Brauche ich im öffentlichen WLAN wirklich ein VPN?

Empfehlenswert ist es in jedem Fall. Zwar verschlüsselt heute der Großteil aller Webseiten den Datenverkehr per HTTPS, doch nicht jede App und nicht jeder Dienst tut das zuverlässig. Außerdem schützt HTTPS nicht vor gefälschten Hotspots (Evil Twin), die Sie auf manipulierte Anmeldeseiten umleiten. Ein VPN verschlüsselt den gesamten Datenverkehr und schließt diese Lücke.

Schützt HTTPS nicht schon ausreichend?

HTTPS verschlüsselt die Verbindung zwischen Ihrem Gerät und der jeweiligen Webseite und ist ein wichtiger Baustein. Es deckt aber nicht alles ab: Ein Angreifer im selben Netz kann weiterhin sehen, welche Domains Sie aufrufen, und unverschlüsselte Verbindungen einzelner Apps mitlesen oder manipulieren. Ein VPN verschlüsselt den kompletten Datenverkehr Ihres Geräts und ergänzt HTTPS sinnvoll.

Was ist ein Evil Twin?

Ein Evil Twin ist ein gefälschter WLAN-Zugangspunkt, der den Namen eines vertrauenswürdigen Netzes nachahmt – etwa „Flughafen_Gratis_WLAN“. Verbinden Sie sich damit, läuft Ihr gesamter Datenverkehr über das Gerät des Angreifers. Da der Netzname identisch wirkt, ist ein Evil Twin von außen kaum zu erkennen.

Welcher VPN ist der beste für öffentliches WLAN?

Für unterwegs eignen sich Anbieter mit zuverlässigem Kill Switch und automatischer Verbindung bei unsicheren Netzen besonders gut. NordVPN bietet beides plus die integrierte Threat Protection. ExpressVPN überzeugt mit dem sehr stabilen Network Lock, Surfshark mit unbegrenzter Geräteanzahl und Proton VPN mit Schweizer Datenschutz. Die passende Wahl hängt von Ihrem Nutzungsprofil ab.

Sollte ich Auto-Connect im VPN aktivieren?

Ja, wenn Sie häufig fremde Netze nutzen. Viele Apps lassen sich so einstellen, dass sich der VPN automatisch verbindet, sobald Sie ein unbekanntes oder ungesichertes WLAN betreten. So vergessen Sie den Schutz nicht im entscheidenden Moment. In Verbindung mit einem aktiven Kill Switch sind Sie auch dann abgesichert, wenn die Verbindung kurz abbricht.

Bester VPN für öffentliches WLAN

Welcher VPN öffentliche WLANs in Café, Flughafen, Hotel und Bahn absichert: Schutz vor Man-in-the-Middle und Evil Twin, sachlich und neutral erklärt.

Von der VPNVergleichen Redaktion

Das kostenlose WLAN im Café, am Flughafen, im Hotel oder im Fernverkehr der Bahn ist praktisch und gehört für viele längst zum Reisealltag. Schnell die E-Mails abrufen, in der Wartezeit eine Überweisung tätigen oder noch eben das Hotelzimmer für die nächste Station buchen – all das erledigen wir wie selbstverständlich über fremde Netze. Genau diese Selbstverständlichkeit ist das eigentliche Risiko.

Öffentliche Netzwerke sind für viele Menschen gleichzeitig zugänglich, und Sie wissen nie genau, wer noch verbunden ist oder wer den Zugangspunkt tatsächlich betreibt. In diesem Ratgeber erklären wir sachlich und ohne Panikmache, welche Gefahren in öffentlichen WLANs real sind, wie ein VPN dabei konkret hilft und welche Anbieter sich für den mobilen Einsatz besonders eignen. Es geht nicht darum, fremdes WLAN zu meiden – sondern darum, es bewusst und abgesichert zu nutzen.

Warum öffentliches WLAN ein Risiko ist

Ein öffentliches WLAN unterscheidet sich technisch nicht grundlegend von Ihrem Heimnetz. Der entscheidende Unterschied liegt in der Kontrolle: Zu Hause wissen Sie, wer den Router betreibt und wer Zugriff hat. In einem fremden Netz haben Sie diese Gewissheit nicht. Drei Risiken treten dabei besonders häufig auf.

