Von unterwegs Hotel buchen und Kreditkartennummer im freien WLAN

[Fantasygirl]

Hallo,
da stellt sich uns mal wieder eine Frage und ich würde mich freuen, wenn ihr uns eure Meinung nennen könntet:

Für unsere geplante Reise an die Westküste im September haben wir aktuell das erste Hotel gebucht, das letzte und zwischendrin eine Lodge im Grand Canyon. Alle weiteren Hotels (oder zumindest die meisten anderen) wollen wir Stand jetzt erst vor Ort buchen, damit wir ggfs. noch flexibler sind. Wir hatten uns das so vorgestellt, dass wir "heute" das Hotel für "morgen" über die ja anscheinend fast "überall" vorhandenen WLANs buchen.

Jetzt ist es ja aber so, dass ich in der Regel bei einer Hotelbuchung auch die Kreditkartennummer angeben muss. Ist das nicht ein wenig leichtsinnig, wenn das Ganze über eine mehr oder weniger ungesicherte WLAN abläuft oder bin ich da zu ängstlich? Wie handhabt ihr das? Über eure Meinung würde ich mich freuen.

[Tinerfeño]

Jetzt ist es ja aber so, dass ich in der Regel bei einer Hotelbuchung auch die Kreditkartennummer angeben muss. Ist das nicht ein wenig leichtsinnig, wenn das Ganze über eine mehr oder weniger ungesicherte WLAN abläuft oder bin ich da zu ängstlich? Wie handhabt ihr das? Über eure Meinung würde ich mich freuen.

Das eine hat mit dem anderen nichts zu tun. Nur weil ein WLAN-Netzwerk nicht mit einem Kennwort gesichert ist, heißt es nicht, dass die Informationen nicht trotzdem verschlüsselt übers Internet übertragen werden. Sobald du das Schlüsselsymbol im Browser siehst, bist du auf der sicheren Seite. Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.

[Fantasygirl]

Danke dir, das ging fix.
Und danke auch für die Aufklärung! Das ist super, dann kann unser Plan ja doch umgesetzt werden.

[CK]

... Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.

Genau... was er will, z.B. auch man-in-the-middle spielen.
Ich wäre mit solchen Ratschlägen vorsichtig und empfehle niemandem seine KK Daten
über ein offenes WLAN zu verbreiten.

Das ist, sorry, gefährliches Halbwissen was du da verbreitest.

[Tinerfeño]

... Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.

Genau... was er will, z.B. auch man-in-the-middle spielen.
Ich wäre mit solchen Ratschlägen vorsichtig und empfehle niemandem seine KK Daten
über ein offenes WLAN zu verbreiten.

Das ist, sorry, gefährliches Halbwissen was du da verbreitest.

Dafür werden die Daten doch verschlüsselt über den Browser übertragen - Sprich: Sie werden verschlüsselt, noch bevor sie "aus dem Notebook herausgesendet werden".

Ein Man-in-the-middle ist also gar nicht an dieser Stelle möglich.

[Lina1984]

Hallo!

Um das kurz nochmal klar zu stellen:
Alle Daten, die man in einem offenen WLAN versendet und die nicht über eine verschlüsselte Verbindung gehen (z.B. https / SSL),  sind grundsätzlich für alle anderen Teilnehmer im selben Netz lesbar.

Bucht man also ein Hotel auf einer Internetseite, die nicht verschlüsselt ist, kann jeder andere die kompletten Daten mitlesen, inklusive Kreditkartendaten. Gleiches gilt übrigens für Mails lesen, auf Foren einloggen etc. pp.

Ich habe in letzter Zeit einige Hotels gebucht und musste leider feststellen, dass einige Seiten kein Verschlüsselung anbieten.
Bei großen Seiten wie z.B. booking.com ist man sicher, aber auf einigen kleinen "Hotelseiten" auch mal nicht.

Man kann sich nur komplett schützen, wenn man eine SSH oder VPN Verbindung benutzt.
Das ist leider technisch etwas komplizierter und nicht für jeden machbar, aber nur das bietet wirklichen Schutz in offenen WLANs.

Viele Grüße, Lina

[Jack Black]

Das ist, sorry, gefährliches Halbwissen was du da verbreitest.

"Ist der Ruf erst ruiniert, lebt sich's gänzlich ungeniert".

Deswegen:

Das ist, sorry, hilfloses Unwissen, was Du da verbreitest. Tinerfeno hat das wunderbar beschrieben, durch und durch richtig und genau das ist der Sinn von gesicherten Protokollen.

Es ist vollkommen wurscht, über welche Netze man seine Daten übermittelt - wenn es im gesicherten Protokoll abläuft (in diesem Fall https), dann ist es sicher. Das ist selbstverständlich exakt die Idee dieses Konzepts und es funktioniert auch genau so, wie Tinerfeno schreibt: der Browser und der avisierte Server vereinbaren eine Art "Geheimsprache" und alle Nodes, die dazwischen liegen, können mit den Daten nichts anfangen.

