WLAN im Coworking Space? So schützt dich ein VPN

Du setzt dich in einen Coworking Space in Zürich, verbindest dich mit dem WLAN und öffnest das CRM deines Kunden. Verträge, Rechnungen und Kontaktdaten: alles fliesst über ein Netzwerk, das du mit Dutzenden Fremden teilst. Das WLAN hat ein Passwort, also fühlt es sich sicher an. Ist es aber nicht.

Das WLAN-Passwort erfüllt genau eine Funktion: Es hält Personen ohne Passwort vom Netzwerk fern. Sobald man verbunden ist, kann jedes Gerät im Netzwerk die anderen sehen. Deine DNS-Anfragen (jede Domain, die du aufrufst), deine Verbindungszeiten und das Volumen der übertragenen Daten sind für jeden sichtbar, der frei verfügbare Netzwerkanalyse-Tools nutzt. Ein gezielter Angreifer im selben Netzwerk kann noch weiter gehen: Verbindungen abfangen, Datenverkehr umleiten oder den Access Point komplett imitieren.

Dieser Artikel erklärt das konkrete Bedrohungsmodell für geteiltes WLAN, zeigt, wo ein VPN hilft (und wo nicht), und behandelt die physischen Sicherheitsgewohnheiten, die das Bild abrunden.

Was kann auf geteiltem WLAN passieren?

Zunächst die ehrliche Ausgangslage: HTTPS leistet bereits viel. Wenn du eine Seite über HTTPS aufrufst (und 2026 gilt das für nahezu jede Seite), sind die Inhalte deiner Kommunikation verschlüsselt. Ein Angreifer im selben WLAN kann weder deine E-Mails lesen noch deine Passwörter sehen oder die Seiten einsehen, die du lädst.

Das ist die gute Nachricht. Hier ist, was HTTPS nicht schützt.

DNS-Anfragen

Jedes Mal, wenn dein Browser einen Domainnamen auflöst (crm.kundenname.com, ihre-bank.ch, reddit.com), reist diese Anfrage typischerweise im Klartext. Jeder im Netzwerk kann sehen, welche Domains du besuchst, wann und wie oft. Das sind Metadaten, und sie verraten erstaunlich viel: mit welchen Kunden du arbeitest, welche Tools du nutzt und welche Dienste du evaluierst. Für Freelancer oder Berater sind das geschäftskritische Informationen.

Verschlüsseltes DNS (DoH oder DoT) hilft, erfordert aber eine explizite Konfiguration auf jedem Gerät und deckt nicht alle Anwendungen ab. Ein VPN löst das Problem, indem alle DNS-Anfragen durch den verschlüsselten Tunnel laufen.

ARP-Spoofing

Das Address Resolution Protocol (ARP) ordnet IP-Adressen den physischen Geräteadressen im lokalen Netzwerk zu. Es hat keinen Authentifizierungsmechanismus. Ein Angreifer kann gefälschte ARP-Nachrichten senden und deinem Laptop mitteilen, dass sein Gerät der Router ist. Bei Erfolg fliesst dein gesamter Datenverkehr über das Gerät des Angreifers, bevor er das Internet erreicht. Das nennt sich Man-in-the-Middle-Position.

Mit HTTPS kann der Angreifer verschlüsselte Inhalte weiterhin nicht lesen. Aber er sieht alle deine DNS-Anfragen, überwacht Verbindungsmuster und kann selektiv Datenverkehr blockieren oder verzögern. Die Tools dafür (Ettercap, arpspoof) sind kostenlos und erfordern keine besonderen Kenntnisse.

Rogue Access Points und Evil-Twin-Angriffe

Ein Angreifer richtet ein WLAN-Netzwerk mit demselben Namen wie das legitime Netzwerk des Coworking Spaces ein (“CoworkSpace_Guest”). Dein Laptop, konfiguriert für automatische Verbindung mit bekannten Netzwerken, verbindet sich mit dem gefälschten. Ab jetzt läuft dein gesamter Datenverkehr über die Hardware des Angreifers.

Das ist in Coworking Spaces besonders wirkungsvoll, weil der Netzwerkname öffentlich bekannt ist und sich Leute ohne Nachdenken verbinden. Manche Angriffe gehen noch weiter: Der gefälschte Access Point leitet den Datenverkehr ans echte Netzwerk weiter, sodass alles normal funktioniert, während der Angreifer Daten mitschneidet.

