Anleitung: Sicheres Gäste-WLAN im Unternehmen einrichten – 9 Expertentipps

Das Anbieten von WLAN-Zugängen ist inzwischen nicht nur für Hotels zum gängigen Standard geworden. Beinahe jedes Unternehmen mit Publikumsverkehr offeriert seinen Gästen einen Zugang zu seinem Internetanschluss. Dass dies aus rechtlicher Sicht nicht immer unproblematisch ist, haben wir bereits ausführlich in einem anderen Artikel dargestellt. Für Besserung soll nun ein Gesetz zur Neuregelung der Störerhaftung sorgen. Der aktuelle Entwurf davon verlangt „zumutbare Schutzmaßnahmen“ des WLAN-Betreibers, welche Rechtsverletzungen durch Dritte mittels dessen Anschluss verhindern sollen. Welche konkreten Schutzmaßnahmen getroffen werden müssen, kann zumindest teilweise der Gesetzesbegründung entnommen werden: Dort ist die Rede von einer WPA2-Verschlüsselung, der freiwilligen Registrierung der Nutzer des WLANs und einer Belehrung der Nutzer über das Unterlassen von Rechtsverletzungen.

Diese Vorgaben alleine dürften jedoch wohl nicht ausreichen, um sich als Unternehmen abzusichern. Daher zeigen wir Ihnen, wie Sie mit Hilfe von neun Maßnahmen eine angemessen sichere Ausgestaltung eines Gäste-WLAN erreichen.

1. Individueller WLAN-Zugang

Grundsätzlich sollten Unternehmen keine offenen WLAN-Zugänge zur Verfügung stellen. Dies führt einerseits aus rechtlicher Sicht regelmäßig zu einer Haftung des Anbieters und kann andererseits die Sicherheit des Unternehmens gefährden. Denn in einem offenen WLAN ist es kaum möglich, den Überblick über die verbundenen Nutzer zu behalten. Und der Netzzugang ist oftmals der erste Schritt, um Angriffe auf das IT-System zu starten. Daher sollten stets individuelle Zugangskennungen (Voucher) vergeben werden, beispielsweise durch den Empfang oder die Rezeption. Das oft vorhandene Schild im Wartebereich mit den Zugangsdaten zum WLAN ist hingegen alles andere als empfehlenswert.

2. WLAN-Zugänge zeitlich begrenzen

Neben der individuellen Vergabe von Zugängen ist es wichtig, deren Gültigkeit zeitlich zu begrenzen. Denn je länger ein Voucher aktiv bleibt, desto größer ist die Wahrscheinlichkeit, dass die Zugangsdaten nicht nur dem Berechtigten bekannt sind und eine Nutzung des Vouchers durch mehrere Personen erfolgt. Im Regelfall lässt sich die Gültigkeitsdauer für jeden Voucher gesondert konfigurieren.

3. Trennung der Netze

Von sicherheitstechnisch hoher Relevanz ist zudem die Trennung der verschiedenen Netze. Das interne Netz sollte also strikt vom Gästenetz getrennt sein, sei es durch logische oder physikalische Trennung. Für die Nutzung eines WLANs bedeutet dies die Verwendung verschiedener Netzwerknamen (sog. SSIDs) für die jeweiligen Teilnetze. Zu beachten ist dabei, dass neben der Vergabe verschiedener SSIDs auch das jeweilige LAN durch Nutzung verschiedener VLANs abgetrennt wird.

4. Reichweite des WLANs

Zudem sollte sichergestellt werden, dass die Sendereichweite der jeweiligen Netze nicht ausufert. Oftmals kommt es vor, dass Funknetze die Gebäudegrenzen überschreiten und ein Zugang auch vom öffentlichen Straßenraum aus möglich ist. In diesem Fall verlieren Unternehmen jedoch die Kontrolle über die Personen, die Zugriff nehmen können, da diese nicht mehr räumlich vom Netz ferngehalten werden können. Daher sollte in den Konfigurationseinstellungen des WLAN-Routers die Signalstärke auf das notwendige Maß gedrosselt werden, sofern dies beim jeweiligen Modell technisch umsetzbar ist.