Wenn das nicht so wäre, wäre es unbrauchbar, denn für den Man-in-the-middle und wie die ganzen Schreckensvokabeln lauten, ist es völlig unerheblich, von welchen LAN/WLAN die Daten kommen. Schon nach dem ersten Gateway kann man selbst das nicht mehr auswerten. Und auch das hat Tinerfeno vollkommen richtig dargestellt, ein "offenes WLAN" ist allein ein Betreiberrisiko, unerwünschte Clients zuzulassen. Das ist eine andere Ebene und hat überhaupt nichts damit zu tun, mit welchem Protokoll sich die angemeldeten Clients mit einem Remote Server unterhalten.

[CK]

Wenn du dein Fachwissen aus der ComputerBild verbreiten möchtest, ist das okay,
aber bitte nicht im Zusammenhang mit sensiblen Daten anderer Menschen.

Es ist sehr einfach möglich eine https Verbindung aufzubrechen :

http://www.searchsecurity.de/themenbereiche/netzwerksicherheit/wireless-security/articles/298360/index2.html


Edit Mod: Unsachliche Kommentare entfernt

[McC]

ohne dass seine Identität ermittelt werden kann.

Na ja... so würde ich das nicht stehen lassen 

[Kauschthaus]

Wenn ich das (als Laie) richtig verstanden habe, hat ein mögliches Aufbrechen aber nichts mit WLAN an sich zu tun. Das ist prinzipiell immer möglich.

Und widerspricht dieser Aussage überhaupt nicht.

Sobald du das Schlüsselsymbol im Browser siehst, bist du auf der sicheren Seite.

Viele Grüße, Petra

[CK]

Ja und Nein.

Das Aufbrechen in einem WLAN setzt keinen physikalischen Zugriff auf Komponenten
des Netzes vorraus.
Bei einem kabelgestützten Netzwerk, müsste man dafür Zugriff auf die Leitungen haben.

Desweiteren ist fraglich ob man überhaupt in einem regulären offenen WLAN unterwegs ist
noch gar nicht gefallen.

WLAN 1 : motel
WLAN 2 : moteI

Hier im Forum sieht manden Unterschied wegen der serifen Schriftart.

[lonewolf81]

@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:

1) Der Hotelbetreiber - aber der könnte es einfacher haben, denn er hat die Kreditkartendaten seiner Kunden sowieso meistens.
2) Person X - das ist eine Frage der Wahrscheinlichkeitsrechnung, ob jetzt gerade das Netz kompromittiert bist indem Du bist.

Ich persönlich würde die Zahl der Buchungen möglichst reduzieren, aber wenn ich buchen muss, dann muss ich eben buchen. Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.

Wichtig ist eine zeitnahe Überwachung aller Buchungen.

[Tinerfeño]

Wenn du dein Fachwissen aus der ComputerBild verbreiten möchtest, ist das okay,
aber bitte nicht im Zusammenhang mit sensiblen Daten anderer Menschen.

...aber an anderer Stelle auf diese Zeitschrift und die 'interessanten' Artikel verweisen. Naja:  

http://forum.usa-reise.de/index.php?topic=57279.msg775319#msg775319

[Tinerfeño]

Ich persönlich würde die Zahl der Buchungen möglichst reduzieren, aber wenn ich buchen muss, dann muss ich eben buchen. Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.

Genau das ist doch die Ausgangssituation: Es geht um ein paar Buchungen von unterwegs, vermutlich aus verschiedenen Netzwerken und dann in der Regel von dem hoteleigenen aus. Wie hoch ist die Wahrscheinlichkeit, dass da zufällig was abgefangen wird?

Ich würde niemandem empfehlen, dauerhaft so ein Netz für solche Dinge zu nutzen. Aber ab und zu während einer Reise? Man kann es mit den Sicherheitsbedenken auch übertreiben. Wenn man so ängstlich ist wie CK, sollte man auf bargeldlose Zahlung gänzlich verzichten - bei DEN ganzen Risiken. Es kann grundsätzlich überall passieren:

Am Kartenlesegerät im Supermarkt, im Restaurant, am Geldautomaten, usw...

Und wie schon beschrieben: Wenn es ein anderer Hotelgast wäre, der die Daten ausspähen will und sich dann im selben Netzwerk aufhält, hindert ihn auch nichts daran, wenn das Netzwerk mit einem Passwort gesichert ist und es keine personengebundene Anmeldung gibt.

[gabenga]

Im Grunde genommen ist der Streit über die Sicherheit der Protokolle doch nebensächlich. Ein ungerechtfertigter Umsatz wird reklamiert und so lange man nicht wie Susi Sorglos unterwegs war storniert.