SSL-Stripping

Wenn du “bank.ch” in deinen Browser eingibst, nutzt die erste Verbindung möglicherweise kurz HTTP, bevor sie auf HTTPS hochgestuft wird. In diesem Moment kann ein Angreifer in Man-in-the-Middle-Position das Upgrade abfangen und dir weiterhin eine HTTP-Version ausliefern, während er selbst eine HTTPS-Verbindung zum echten Server hält. Du siehst die Seite normal laden, aber deine Verbindung ist unverschlüsselt.

HSTS (HTTP Strict Transport Security) entschärft das für Seiten, die es implementieren, und moderne Browser verwenden zunehmend HTTPS als Standard. Aber nicht jede Seite nutzt HSTS, und der erste Besuch einer neuen Domain bleibt anfällig, sofern die Seite nicht in der HSTS-Preload-Liste des Browsers steht.

Wie realistisch ist das Risiko?

Zur Einordnung: Diese Angriffe erfordern einen Angreifer, der physisch im selben Netzwerk präsent ist, mit Absicht und passenden Tools. Die meisten Coworking-Sessions verlaufen ereignislos. Das Risiko besteht nicht darin, dass jeder Café-Besuch zum Hack wird. Das Risiko ist, dass die Angriffsfläche existiert, trivial ausnutzbar ist und du keine Möglichkeit hast, den Angriff zu erkennen, wenn er passiert. Defense-in-Depth bedeutet, Lücken zu schliessen, bevor sie ausgenutzt werden.

Wie hilft ein VPN (und was kann er nicht)?

Ein VPN erstellt einen verschlüsselten Tunnel zwischen deinem Gerät und einem Server des VPN-Anbieters. Der gesamte Datenverkehr, inklusive DNS-Anfragen, fliesst durch diesen Tunnel. Aus der Perspektive aller anderen im lokalen Netzwerk sind deine Daten ein undurchsichtiger Strom verschlüsselter Pakete zu einer einzelnen IP-Adresse.

Das neutralisiert die oben beschriebenen lokalen Netzwerkangriffe:

• DNS-Privatsphäre: Deine Anfragen werden über die DNS-Server des VPN-Anbieters aufgelöst, nicht über die des lokalen Netzwerks. Niemand im Coworking-WLAN sieht, welche Domains du besuchst.
• Schutz vor ARP-Spoofing: Selbst wenn ein Angreifer deinen Datenverkehr über sein Gerät umleitet, sieht er nur verschlüsselten VPN-Verkehr. Inhalte, Metadaten und DNS-Anfragen bleiben verborgen.
• Schutz vor Evil Twins: Falls du dich versehentlich mit einem gefälschten Access Point verbindest, verschlüsselt der VPN-Tunnel weiterhin alles. Der Angreifer gewinnt nichts Verwertbares.
• Schutz vor SSL-Stripping: Da der gesamte Datenverkehr durch den verschlüsselten Tunnel läuft, gibt es keinen unverschlüsselten HTTP-Moment zum Abfangen.

Was ein VPN nicht schützt

Ein VPN ist kein Allheilmittel. Er schützt deinen Netzwerkverkehr. Er schützt nicht vor:

• Phishing: Eine überzeugende gefälschte Login-Seite funktioniert mit oder ohne VPN gleich. Der Angriff zielt auf dein Urteilsvermögen, nicht auf deine Netzwerkverbindung.
• Malware auf deinem Gerät: Ist dein Laptop kompromittiert, hat der Angreifer Zugriff auf deine Daten, bevor sie den VPN-Tunnel erreichen.
• Dem VPN-Anbieter selbst: Du verlagerst das Vertrauen vom lokalen Netzwerkbetreiber auf den VPN-Anbieter. Wähle einen mit unabhängig geprüfter No-Logs-Richtlinie.
• Social Engineering: Jemand, der über deine Schulter schaut oder ein Gespräch beginnt, um Informationen zu sammeln, ist ein Coworking-spezifisches Risiko, das keine Software löst.

Deshalb ist ein VPN eine Schicht in einem breiteren Security-Setup, keine Standalone-Lösung.