5. Unterbindung der Hotspot-Konfiguration

Des Weiteren ist darauf zu achten, dass keine Komponente des Gastnetzwerkes aus dem Gastnetzwerk heraus konfigurierbar ist. Sämtliche Komponenten des WLANs müssen also so eingestellt werden, dass der Zugang zum Administrationsmenü lediglich aus dem internen Netz heraus möglich ist.

6. Verhinderung der Gerätekommunikation im WLAN

Oftmals können Geräte innerhalb desselben Netzwerks untereinander kommunizieren bzw. sind für einander sichtbar. Dies stellt jedoch aus sicherheitstechnischer Sicht ein großes Risiko dar, da viele Nutzer ohne ihr Wissen öffentliche Freigaben auf ihren Geräten aktiviert haben, welche jedem Nutzer desselben (Gast-)Netzwerks zumindest lesenden Zugriff auf die freigegebenen Dateien ermöglichen. Daher sollte das Netzwerk so eingestellt sein, dass eben diese Kommunikation aller verbundenen Geräte ausgeschlossen ist.

7. Eigene Internetverbindung fürs Gäste-WLAN

Empfehlenswert ist es auch, für das Gäste-WLAN einen eigenständigen Zugang zum Internet zu konfigurieren, welcher sich von dem des internen Netzes unterscheidet.

8. Sperrung der Ethernet-Ports

Neben der sicheren Konfiguration des WLANs ist es wichtig, öffentlich zugängliche Ethernet-Ports, also LAN-Steckdosen, entsprechend abzusichern. Ansonsten ist es jedem, der Zugang zu einer Ethernet-Steckdose hat, möglich, schrankenlos in das an die Dose gepatchte Netzwerk zu gelangen. Die Absicherung kann dabei durch drei verschiedene Authentisierungsmechanismen geschehen: mittels MAC-Adresse, mittels Zertifikat und mittels 802.1X Authentifizierung. Hinsichtlich der Sicherheit bestehen keine nennenswerten Unterschiede, lediglich im Hinblick auf die Praktikabilität kann je nach Größe des Unternehmens die eine oder die andere Lösung gewisse Vorteile bieten.

9. Sperrung von Webseiten und Diensten

Letztlich sollten gewisse Inhalte im Internet für den Nutzer des Gäste-WLANs gesperrt werden. Hierfür gibt es grundsätzlich zwei Möglichkeiten, von denen beide parallel genutzt werden sollten: zum einen die Einrichtung einer Portsperre und zum anderen die Nutzung von Webfiltern, welche bestimmte Kategorien von Webseiten blockieren.

Portsperren sind insofern sinnvoll, als für bestimmte Dienste im Regelfall bestimmte Ports genutzt werden. Eine Liste der standarisierten Ports finden Sie beispielsweise bei Wikipedia. Daher können nicht für notwendig befundene Dienste, wie beispielsweise peer-to-peer-Verbindungen, blockiert werden. Im Idealfall werden grundsätzlich alle Ports gesperrt, außer die für den Geschäftsalltag notwendigen. Das sind in der Regel folgende Ports:

  • 80 für Surfen im Internet mittels http
  • 433 für Surfen im Internet mittels https
  • 53 für den DNS-Dienst
  • 500 und 4500 für den Aufbau einer VPN-Verbindung
  • 110 für E-Mailempfang mittels POP3
  • 143 für E-Mailempfang mittels IMAP

Fazit: Sicheres Gäste-WLAN ist möglich

Gerade Unternehmen sollten auf die Sicherung ihrer Daten ein besonderes Augenmerk haben, ebenso auf die Frage nach der Haftung für im Firmennetzwerk ausgeführte Handlungen. Sofern Sie die hier aufgeführten Maßnahmen umsetzen, steht dem sicheren Einsatz eines Gäste-WLANs nichts mehr im Wege.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!