SurfsharkVPN

VPN im Hotel-WLAN: Warum „wird schon passen“ keine Strategie ist

Öffentliches WLAN ist bequem. Sicher ist es nicht. Was wirklich hilft und wo die Grenzen liegen.

iptvbackground • techboys.de

Café, Laptop auf, freies WLAN. Ich mache das, was alle machen: verbinden, kurz Mails checken, nebenbei noch schnell ins Online-Banking. Und erst abends zu Hause fällt mir ein, dass ich das alles über ein Netz geschickt habe, in dem jeder mitsurft, der gerade einen Kaffee bestellt. Ohne VPN. Ohne irgendeinen Schutz.

Inhalt

Klingt nach einem Nerd-Problem? Laut einer Bitkom-Studie nutzen 53 Prozent der Deutschen öffentliche WLAN-Hotspots. Jeder Fünfte verbindet sich sogar überall, wo einer verfügbar ist. Hotels, Cafés, Bahnhöfe, Flughäfen. Was die meisten nicht wissen: Zwischen „Verbunden“ und „Sicher“ liegen Welten.

Was passiert eigentlich in einem offenen WLAN?

Die meisten öffentlichen Hotspots laufen ohne Verschlüsselung. Kein Passwort, kein WPA2, kein gar nichts. Technisch bedeutet das: Jeder im gleichen Netz kann mit kostenloser Software wie Wireshark den Datenverkehr mitlesen.

Aber Moment, ich hab doch HTTPS? Stimmt, und das schützt auch den Inhalt deiner Verbindungen. Dein Passwort beim Login ist verschlüsselt, die Seite selbst auch. Was HTTPS aber nicht verbirgt: deine DNS-Anfragen. DNS = das Telefonbuch des Internets. Dein Gerät fragt jedes Mal nach, welche IP-Adresse hinter einer Domain steckt. Diese Anfragen laufen in den meisten Fällen unverschlüsselt über den DNS-Server des WLAN-Betreibers. Der sieht also, welche Seiten du aufrufst, auch wenn er den Inhalt nicht lesen kann.

Dazu kommt SNI, die Server Name Indication. Beim Verbindungsaufbau schickt dein Browser den Hostnamen des Servers im Klartext mit. Heißt:

Selbst bei HTTPS kann jemand im Netz sehen, dass du gerade auf deiner Bank-Website bist. Nur was du dort tippst, bleibt verborgen.

Und dann sind da noch die Metadaten: Wann du online warst, wie lange, wie viel Datenvolumen geflossen ist, mit welchen IP-Adressen du kommuniziert hast. Das klingt harmlos, ist es aber nicht. Aus Metadaten lassen sich Profile bauen.

Die Angriffe sind real, nicht theoretisch

Ich weiß, das klingt nach dem üblichen Sicherheits-Alarmismus. Passiert doch eh niemandem. Bis es doch passiert.

Im April 2024 fiel einem australischen Airline-Mitarbeiter ein verdächtiges WLAN-Netz auf, das den Namen des Flughafen-Hotspots imitierte. Die australische Bundespolizei fand bei dem Betreiber ein sogenanntes WiFi Pineapple, ein handliches Gerät, das sich als legitimer Hotspot ausgibt. Evil Twin nennt sich das: Ein gefälschter Zugangspunkt, der aussieht wie das echte Netz. Der Mann hatte das Ding an Flughäfen in Perth, Melbourne und Adelaide eingesetzt, sogar während Inlandsflügen. Wer sich verband, landete auf einer gefälschten Login-Seite und gab dort E-Mail- oder Social-Media-Zugangsdaten ein. Im November 2025 wurde er zu sieben Jahren Haft verurteilt.

Das BSI nimmt das Thema genauso ernst. Im IT-Grundschutz-Kompendium steht es schwarz auf weiß: Bei Zugriff auf interne Ressourcen über öffentliche WLANs ist ein VPN Pflicht. Nicht empfohlen. Pflicht.

Wichtige Einordnung: Das BSI meint damit VPN als Technologie, also einen verschlüsselten Tunnel, der deinen Datenverkehr vor dem lokalen Netz schützt. Keine Empfehlung für einen bestimmten Anbieter. In Unternehmen ist das oft ein firmeneigener VPN-Server. Für Privatpersonen sieht die Realität anders aus: Die wenigsten betreiben zu Hause einen eigenen VPN-Server. Wer trotzdem im Café oder Hotel geschützt sein will, landet fast zwangsläufig bei einem kommerziellen Anbieter. Die Technik dahinter ist dieselbe, der verschlüsselte Tunnel funktioniert genauso. Der Unterschied liegt darin, wem du am anderen Ende vertraust.

Was ein VPN in diesem Szenario tatsächlich macht

Ein VPN verschlüsselt deinen gesamten Datenverkehr, bevor er dein Gerät verlässt. Alles. Browser, Apps, das System-Update, das sich im Hintergrund durchzieht. Für den WLAN-Betreiber und jeden, der im selben Netz sitzt, ist dein Traffic ein einziger verschlüsselter Datenstrom zu einer IP-Adresse. Keine DNS-Anfragen, kein SNI, keine Metadaten. Nichts.

