Böser Zwilling

Malicious Twin

Ein „böser Zwilling“ ist ein gefälschtes WLAN, das aussieht wie ein vertrauenswürdiges, echtes Netzwerk – zum Beispiel das Gäste-WLAN eines Unternehmens, eines Cafés oder eines Hotels. Ziel der Angreifer ist es, Nutzer dazu zu bringen, sich mit dem falschen Netzwerk zu verbinden, um anschließend ihre Daten abzugreifen.

Was passiert beim Angriff?

Der Angreifer erstellt ein WLAN mit identischem Namen (SSID) wie ein echtes Netzwerk. Verbindet sich ein Gerät damit – oft automatisch, wenn es das echte Netzwerk kennt –, kann der Angreifer z. B.:

Datenverkehr mitschneiden (z. B. Passwörter oder E-Mails)
Schadsoftware verteilen
Logins abfangen (z. B. zu Cloud-Diensten, Unternehmenssystemen)

Wo begegnet mir das im KMU-Arbeitsalltag?

Ein Beispiel: Mitarbeitende loggen sich unterwegs im Café oder auf einer Messe in ein WLAN mit dem Namen „Firmenname_Guest“ ein – in Wahrheit ist es das gefälschte Netz eines Angreifers. Besonders kritisch ist das, wenn sie dabei auf interne Systeme zugreifen oder E-Mails mit vertraulichen Daten versenden.

Wie schützt man sich?

Nie automatisch mit bekannten WLANs verbinden lassen
VPN-Verbindungen nutzen, insbesondere unterwegs
WLAN-Namen prüfen – im Zweifel lieber Mobile Data verwenden
Schulungen zur Sensibilisierung durchführen
Keine sensiblen Dienste über öffentliche WLANs nutzen

Der „böse Zwilling“ ist ein einfach durchzuführender, aber wirkungsvoller Angriff – deshalb ist Aufklärung im Unternehmen besonders wichtig.

A ‘malicious twin’ is a fake Wi-Fi network that looks like a trusted, genuine network – for example, the guest Wi-Fi network of a company, café or hotel. The attacker’s goal is to trick users into connecting to the fake network so that they can then access their data.

What happens during the attack?

The attacker creates a Wi-Fi network with the same name (SSID) as a real network. When a device connects to it – often automatically if it knows the real network – the attacker can, for example:

Record data traffic (e.g. passwords or emails)
Distribute malware
Intercept logins (e.g. to cloud services, company systems)

Where do I encounter this in everyday SME work?

An example: Employees log into a Wi-Fi network called ‘Company name_Guest’ while on the road in a café or at a trade fair – in reality, it is a fake network set up by an attacker. This is particularly critical if they access internal systems or send emails containing confidential data.

How can you protect yourself?

Never automatically connect to known Wi-Fi networks
Use VPN connections, especially when travelling
Check Wi-Fi names – if in doubt, use mobile data
Conduct awareness training
Do not use sensitive services via public Wi-Fi networks

The ‘malicious twin’ is an easy-to-execute but effective attack – which is why education within the company is particularly important.