Ein öffentlicher Hotspot für geladene und ungeladene Gäste stellt ein rechtliches Risiko dar. Denn der Betreiber eines WLANs haftet im Zweifelsfall für das Treiben seiner Gäste im Internet. Im Heimnetz möchte man sich mit den potenziellen Problemen eines öffentlichen Zugangs sicher nicht herumschlagen und sorgt deshalb mittels WPA2 für Sicherheit. Was aber, wenn Freunde, Bekannte oder Kunden zu Besuch sind und mit dem Notebook E-Mails abrufen wollen?
Ein Dilemma: Gibt man den Netzwerkschlüssel für das eigene WLAN preis, so lässt man die Gäste ins eigene Netzwerk. Und wer weiß schon, von welchen Viren und Würmern das mitgebrachte Windows-Notebook befallen ist? Verweigert man den WLAN-Zugang, so gilt man als unfreundlich oder paranoid.
Für Gäste: Separate Wege ins Netz
Die beste Lösung: Ein Gast-WLAN, das getrennt vom sonstigen WLAN arbeitet, lässt Ihre Besucher auf Anfrage ins Internet, aber nicht ins lokale Netzwerk. Das eigene WLAN-Passwort brauchen Sie nicht preiszugeben, denn das Gast-WLAN bekommt seinen eigenen Schlüssel. Je nach Netzwerkausrüstung ist ein getrenntes Gastnetzwerk auch nicht weiter kompliziert und braucht noch nicht mal zusätzlich Hardware.
Bei den meisten WLAN-Routern und Access Points können Sie einen Gastzugang über die Konfigurationsoberfläche einrichten. Aktuelle Router bieten dafür die Funktion mit dem Namen „Gastzugang“, „Gast-Netzwerk“, „Guests“ oder auch „Virtual Access Points“ (D-Link). Damit baut der Router ein weiteres, virtuelles WLAN auf, mit dem sich die Gäste verbinden können. Das Gast-WLAN hat seine eigene SSID (Netzwerkkennung), läuft in diesem Fall aber auf dem gleichen Funkbaustein, der nun abwechselnd mehrere SSIDs bedienen muss.
Damit ist es noch nicht getan: Viele Router und Access Points erstellen das neue Gast-WLAN zunächst als offenes Netzwerk ohne Passwortschutz. Das Gast-WLAN soll aber nicht zum öffentlichen Hotspot werden, da das Missbrauchspotenzial durch Unbekannte in Funkreichweite zu groß ist. Setzen Sie deshalb auch im Gast-WLAN WPA2 als Zugangssicherung ein, und vergeben Sie ein Passwort, das Sie ihren Gästen auf Anfrage hin verraten.
Tipp: Auch jeder Alt-Router aus dem Kellerregal kann ein zusätzliches WLAN für Gäste mit eigenem Kennwort bereitstellen. An geeignetem Ort an das Ethernet angeschlossen, müssen Sie nur über seine Konfigurationsoberfläche WLAN aktivieren und SSID sowie WPA2-Schlüssel anlegen. Eine Abschottung der Gäste vom LAN ist hier oft nicht möglich (siehe nächsten Punkt).
Client Isolation: Gäste kommen nicht ins LAN
Eine weitere Sicherheitsvorkehrung ist empfehlenswert: Im Gast-WLAN sorgen Sie dafür, dass alle Clients nur sich selber und den Zugangspunkt im lokalen Netzwerk sehen, nicht aber andere Clients. In der Konfigurationsoberfläche von Access Points und WLAN-Routern nennt sich diese Einstellung meist „Wireless Isolation“, „Clients Isolation“, „AP Isolation“ oder „Station Isolation“. Die AVM Fritzbox und der Telekom Speedport nennen diese Option „Die angezeigten WLAN-Geräte dürfen untereinander kommunizieren“. Ist die Client Isolation aktiviert beziehungsweise in der Fritzbox die Client-Kommunikation abgeschaltet, erreichen WLAN-Geräte über den Router zwar das Internet, können sich aber nicht mit dem lokalen Netzwerk verbinden.