Klingt gut. Ist auch gut. Aber man muss ehrlicherweise sagen: Das Vertrauen verschiebt sich. Statt dem WLAN-Betreiber vertraust du deinem VPN-Anbieter. Der könnte theoretisch alles sehen, was du tust. Deswegen ist die Wahl des Anbieters keine Nebensache.

Surfshark im öffentlichen WLAN: der Praxistest

AutoConnect • techboys.de
VPN im Hotel-WLAN: Warum "wird schon passen" keine Strategie ist

Ich hab mir Surfshark für dieses Szenario genauer angeschaut. Nicht den kompletten One-Bundle-Test, den gibt es hier schon, sondern speziell die Features, die im öffentlichen WLAN relevant sind.

Das Feature, das bei mir den größten Unterschied gemacht hat: Auto-Connect bzw. die Einstellung App beim Booten starten. Surfshark kann sich automatisch verbinden, sobald du ein unbekanntes WLAN betrittst. Ich hab das einmal eingestellt und seitdem nicht mehr dran gedacht. Genau so soll Sicherheit funktionieren, nämlich ohne dass man jeden Tag aktiv dran denken muss.

KillSwitch Surfshark • techboys.de
VPN im Hotel-WLAN: Warum "wird schon passen" keine Strategie ist

Falls die VPN-Verbindung trotzdem mal abreißt, springt der Kill Switch ein und kappt sofort den gesamten Internetverkehr. Keine Daten fließen ungeschützt raus. Funktioniert auf Windows, macOS, Android und Linux. Auf iOS gibt es das nicht, Apple lässt es systemseitig nicht zu.

CleanWeb blockiert Werbung, Tracker und Malware-Seiten auf DNS-Ebene. Wer schon mal ein Hotspot-Portal mit drei Werbe-Layern über dem Login-Formular gesehen hat, weiß, warum das im öffentlichen WLAN Gold wert ist. Die Browser-Erweiterung CleanWeb 2.0 geht noch weiter: Cookie-Banner weg, Warnungen bei Datenlecks.

Für Spezialfälle gibt es Dynamic MultiHop, bei dem der Traffic über zwei VPN-Server in verschiedenen Ländern läuft. Doppelt verschlüsselt, dafür spürbar langsamer. Im Café brauchst du das nicht. Im Hotelzimmer in einem Land mit Internetzensur schon eher.

NoBorders erkennt automatisch, wenn ein Netzwerk VPN-Verkehr blockiert, und schaltet auf verschleierte Server um. In Deutschland selten nötig, auf Reisen kann das den Unterschied zwischen „VPN geht“ und „VPN geht nicht“ ausmachen.

Bildschirmfoto 2026 03 29 um 10.28.38 • techboys.de
VPN im Hotel-WLAN: Warum "wird schon passen" keine Strategie ist

Noch in der Beta, aber spannend: Multi IP. Statt einer einzigen VPN-IP-Adresse bekommst du für jede Website, jede App, jeden Dienst eine andere. Du kannst einstellen, ob die IPs aus derselben Stadt, demselben Land, einer Region oder weltweit kommen sollen. Im öffentlichen WLAN bedeutet das: Selbst wenn jemand deinen verschlüsselten Traffic beobachtet, sieht er nicht eine konstante Ziel-IP, sondern ständig wechselnde. Tracking wird damit nochmal deutlich schwieriger. Funktioniert allerdings nicht zusammen mit dedizierten IPs oder MultiHop.

Unter der Haube läuft standardmäßig WireGuard. Das Protokoll hat rund 4.000 Zeilen Code, OpenVPN zum Vergleich über 100.000. Weniger Code heißt weniger Angriffsfläche. Seit 2025 bringt Surfshark bei WireGuard Post-Quantum-Schutz mit. Post-Quantum = Verschlüsselung, die auch dann noch halten soll, wenn Quantencomputer die heutigen Standards knacken können.

Fünf Dinge, die du im öffentlichen WLAN sofort umsetzen kannst

Nicht alles braucht ein VPN. Aber ein paar Grundregeln solltest du kennen:

  1. VPN einschalten, bevor du dich verbindest. Nicht danach. Surfshark Auto-Connect macht das automatisch.
  2. Automatische WLAN-Verbindung auf dem Handy deaktivieren. Dein Gerät verbindet sich sonst mit jedem Netz, das es kennt, oder schlimmer, das so heißt wie eines, das es kennt.
  3. Keine sensiblen Logins ohne VPN. Online-Banking, PayPal, E-Mail. Gerade die Accounts, bei denen es wehtut.
  4. Netzwerk nach Nutzung vergessen. Damit dein Gerät sich nicht beim nächsten Besuch automatisch wieder verbindet.
  5. HTTPS-Pflicht im Kopf behalten. Die meisten Seiten haben es, aber wenn dein Browser eine Warnung zeigt, nimm sie ernst.

Lohnt sich Surfshark dafür?

