Wie man ein sicheres WLAN für Gäste einrichtet

Ein Gäste-WLAN ist nicht einfach ein Gäste-WLAN. Vielerorts mangelt es an grundlegenden Sicherheitsvorkehrungen, und der gut gemeinte Gästezugang wird zum Einfallstor für böswillige Hacker oder Gelegenheitsdiebe. Wer ein separiertes WLAN einrichtet, schützt nicht nur den eigenen Betrieb, sondern sorgt auch für das Wohlbefinden seiner Gäste.

Ob im Café, Restaurant oder im Hotel – ein WLAN(Wireless Local Area Network)-Zugang für Gäste gehört mittlerweile zum guten Ton. Zählte man 2008 noch ein einzelnes Gerät auf zweieinhalb Gäste, sind es heute bis zu zwei Geräte pro Hotelgast. Das bedeutet eine Steigerung um 400 Prozent in 10 Jahren. Die zunehmende Vernetzung stellt aber nicht nur neue Anforderungen, was die Verfügbarkeit und Leistungsfähigkeit eines Gäste-WLANs betrifft, sondern auch, was die Sicherheit angeht. Gäste, aber vor allem auch die Gastronomen und Hoteliers sind sich oftmals gar nicht bewusst, welche Gefahren lauern. Wer seinen Gästen kurzerhand das Passwort des WLANs gibt, handelt fahrlässig: Denn damit gelangen Personen unter Umständen ins interne Netzwerk und damit an vertrauliche Dokumente. Oder es könnte Malware eingeschleppt respektive – wie bei einer bekannten Kaffeekette kürzlich passiert – sensible Daten von Gästen abgefangen werden.
Zudem müssen bei professionell betriebenen öffentlichen WLANs seit 1. März 2018 die Verordnungen gemäss dem Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) befolgt werden. Dieses besagt, dass alle Benutzer eines professionell betriebenen öffentlichen WLAN-Zugangspunktes identifizierbar sein müssen, damit bei Missbrauch eines öffentlichen Netzes und einer behördlichen Untersuchung fehlbare Personen nicht anonym bleiben.


WLAN-Zugänge separieren
Daher ist grundsätzlich ein separiertes WLAN für alle Betriebe mit Publikumsverkehr ratsam oder auch dann, wenn regelmässig Geschäftspartner ein- und ausgehen, die einen Internetzugang für mobile Geräte benötigen. Eine Trennung des WLANs ist mit einer VLAN-Lösung (Virtual Local Area Network) möglich. Damit wird der Firmen-Internetanschluss virtuell geteilt. So ist sichergestellt, dass kein Externer auf das interne Netzwerk zugreifen kann. Eine eindeutige Bezeichnung wie zum Beispiel «Name Betrieb Gast» hilft anschliessend bei der Unterscheidung. Solche VLAN-Lösungen können Betriebe in der Regel direkt bei ihrem Netzwerkanbieter beziehen. Swisscom beispielweise hat für Betriebe jeder Grösse individuelle Angebote, die in Kombination mit einem professionellen Internetanschluss hohe Sicherheitsanforderungen erfüllen.
Alle Gäste, die auf das Gastnetz zugreifen wollen, gelangen auf eine Login-Seite und werden per SMS-Code identifiziert. Wichtig zu wissen ist, dass bei einem separierten WLAN Mitarbeitende die verfügbare Bandbreite mit den eingeloggten Gästen teilen. Entsprechend ist es bei der Wahl des Angebots wichtig, darauf zu achten, ob eine Priorisierung möglich ist. Mit einer Priorisierung des Firmenzugangs verhindert Swisscom beispielsweise, dass der Video-Stream eines Besuchers relevante Geschäftsanwendungen behindert oder bei den Mitarbeitenden für ein langsames Internet sorgt.
Ist keine VLAN-Funktion beim bestehenden Netzwerkangebot respektive -anbieter verfügbar, kann man neben dem Firmennetzwerk auch einen zweiten, separaten Internetanschluss nur für Gäste einrichten. Mit dieser Methode ist das Gastnetz ebenfalls vom Rest getrennt, verursacht aber höhere Kosten als eine VLAN-Lösung.