Physische Sicherheit in geteilten Räumen

Coworking Spaces bringen Risiken mit sich, die komplett offline sind. Ein paar Gewohnheiten machen einen spürbaren Unterschied.

Blickschutzfolie. Ein Polarisationsfilter auf deinem Laptop-Bildschirm lässt ihn von der Seite schwarz erscheinen. Wer neben dir sitzt oder hinter dir vorbeigeht, sieht nichts. Kostenpunkt: rund 30 bis 50 Franken. Lohnt sich, wenn du mit Kundendaten, Finanzinformationen oder nDSG-relevanten Daten arbeitest.

Bildschirm sperren. Jedes Mal, wenn du aufstehst, auch nur für 30 Sekunden zum Kaffee holen. Auf macOS: Ctrl+Command+Q. Auf Windows: Win+L. Mache es zur Gewohnheit.

Bluetooth deaktivieren, wenn nicht in Gebrauch. Bluetooth-Discovery sendet deinen Gerätenamen und -typ. Manche Angriffe nutzen Bluetooth-Schwachstellen, um Verbindungen ohne Benutzerinteraktion herzustellen. Wenn du gerade keine kabellosen Kopfhörer oder eine Tastatur nutzt: ausschalten.

Shoulder Surfing im Blick behalten. Positioniere deinen Bildschirm weg von stark frequentierten Bereichen. Achte darauf, wer dein Display sehen kann, wenn du Passwörter eingibst oder sensible Dokumente betrachtest. Klingt banal, aber Coworking Spaces sind auf Offenheit ausgelegt, und genau diese Offenheit arbeitet gegen deine Privatsphäre.

Geräte nicht unbeaufsichtigt lassen. Ein gesperrter Bildschirm schützt vor neugierigen Blicken, aber nicht davor, dass jemand ein USB-Gerät einsteckt oder ein Ladekabel gegen ein manipuliertes tauscht (USB-Datendiebstahl ist ein seltener, aber realer Angriffsvektor). Nimm deinen Laptop mit oder schliesse ihn in ein Schliessfach.

Einen VPN fürs Coworking einrichten

Der beste Zeitpunkt, deinen VPN zu konfigurieren, ist bevor du im Coworking Space sitzt und online gehen willst. Hier ist, worauf es bei einem Coworking-Setup ankommt.

Vorher installieren und konfigurieren

Lade die App herunter, melde dich an und prüfe, ob alles in deinem Heimnetzwerk funktioniert. Teste, ob deine üblichen Tools (Videocalls, Cloud-Speicher, CRM) mit aktivem VPN normal funktionieren. Manche Firmen-VPNs kollidieren mit persönlichen VPNs. Kläre das, bevor du unter Zeitdruck stehst.

Kill Switch aktivieren

Ein Kill Switch blockiert den gesamten Internetverkehr, falls die VPN-Verbindung abbricht. Ohne ihn sendet eine kurzzeitige Unterbrechung deinen Datenverkehr über das ungeschützte Netzwerk und legt dabei möglicherweise DNS-Anfragen und Verbindungsdaten offen. Jede seriöse VPN-App bietet diese Funktion. Schalte sie ein und lasse sie eingeschaltet.

Einen nahen Server wählen

Für Nutzende in der Schweiz minimiert eine Verbindung zu einem Zürcher oder Genfer Server die Latenz. NordVPN betreibt mehrere Schweizer Serverstandorte, was die Geschwindigkeit für lokale Dienste hoch hält und unnötiges Routing über entfernte Länder vermeidet.

Automatische Verbindung bei unsicheren Netzwerken

Die meisten VPN-Apps erkennen, wenn du einem neuen oder unsicheren WLAN beitrittst, und verbinden automatisch. Aktiviere diese Funktion, damit du nie versehentlich ungeschützt im Coworking-WLAN surfst. NordVPN ermöglicht es, vertrauenswürdige Netzwerke (wie dein Heim-WLAN) zu definieren, bei denen die automatische Verbindung übersprungen wird.