Ich sag es so: Für Leute, die regelmäßig in öffentlichen WLANs unterwegs sind, ob beruflich oder im Urlaub, ist ein VPN keine Paranoia, sondern Grundausstattung. Das BSI sieht das ähnlich.

Surfshark macht den Einstieg mit ab 1,99 Euro im Monat im 2-Jahres-Plan ziemlich niedrigschwellig. Dazu unbegrenzt viele Geräte, was bei einer Familie oder einem Haushalt mit Laptop, Tablet und drei Handys tatsächlich relevant ist. Auto-Connect heißt: Du musst nicht dran denken. Kill Switch heißt: Wenn doch was schiefgeht, fließt trotzdem nichts ungeschützt raus.

Was Surfshark nicht kann: dich vor dir selbst schützen. Wenn du auf einer gefälschten Login-Seite dein Passwort eingibst, hilft auch kein VPN. Und absolute Anonymität gibt es nicht. Aber den Unterschied zwischen „Daten liegen offen im Netz“ und „verschlüsselter Tunnel“ willst du auf deiner Seite haben.

Smart Home Geräte und Streaming-Technologien, modernes Hardware-Setup, innovative Lösungen für vernetztes Wohnen.

Surfshark

Surfshark ab 1,99 €/Monat sichern – Automatisch geschützt in jedem öffentlichen WLAN. Unbegrenzt viele Geräte, Kill Switch inklusive.

ab 1,99 €Surfshark Deal sichern

FAQ

Ist ein VPN im öffentlichen WLAN wirklich nötig?

Wenn du nur kurz eine Nachricht liest, wahrscheinlich nicht. Sobald du dich irgendwo einloggst oder sensible Daten überträgst, ja. Das BSI empfiehlt es ausdrücklich.

Schützt HTTPS nicht schon genug?

HTTPS verschlüsselt den Inhalt deiner Verbindung, aber nicht die Metadaten. DNS-Anfragen, besuchte Domains und Verbindungsdaten sind im offenen WLAN sichtbar. Ein VPN verschlüsselt alles.

Kann ich mit VPN gefahrlos Online-Banking im Café machen?

Mit VPN ist die Verbindung verschlüsselt, und niemand im Netz kann deine Daten abfangen. Du solltest trotzdem auf die URL achten und sicherstellen, dass du auf der echten Bank-Seite bist.

Warum nicht einfach die mobilen Daten nutzen?

Kannst du, und das ist tatsächlich sicherer als ein offenes WLAN. Aber im Ausland fallen Roaming-Gebühren an, in Gebäuden ist der Empfang oft schlecht, und bei Video-Calls im Hotel willst du nicht über LTE gehen.

Funktioniert Surfshark Kill Switch auf dem iPhone?

Nein. Apple erlaubt systembedingt keinen Kill Switch von Drittanbietern. iOS hat aber eigene VPN-Schutzmechanismen, die bei einem Verbindungsabbruch greifen.

THEMA:
Diesen Beitrag teilen
Verwirrter junger Mann mit skeptischem Gesichtsausdruck, Nahaufnahme, technisches Ambiente, Smart Home Technologie im Hintergrund.
vonGary Madeo
Gründer und Autor
Folgen
Ich bin Gary und schreibe hier über Technik, die ich auch wirklich selbst nutze. Seit vielen Jahren wühle ich mich tief in PC-Hardware, Smart-Home-Lösungen und komplexe VPN-Setups ein – komplett ohne Buzzwords, dafür mit ehrlichen Alltags-Tests und hands-on Anleitungen. Zur Ablenkung tippe ich über Fußball (meist ohne Magenschmerzen). Mein neuestes Technik-Projekt ist keycaps-deutsch.de, wo ich mich der Suche nach der perfekten mechanischen Tastatur verschrieben habe.
Vorheriger Beitrag 27024006c3de933ce8fb7541.png • techboys.de Überwachungskamera mit Licht – Neuer Typ der Kameras für das Smart Home
Nächster Beitrag Netgear Orbi 370 8 • techboys.de Netgear Orbi 370 Test: WiFi 7 für Normalos – mit Haken
Themenwelten

32 Beiträge

18 Beiträge
Hue Bridge Pro

12 Beiträge

16 Beiträge

9 Beiträge
Beliebt
Smart Home

State of the Open Home 2026: Sendspin steht plötzlich gegen AirPlay 2 und Sonos

State of the open home • techboys.de

Die Open Home Foundation hat gestern Abend in Utrecht ihr State-of-the-Open-Home-Event abgehalten. Der Name, der dabei am häufigsten gefallen ist, war nicht Home Assistant, sondern Sendspin. Ein offenes Multi-Room-Audio-Protokoll, das…

76 Mal gelesen

Deine nächsten Beiträge:

Kurz & direkt: Ich teste PC-Hardware, probiere Smart-Home-Gadgets und erkläre VPN/Streaming. Keine Buzzwords, nur Technik, die wirklich nützt.

auch hier:

Erstellt mit Liebe & vielzuviel Espresso. © 2012- 2026 techboys.de.