Mit Professionalität überzeugen
Nebst getrennten Zugängen bieten moderne WLAN-Angebote weitere Vorteile wie eine SSL- oder TLS-verschlüsselte Login-Page. Dank dieser werden die Daten beim Login verschlüsselt übertragen. Kein Dritter kann persönliche Informationen abfangen. Ausserdem besteht die Möglichkeit, die Login-Seite und Verifizierungs-SMS im Look und Feel des eigenen Brands zu gestalten, etwa mit eigenen Texten und Bildern. Das hinterlässt nicht nur einen professionellen Eindruck beim Gast, sondern ist darüber hinaus viel persönlicher und rundet den Gesamteindruck vom Aufenthalt perfekt ab.
Wer die Möglichkeit hat, setzt bei seiner Netzwerklösung inklusive Gäste-WLAN auf einen Managed Service. In diesem Fall stellt der Anbieter die Infrastruktur und Bandbreite zur Verfügung und kümmert sich auch um den Betrieb und die Wartung. Weder Chef noch Personal müssen sich folglich um technische Fragen, Geräte-Updates oder -ersatz kümmern. Dies ist besonders bei Kapazitätserhöhungen und räumlichen Erweiterungen des WLAN-Netzes ein Vorteil, da hier Spezialwissen gefragt ist. Das alles gibt es in der Regel zu einem monatlichen Fixbetrag. Entsprechend sind die Kosten stets transparent und planbar.

Tipps und Tricks für einen sicheren WLAN-Zugang

  • Das WLAN im Betrieb muss unbedingt mit einem Passwort geschützt werden. Im Geschäftsumfeld darf dieses Passwort aber seit dem 1. März 2018 nicht mehr an Dritte weitergegeben werden.
  • Es ist deshalb besser, wenn sich die Gäste über ein SMS-Login in einem separaten WLAN anmelden.
  • Mitarbeitende sollten das separierte WLAN für Gäste nicht benutzen. Falls doch, sollte darauf geachtet werden, dass auf ihren Geräten keine Freigaben aktiviert sind, die die Kommunikation mit anderen Geräten ermöglichen, oder dass das Netzwerk keine Kommunikation unter den Geräten erlaubt.
  • Reichweite einschränken: Bieten Sie Gästen nur dort WLAN an, wo es auch genutzt werden soll, etwa im Hotelzimmer, Gastraum oder an der Rezeption. Schalten Sie das separierte WLAN aus auf Access Points, die hierfür nicht benötigt werden. Dazu gehören beispielsweise solche, die an Orten eingerichtet wurden, die den Gästen gar nicht zugänglich sind.
  • Empfehlenswert ist eine Hausordnung, die die Gäste auf die gewünschten Gepflogenheiten im separierten WLAN hinweist.
  • Nicht nur das WLAN, auch öffentlich zugängliche Ethernet-Anschlüsse sollten von der IT entsprechend abgesichert werden.
  • Keine Komponente des separierten WLANs darf aus dem Gastnetzwerk heraus selbst konfigurierbar sein. Der Zugang zur Administration muss aus dem internen Unternehmensnetz heraus erfolgen.

Reto Baschera ist Leiter Business Products bei Swisscom und beschäftigt sich seit Jahren mit den Bedürfnissen der Schweizer KMU. Er verantwortet die Entwicklung von Wireline-Produkten für Geschäftskunden sowie das gesamte KMU-Portfolio und dessen Vermarktung. Zusammen mit seinem Team entwickelt er Angebote für Telefonie, Internet, Netzwerk, Cloud und IT sowie Managed Services für KMU.