Die DNS-Server des VPN nutzen

Stelle sicher, dass deine VPN-App ihre eigenen DNS-Server verwendet und nicht die Systemstandards. Das verhindert DNS-Leaks, bei denen deine Anfragen den VPN-Tunnel umgehen und an die DNS-Server des lokalen Netzwerks gehen. Die meisten VPN-Apps regeln das automatisch, aber eine Überprüfung lohnt sich: Suche nach “DNS Leak Test” und führe einen durch, während der VPN aktiv ist.

Einen breiteren Überblick, wie ein VPN in ein komplettes persönliches Security-Setup passt, findest du im Guide zu VPN und Passwort-Manager.

Was ist mit der Netzwerksicherheit des Coworking Spaces?

Manche Coworking Spaces nehmen Netzwerksicherheit ernst. Die meisten nicht, weil ihr Kerngeschäft Arbeitsplätze und Community sind, nicht IT-Infrastruktur. Hier ist, worauf du achten und was du fragen kannst.

Zeichen guter Netzwerkhygiene

• Client Isolation (AP Isolation): Jedes Gerät im Netzwerk kann das Internet erreichen, aber keine anderen Geräte sehen oder mit ihnen kommunizieren. Das blockiert ARP-Spoofing und lokale Netzwerk-Scans. Frage den Space-Manager, ob das aktiviert ist.
• WPA3: Der neueste WLAN-Sicherheitsstandard, deutlich schwerer angreifbar als WPA2. Falls das Netzwerk noch WPA2 nutzt (häufig), ist das kein Ausschlusskriterium, aber ein weiterer Grund für einen VPN.
• Netzwerksegmentierung: Separate VLANs für Gäste, Mitglieder und IoT-Geräte (Drucker, Smart TVs). Das begrenzt den Schaden, falls ein einzelnes Gerät kompromittiert wird.
• Captive Portal mit individuellen Zugangsdaten: Jedes Mitglied erhält eigene Login-Daten statt eines gemeinsamen Passworts an der Wand. Das erschwert Aussenstehenden den Zugang und schafft Nachvollziehbarkeit.

Was du fragen kannst

Die meisten Coworking-Betreiber beantworten grundlegende Netzwerkfragen, wenn man direkt fragt. «Ist Client Isolation in Ihrem WLAN aktiviert?» und «Nutzen Sie separate Netzwerke für Mitglieder und Gäste?» sind legitime Fragen. Ist die Antwort vage oder weiss das Personal es nicht, gehe vom Schlimmsten aus und verlasse dich auf deine eigenen Schutzmassnahmen.

Warum du dich nicht darauf verlassen solltest

Selbst gut konfigurierte Coworking-Netzwerke ändern sich. Personalwechsel, Router-Firmware-Updates, neue Geräte oder eine simple Fehlkonfiguration können Sicherheitsfunktionen deaktivieren. Die Anreize des Spaces liegen bei Verfügbarkeit und einfachem Zugang, nicht bei gehärteter Netzwerksicherheit. Dein VPN, deine Firewall und deine Gewohnheiten sind die Schichten, die du kontrollierst. Die Netzwerksicherheit des Coworking Spaces ist ein Bonus, kein Fundament.

Das Fazit für die Praxis

Geteiltes WLAN in Coworking Spaces schafft eine spezifische, gut verstandene Angriffsfläche. HTTPS übernimmt den Grossteil des Inhaltsschutzes, aber DNS-Anfragen, Metadaten und Verbindungsmuster bleiben offen. Lokale Netzwerkangriffe (ARP-Spoofing, Rogue Access Points, SSL-Stripping) sind mit kostenlosen Tools trivial umsetzbar.

Ein VPN schliesst diese Lücken, indem er den gesamten Datenverkehr verschlüsselt (inklusive DNS) und lokale Netzwerkangriffe wirkungslos macht. Kombiniert mit physischen Sicherheitsgewohnheiten (Blickschutzfolie, Sperrbildschirm-Disziplin und Bluetooth-Hygiene) und einem breiteren Security-Stack kannst du von jedem geteilten Arbeitsplatz aus arbeiten, ohne Kundendaten oder persönliche Informationen preiszugeben.

Die Einrichtung dauert 15 Minuten. Der Schutz ist dauerhaft.

---

Für Links auf dieser Seite kann NeoGuard eine Provision vom Anbieter erhalten. Dies hat keinen Einfluss auf unsere redaktionellen Empfehlungen. Siehe unsere Datenschutzerklärung für Details.