Man-in-the-Middle-Angriffe

Bei einem Man-in-the-Middle-Angriff schaltet sich ein Angreifer zwischen Ihr Gerät und den eigentlichen Zugangspunkt. Der gesamte Datenverkehr läuft dann über seine Position, ohne dass Sie etwas davon bemerken. Auf diese Weise kann ein Angreifer mitlesen, welche Dienste Sie nutzen, und im ungünstigsten Fall sogar Inhalte verändern oder Sie auf gefälschte Seiten umleiten.

In einem offenen Netz, in dem sich viele Geräte denselben Funkkanal teilen, ist eine solche Position technisch deutlich leichter einzunehmen als in einem privaten, abgeschotteten Heimnetz. Genau deshalb gelten öffentliche Hotspots als bevorzugtes Umfeld für derartige Angriffe.

Gefälschte Hotspots (Evil Twin)

Eine besonders heimtückische Variante ist der sogenannte Evil Twin – ein gefälschter Zugangspunkt, der den Namen eines vertrauenswürdigen Netzes imitiert. Heißt das offizielle Café-WLAN beispielsweise „Cafe_Gast“, richtet der Angreifer einen eigenen Hotspot mit exakt diesem oder einem täuschend ähnlichen Namen ein.

Verbinden Sie sich versehentlich mit diesem Netz, läuft Ihr gesamter Datenverkehr über die Infrastruktur des Angreifers. Das Tückische: Für Sie sieht alles völlig normal aus. Es gibt keine Warnung, keinen sichtbaren Unterschied. Manche Evil Twins zeigen sogar eine nachgebaute Anmeldeseite, die nach persönlichen Daten oder Zugangsdaten fragt.

Zur Einordnung: Sie können einen Evil Twin nicht zuverlässig am Netznamen erkennen. Fragen Sie im Zweifel beim Betreiber nach dem korrekten WLAN-Namen, und verlassen Sie sich technisch auf eine eigene Verschlüsselungsschicht statt auf die vermeintliche Vertrauenswürdigkeit des Netznamens.

Mitlesen unverschlüsselter Verbindungen

Nicht jeder Datenverkehr ist verschlüsselt. Zwar nutzt heute der überwiegende Teil aller Webseiten HTTPS, doch einzelne Apps, ältere Dienste oder Hintergrundprozesse übertragen Daten gelegentlich unverschlüsselt oder unvollständig geschützt. In einem offenen Netz lassen sich solche Verbindungen prinzipiell mitlesen.

Hier ist eine sachliche Einordnung wichtig: HTTPS hilft, deckt aber nicht alles ab. Es verschlüsselt zuverlässig die Verbindung zur jeweiligen Webseite. Ein Beobachter im selben Netz kann jedoch weiterhin sehen, welche Domains Sie ansteuern, und er kann jene Verbindungen mitlesen oder manipulieren, die eben nicht vollständig verschlüsselt sind. HTTPS ist also ein wichtiger, aber kein lückenloser Schutz.

Wie ein VPN im öffentlichen WLAN schützt

Ein VPN (Virtual Private Network) löst genau dieses Problem auf einer grundlegenderen Ebene. Statt darauf zu vertrauen, dass jede einzelne App und jede Webseite ihre Verbindung sauber verschlüsselt, legt ein VPN eine durchgehende Verschlüsselung über den gesamten Datenverkehr Ihres Geräts.

Sobald die VPN-Verbindung steht, wird Ihr kompletter Datenverkehr durch einen verschlüsselten Tunnel zum VPN-Server geleitet. Was in diesem Tunnel transportiert wird, ist für andere Teilnehmer im öffentlichen WLAN nicht einsehbar – weder für einen Man-in-the-Middle noch für den Betreiber eines Evil Twin. Selbst wenn sich jemand erfolgreich zwischen Ihr Gerät und das Netz schaltet, sieht er nur verschlüsselten, unlesbaren Datenstrom.

Damit verschiebt ein VPN das Vertrauen vom unbekannten lokalen Netz hin zum VPN-Anbieter. Das ist der entscheidende Gewinn: In einem öffentlichen WLAN müssen Sie dem Netz nicht mehr vertrauen, sondern nur noch dem VPN-Dienst, den Sie selbst bewusst ausgewählt haben.