Auf diese Weise können Sie andere WLAN-Geräte ins Funknetzwerk lassen, ohne befürchten zu müssen, dass sie auf Netzwerkfreigaben spazieren gehen.
Fritzbox: Viel Komfort für Gäste
Die Fritzbox bietet ab Fritz-OS 5.59 zusätzliche Möglichkeiten fürs Gäste-WLAN. Sie aktivieren die Funktion in der Konfigurationsoberfläche des Routers über „WLAN -> Gastzugang -> Gastzugang aktiv“. Anschließend legen Sie in diesem Menü eine SSID, eine Verschlüsselungsart und ein Passwort mit mindestens acht Stellen fest. Diese Informationen können Sie über „Info-Blatt drucken“ ausdrucken. Auf diesem Blatt sind auch die Daten für das Haupt-WLAN verzeichnet – die sollten Sie abschneiden, bevor Sie es an Besucher weiterreichen. Tablet-und Smartphone-Surfer können einfach den abgedruckten QR-Code abfotografieren, um ohne weitere Eingaben ins WLAN zu kommen. Das klappt etwa mit der kostenlosen Android-App „ Fritz!App WLAN Lab“ unter „Mehr -> QR-Scan“.
Da Vertrauen gut, Kontrolle aber besser ist, können Sie sich das Router-Protokoll der Fritzbox zusenden lassen, um zu sehen, wer wann wie lange im Gast-WLAN unterwegs war. Außerdem lässt sich das WLAN nach einer bestimmten Dauer abschalten oder erst, wenn es der letzte Gast verlassen hat. Standardmäßig erlaubt die Fritzbox im Gast-WLAN nur Surfen oder Mailen, alle anderen Protokolle sind gesperrt, solange Sie den Haken bei dieser Option nicht entfernen. Die Gastgeräte kommen mit den Voreinstellungen der Fritzbox nur ins Internet, können aber keinen Kontakt zueinander aufnehmen.
Störerhaftung: Anschlussinhaber stehen in der Pflicht
Aufgrund der rechtlichen Situation in Deutschland muss sich jeder gut überlegen, welche Gäste er in sein WLAN lässt. Bei Urheberrechtsverletzungen oder gar Straftaten im Internet heißt es vor Gericht meist: Im Zweifel gegen den Angeklagten – also gegen den Anschlussinhaber. Dieser ist anhand der IP-Adresse, die ein Geschädigter dem Gericht vorlegt, schnell ausgemacht.
Internet-Provider unterliegen in Deutschland seit 2008 einem zivilrechtlichen Auskunftsanspruch und müssen die Identität eines Kunden hinter einer IP-Adresse preisgeben. So können Rechteinhaber mit einer Liste von IP-Adressen direkt an die Provider herantreten, um dann Urheberrechtsverfahren gegen Anschlussinhaber zu eröffnen. Diese haften für den Netzwerkverkehr und können für die Gebühren einer Unterlassungserklärung und Anwaltskosten in die Pflicht genommen werden. Das gilt übrigens auch, wenn das WLAN versehentlich unzureichend geschützt oder gehackt wurde. In Juristendeutsch nennt sich dies „Störerhaftung“ und macht jeden für die Absicherung seines Internet-Zugangs selbst verantwortlich. Für das Wachstum der WLAN-Abdeckung durch Hotspots sind diese Urteile ein Problem: Wer möchte als Café-Betreiber oder öffentliche Einrichtung dieses Risiko auf sich nehmen?
Das Bundeswirtschaftsministerium hat im März 2015 einen Gesetzesvorschlag ausgearbeitet, der die Situation für private WLAN-Betreiber entschärfen will. So sollen Privatpersonen nicht mehr haften, wenn sie die Gäste in ihrem WLAN namentlich kennen. Betreiber öffentlicher Netze müssen von ihren Nutzern eine Erklärung einholen, dass diese keine Rechtsverletzungen begehen werden. Das bedeutet einigen technischen und bürokratischen Aufwand, den Branchenverbände kritisieren, aber immerhin reduziert der Gesetzesvorschlag das Haftungsrisiko für private WLAN-Betreiber. Aktuell aber gilt die bisherige Störerhaftung.
(PC-Welt/ad)