEHLUNG
★★★★★ 9.5/10 · 6,000+ servers · Funktioniert in China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.