Wichtig ist die richtige Erwartungshaltung. Ein VPN ist kein Allheilmittel und ersetzt keine Software-Updates oder vorsichtiges Verhalten. Was ein VPN technisch leistet und wo seine Grenzen liegen, erläutern wir ausführlich im Ratgeber Was ist ein VPN?. Für den konkreten Anwendungsfall „öffentliches WLAN“ ist die Wirkung jedoch unmittelbar und greifbar: Der lokale Lauschangriff wird durch die durchgehende Verschlüsselung wirkungslos.

Die besten VPNs für öffentliches WLAN 2026

Für den mobilen Einsatz sind bestimmte Funktionen besonders wichtig: ein zuverlässiger Kill Switch, eine automatische Verbindung bei unsicheren Netzen und idealerweise ein integrierter Bedrohungsschutz. Vier Anbieter erfüllen diese Anforderungen besonders gut, setzen dabei aber unterschiedliche Schwerpunkte.

NordVPN

NordVPN eignet sich für öffentliche WLANs hervorragend, weil es genau die richtigen Komfort- und Schutzfunktionen mitbringt. Die Funktion Auto-Connect lässt sich so einstellen, dass sich der Dienst automatisch verbindet, sobald Sie ein unsicheres oder unbekanntes Netz betreten – Sie müssen den Schutz also nicht aktiv im Kopf haben.

Hinzu kommt die integrierte Threat Protection, die Schadsoftware und Tracker abwehrt, sowie ein durchgängig verfügbarer Kill Switch, der die Internetverbindung kappt, falls der VPN-Tunnel kurz abbricht. Diese Kombination macht NordVPN zur rundesten Empfehlung für Vielreisende.

Preis: ab 3,39 €/Monat
Stärken: Threat Protection, Auto-Connect, zuverlässiger Kill Switch
Bewertung: 4,8 von 5

Alle Details finden Sie im NordVPN-Test.

ExpressVPN

ExpressVPN setzt beim Schutz unterwegs vor allem auf Stabilität. Der hauseigene Kill Switch trägt hier den Namen Network Lock und gilt als besonders zuverlässig: Bricht die VPN-Verbindung ab, wird der gesamte Datenverkehr sofort blockiert, sodass auch in unsicheren Netzen niemals ungeschützte Daten durchsickern.

Die Verbindungen sind erfahrungsgemäß sehr stabil – ein Vorteil gerade in Netzen mit schwankender Qualität, wie sie in Bahn und Flughafen häufig vorkommen. ExpressVPN ist nicht der günstigste Anbieter, überzeugt aber durch seine ausgereifte Sicherheitsarchitektur.

Preis: ab 6,67 €/Monat
Stärken: Network Lock (sehr zuverlässiger Kill Switch), stabile Verbindungen
Bewertung: 4,7 von 5

Mehr dazu im ExpressVPN-Test.

Surfshark

Surfshark ist die ideale Wahl, wenn Sie mehrere Geräte gleichzeitig absichern möchten. Der Anbieter erlaubt eine unbegrenzte Anzahl an Geräten pro Konto – Smartphone, Tablet und Notebook lassen sich also ohne Aufpreis parallel schützen. Gerade auf Reisen, wenn man mit mehreren Geräten unterwegs ist, zahlt sich das aus.

Mit CleanWeb bringt Surfshark zudem einen Werbe- und Tracker-Blocker mit, der unterwegs lästige Inhalte fernhält. Der niedrige Einstiegspreis macht den Dienst zur attraktiven Option für preisbewusste Nutzer.

Preis: ab 2,19 €/Monat
Stärken: unbegrenzte Geräte, CleanWeb (Werbe- und Tracker-Blocker)
Bewertung: 4,6 von 5

Details im Surfshark-Test.

Proton VPN

Proton VPN stammt aus der Schweiz und damit aus einem Land mit besonders strengem Datenschutzrecht außerhalb der EU. Für alle, die unterwegs nicht nur vor lokalen Lauschangriffen geschützt sein, sondern auch dem VPN-Anbieter selbst möglichst weit vertrauen wollen, ist das ein gewichtiges Argument.

Die Apps sind Open Source und damit für unabhängige Experten überprüfbar. Ein verlässlicher Kill Switch gehört ebenfalls zur Ausstattung. Proton VPN richtet sich an datenschutzbewusste Nutzer, die auch im öffentlichen WLAN Wert auf Transparenz legen.

Sitz: Schweiz
Preis: ab 4,49 €/Monat
Stärken: Schweizer Datenschutz, Open-Source-Apps, Kill Switch
Bewertung: 4,5 von 5

Mehr im Proton-VPN-Test.

