Warum Expats ihre Bankdaten riskieren, ohne es zu merken
Die Szene wiederholt sich jeden Morgen tausendfach. Ein deutschsprachiger Langzeitbewohner setzt sich in ein Café in Pattaya, Chiang Mai oder auf Koh Samui, verbindet sein Notebook mit dem offenen WLAN, öffnet die Sparkassen-App oder das Postbank-Login und überweist Geld. Vielleicht prüft er danach den Kontostand bei der DKB, ruft seine Mails ab, loggt sich bei Elster ein oder checkt den Status seiner Auslandskrankenversicherung. Alles über eine Verbindung, die er mit jedem anderen Gast im Raum teilt.
Das Glasfaser-Internet in Thailand ist bemerkenswert günstig. AIS, True und 3BB bieten Heimanschlüsse mit 600 Baht pro Monat (etwa 16 Euro) an. Die Abdeckung in den Städten ist gut. Aber wer tagsüber im Café arbeitet, auf Reisen im Hotel sitzt oder im Condo-Gemeinschaftsbereich surft, nutzt Netze, über die er keine Kontrolle hat. Und genau dort liegt das Problem.
Was auf einem offenen Netzwerk tatsächlich sichtbar ist
Ein offenes WLAN ohne individuelle Verschlüsselung (und das betrifft die Mehrheit der Café- und Hotel-Netze in Thailand) überträgt den gesamten Datenverkehr aller verbundenen Geräte über denselben Kanal. Die gute Nachricht: HTTPS-verschlüsselte Seiten schützen den Inhalt der Übertragung. Die Sparkassen-Website zeigt dem Mithörer nicht das Passwort.
Die schlechte Nachricht: DNS-Anfragen laufen auf den meisten Geräten immer noch unverschlüsselt. Das bedeutet, dass jeder im selben Netzwerk sehen kann, welche Domains aufgerufen werden. Nicht die konkrete Seite, aber den Domainnamen. Wer `sparkasse-koelnbonn.de`, `check24.de/krankenversicherung`, `elster.de` und `immobilienscout24.de` in Folge aufruft, liefert einem Beobachter ein vollständiges Profil: Bankverbindung, Versicherungsstatus, Steuerpflicht, Immobilieninteresse. Ohne eine einzige Seite gelesen zu haben.
Ich halte das für das am meisten unterschätzte Risiko unter deutschsprachigen Expats in Thailand. Nicht weil die Angriffe kompliziert wären, sondern weil die meisten Betroffenen nicht wissen, dass ihre DNS-Anfragen sichtbar sind.
Falsche Hotspots: In Thailand alltäglicher als in Europa
In deutschen Cafés ist ein gefälschter Hotspot eher die Ausnahme. In touristischen Gebieten Thailands ist er Routine. Ein Gerät, das einen Hotspot mit dem Namen „TrueWiFi_Free“ oder „CaféPattaya_Guest“ ausstrahlt, kostet unter 100 Euro und passt in eine Jackentasche. Wer sich verbindet, leitet seinen gesamten Datenverkehr über das Gerät des Angreifers.
Das Ergebnis kann ein sogenannter Man-in-the-Middle-Angriff sein: Der Angreifer sitzt zwischen dem Gerät des Opfers und dem eigentlichen Internet. Bei korrekt implementiertem HTTPS bleibt der Inhalt geschützt. Aber nicht alle Apps und Dienste implementieren HTTPS korrekt. Und auf älteren Android-Geräten (unter Version 9) laufen DNS-Anfragen grundsätzlich im Klartext, selbst wenn die besuchte Seite verschlüsselt ist.
Laut MetaCompliance haben 87 Prozent der Nutzer öffentlicher WLAN-Netze mindestens einmal persönliche Daten exponiert, ohne es zu bemerken. Die Zahl stammt aus einer internationalen Erhebung, aber wer die WLAN-Infrastruktur in thailändischen Touristengebieten kennt, wird sie nicht für übertrieben halten.
JETZT den Wochenblitz WERBEFREI lesen!
Ein VPN ändert die Gleichung konkret
Ein VPN (Virtual Private Network) erstellt einen verschlüsselten Tunnel zwischen dem Gerät und einem Server im Ausland. Für den WLAN-Betreiber und jeden anderen im Netzwerk wird der gesamte Datenverkehr unsichtbar: kein DNS im Klartext, keine erkennbaren Domainnamen, keine Metadaten über besuchte Dienste. Was sichtbar bleibt, ist eine verschlüsselte Verbindung zu einer einzigen IP-Adresse.
Für Expats in Thailand hat ein VPN zusätzlich einen praktischen Nutzen: Die Mediatheken von ARD und ZDF blockieren Zugriffe aus dem Ausland. Wer sich über einen deutschen VPN-Server verbindet, erhält eine deutsche IP-Adresse und kann Tagesschau, ZDF Mediathek und Deutschlandfunk wie gewohnt nutzen. Gleiches gilt für Sportübertragungen, die in Thailand gesperrt sind, und für einige Bankingportale, die Logins aus asiatischen IP-Bereichen als verdächtig einstufen.
01net hat einen technischen Vergleich der wichtigsten VPN-Dienste veröffentlicht, der Geschwindigkeit, Protokolle und Datenschutzrichtlinien gegenüberstellt. Die Ergebnisse sind auf dieser Seite einsehbar und helfen bei der Orientierung, bevor man sich für einen Anbieter entscheidet.
Was ein VPN nicht ersetzt
Ein VPN schützt den Transportweg der Daten. Es verhindert nicht, dass jemand auf einer Phishing-Seite sein Passwort eingibt. Es blockiert keine Malware, die über einen E-Mail-Anhang kommt. Und es schützt nicht vor Social Engineering, das in Thailand (wie überall) zunimmt.
Die Zwei-Faktor-Authentifizierung (2FA) auf allen Bankkonten und E-Mail-Diensten bleibt unverzichtbar. Wer sein Sparkassen-Login mit SMS-TAN absichert, sollte prüfen, ob die SMS auf eine thailändische Nummer zuverlässig ankommt, oder besser auf eine Authenticator-App umsteigen. Passwörter, die auf mehreren Diensten wiederverwendet werden, sind in Thailand genauso gefährlich wie in Deutschland.
Und: Kostenlose VPN-Dienste sind in den meisten Fällen problematisch. Ihre Server sind überlastet, die Geschwindigkeit reicht selten für Streaming, und mehrere Anbieter wurden 2025 dabei erwischt, Nutzerdaten an Dritte weiterzuverkaufen. Ein seriöser Dienst mit geprüfter No-Log-Richtlinie (Audits durch Firmen wie Deloitte, Cure53 oder KPMG) kostet zwischen 3 und 8 Euro im Monat. Gemessen an dem, was auf dem Spiel steht, wenn europäische Bankdaten über ein ungesichertes Café-WLAN in Pattaya laufen, ist das kein relevanter Betrag.
Die Lücke zwischen Infrastruktur und Bewusstsein
Thailand bietet 2026 eine digitale Infrastruktur, die vielen europäischen Ländern voraus ist. Glasfaser für 16 Euro, flächendeckendes 5G in den Städten, stabile Mobilfunknetze selbst auf den Inseln. Was fehlt, ist das Bewusstsein dafür, dass schnelles Internet nicht gleichbedeutend mit sicherem Internet ist.
Wer sich in einem deutschen Café einloggt, tut das auf einem Netz, das der deutschen DSGVO unterliegt. Wer sich in Thailand einloggt, tut das auf einem Netz ohne vergleichbare Regulierung. Die Verbindung ist schnell. Die Frage ist, wer noch mitliest.