Vergleichstabelle

Die folgende Übersicht stellt die für öffentliche WLANs wichtigsten Merkmale der vier Anbieter gegenüber:

Anbieter	Auto-Connect bei unsicherem WLAN	Kill Switch	Bedrohungsschutz	ab-Preis
NordVPN	ja	ja	Threat Protection	3,39 €/Monat
ExpressVPN	ja	ja (Network Lock)	–	6,67 €/Monat
Surfshark	ja	ja	CleanWeb	2,19 €/Monat
Proton VPN	ja	ja	–	4,49 €/Monat

Alle vier Anbieter decken die Grundfunktionen für den mobilen Einsatz ab. Die Unterschiede liegen im Detail: NordVPN bringt den umfassendsten Bedrohungsschutz mit, ExpressVPN den besonders robusten Kill Switch, Surfshark die unbegrenzte Geräteanzahl und Proton VPN den Schweizer Datenschutzfokus.

Wichtige Einstellungen für unterwegs

Ein guter Anbieter allein genügt nicht – entscheidend ist, dass Sie die richtigen Einstellungen aktivieren. Mit diesen drei Maßnahmen holen Sie im öffentlichen WLAN das Maximum an Sicherheit heraus.

Auto-Connect aktivieren. Stellen Sie Ihre VPN-App so ein, dass sie sich automatisch verbindet, sobald Sie ein unbekanntes oder ungesichertes Netz betreten. So ist der Schutz aktiv, bevor Sie überhaupt die erste Seite aufrufen – und Sie vergessen ihn nicht im entscheidenden Moment.
Kill Switch einschalten. Der Kill Switch kappt Ihre Internetverbindung sofort, falls der VPN-Tunnel unerwartet abbricht. Gerade in instabilen Netzen wie in der Bahn oder am Flughafen, wo die Verbindung schwankt, verhindert das, dass Ihr Datenverkehr für einen Moment ungeschützt durchs offene WLAN läuft.
Kein automatisches Verbinden mit unbekannten Netzen. Deaktivieren Sie in den WLAN-Einstellungen Ihres Geräts die Option, sich selbstständig mit offenen Netzen zu verbinden. Andernfalls könnte sich Ihr Smartphone unbemerkt mit einem Evil Twin verbinden, bevor der VPN überhaupt aktiv ist.

Hinweis: Die Kombination aus Auto-Connect und Kill Switch ist der Kern eines sicheren mobilen Setups. Auto-Connect sorgt dafür, dass der Schutz frühzeitig greift; der Kill Switch fängt die kurzen Momente ab, in denen die Verbindung wackelt.

Weitere Schutzmaßnahmen

Ein VPN ist ein zentraler Baustein, aber es ersetzt nicht die übrigen Grundregeln der digitalen Sicherheit. Diese ergänzenden Maßnahmen kosten wenig Aufwand und erhöhen Ihren Schutz unterwegs spürbar:

System- und App-Updates einspielen. Halten Sie Betriebssystem und Apps aktuell. Sicherheitslücken werden über Updates geschlossen; ein veraltetes System ist auch mit VPN angreifbar.
Zwei-Faktor-Authentifizierung (2FA) nutzen. Sichern Sie wichtige Konten zusätzlich mit einem zweiten Faktor ab. Selbst wenn einmal Zugangsdaten abgegriffen würden, bleibt der Account ohne den zweiten Faktor geschützt.
Auf HTTPS achten. Achten Sie weiterhin darauf, dass Webseiten per HTTPS verschlüsselt sind. Ein VPN und HTTPS arbeiten ergänzend – beide Schutzschichten zusammen sind stärker als jede für sich allein.
Datei- und Geräte-Freigaben abschalten. Deaktivieren Sie in fremden Netzen die Datei- und Druckerfreigabe Ihres Geräts. In einem öffentlichen WLAN haben andere Teilnehmer nichts in Ihren freigegebenen Ordnern zu suchen.

Diese Punkte ergänzen das VPN, ersetzen es aber nicht. Umgekehrt gilt ebenso: Ein VPN ersetzt diese Grundregeln nicht. Erst das Zusammenspiel aller Maßnahmen ergibt ein stimmiges Sicherheitskonzept für unterwegs.

Fazit

Öffentliche WLANs sind praktisch, bergen aber reale Risiken: Man-in-the-Middle-Angriffe, gefälschte Hotspots und das Mitlesen unverschlüsselter Verbindungen sind keine theoretischen Szenarien, sondern in offenen Netzen technisch leicht umsetzbar. HTTPS hilft, deckt aber nicht alles ab – ein VPN schließt die verbleibende Lücke, indem es den gesamten Datenverkehr Ihres Geräts verschlüsselt.

Für den mobilen Einsatz ist NordVPN mit Threat Protection, Auto-Connect und zuverlässigem Kill Switch die rundeste Empfehlung. ExpressVPN punktet mit dem besonders stabilen Network Lock, Surfshark mit unbegrenzter Geräteanzahl zum niedrigen Preis und Proton VPN mit Schweizer Datenschutz und Open-Source-Apps. Welcher Dienst zu Ihnen passt, hängt davon ab, ob Sie Wert auf maximalen Funktionsumfang, viele Geräte oder strengen Datenschutz legen.

Eine vollständige Gegenüberstellung aller Anbieter mit aktuellen Preisen finden Sie in unserem VPN-Vergleich. Wenn Sie lieber direkt eine auf Ihr Nutzungsprofil zugeschnittene Empfehlung möchten, führt Sie unsere VPN-Diagnose in wenigen Schritten zur passenden Wahl. So nutzen Sie das WLAN im Café, am Flughafen, im Hotel oder in der Bahn künftig nicht nur bequem, sondern auch bewusst abgesichert.

Häufig gestellte Fragen

Q Brauche ich im öffentlichen WLAN wirklich ein VPN? ▼: Empfehlenswert ist es in jedem Fall. Zwar verschlüsselt heute der Großteil aller Webseiten den Datenverkehr per HTTPS, doch nicht jede App und nicht jeder Dienst tut das zuverlässig. Außerdem schützt HTTPS nicht vor gefälschten Hotspots (Evil Twin), die Sie auf manipulierte Anmeldeseiten umleiten. Ein VPN verschlüsselt den gesamten Datenverkehr und schließt diese Lücke.
Q Schützt HTTPS nicht schon ausreichend? ▼: HTTPS verschlüsselt die Verbindung zwischen Ihrem Gerät und der jeweiligen Webseite und ist ein wichtiger Baustein. Es deckt aber nicht alles ab: Ein Angreifer im selben Netz kann weiterhin sehen, welche Domains Sie aufrufen, und unverschlüsselte Verbindungen einzelner Apps mitlesen oder manipulieren. Ein VPN verschlüsselt den kompletten Datenverkehr Ihres Geräts und ergänzt HTTPS sinnvoll.
Q Was ist ein Evil Twin? ▼: Ein Evil Twin ist ein gefälschter WLAN-Zugangspunkt, der den Namen eines vertrauenswürdigen Netzes nachahmt – etwa „Flughafen_Gratis_WLAN“. Verbinden Sie sich damit, läuft Ihr gesamter Datenverkehr über das Gerät des Angreifers. Da der Netzname identisch wirkt, ist ein Evil Twin von außen kaum zu erkennen.
Q Welcher VPN ist der beste für öffentliches WLAN? ▼: Für unterwegs eignen sich Anbieter mit zuverlässigem Kill Switch und automatischer Verbindung bei unsicheren Netzen besonders gut. NordVPN bietet beides plus die integrierte Threat Protection. ExpressVPN überzeugt mit dem sehr stabilen Network Lock, Surfshark mit unbegrenzter Geräteanzahl und Proton VPN mit Schweizer Datenschutz. Die passende Wahl hängt von Ihrem Nutzungsprofil ab.
Q Sollte ich Auto-Connect im VPN aktivieren? ▼: Ja, wenn Sie häufig fremde Netze nutzen. Viele Apps lassen sich so einstellen, dass sich der VPN automatisch verbindet, sobald Sie ein unbekanntes oder ungesichertes WLAN betreten. So vergessen Sie den Schutz nicht im entscheidenden Moment. In Verbindung mit einem aktiven Kill Switch sind Sie auch dann abgesichert, wenn die Verbindung kurz abbricht.

Finden Sie in 2 Minuten den passenden VPN

Sechs Fragen, drei Empfehlungen. Keine Anmeldung, keine E-Mail, keine Tracker.

▶ Diagnose kostenlos starten

Kostenlos · ohne Anmeldung · 6 Fragen