Sicherer Betrieb von Hotspots
Hotspots sollten immer als unsicheres Netz betrachtet werden, zum einem, da das dort vorhandene Sicherheitsniveau von außen nur schwer einzuschätzen ist und zum anderen, da die meisten Hotspots ihre Dienste in Form sogenannter Shared-Networks (gemeinsame Netzwerke) anbieten. Dadurch kann im Allgemeinen der Zugriff von jedem Endgerät auf jedes andere teilnehmende Endgerät möglich sein.
Bei Hotspots handelt es sich um einen räumlich begrenzten Funkbereich, der auf einen Raum, eine Halle oder eine Produktionsstätte begrenzt sein kann. Meistens werden Hotspots explizit für die Nutzung durch fremde Teilnehmer aufgebaut.
Zweck eines Hotspots ist im Allgemeinen (fremden) Benutzern einen einfachen Zugang zum Internet zu erlauben.
Beim Betrieb von Hotspots sollten zumindest folgende Sicherheitsmaßnahmen umgesetzt werden:
- Um einen Hotspot dauerhaft und sicher betreiben zu können, ist eine erfolgreiche Authentisierung aller Benutzer am Hotspot erforderlich. Ein gebräuchliches und ansatzweise sicheres Verfahren ist beispielsweise Webauthentisierung. Hierbei gibt der Benutzer über eine Webschnittstelle seine Zugangsdaten (IP-Adresse, Benutzername, Passwort etc.) ein. Dies sollte natürlich über SSL/TLS verschlüsselt erfolgen. Nach einer erfolgreichen Anmeldung wird der Zugang für den Client freigeschaltet.
- Jede(r) Benutzende eines Hotspots muss seine oder ihre Sicherheitsanforderungen kennen und danach entscheiden, ob und unter welchen Bedingungen ihm oder ihr die Nutzung des Hotspots erlaubt ist.
- Werden Hotspots genutzt, dann sollte sichergestellt werden, dass die Verbindung zwischen Hotspot-Access Point und IT-Systemen der Benutzenden nach dem Stand der Technik kryptografisch abgesichert wird.
- WLANs, die nur sporadisch genutzt werden, sollten von den Benutzenden aus der Historie gelöscht werden.
- Die automatische Anmeldung an WLANs sollte deaktiviert werden.
- Wenn möglich, sollten separate Konten mit einer sicheren Grundkonfiguration und restriktiven Berechtigungen verwendet werden.
- Es sollte sichergestellt sein, dass sich keine Benutzenden mit administrativen Berechtigungen von ihren Clients aus an externen WLANs anmelden können.
- Sensible Daten dürfen nur übertragen werden, wenn allen notwendigen Sicherheitsmaßnahmen auf den Clients, vor allem eine geeignete Verschlüsselung, aktiviert sind.
- Wird die WLAN-Schnittstelle über einen längeren Zeitraum nicht genutzt, muss diese deaktiviert werden.
- Über öffentlich zugängliche WLANs dürfen die Benutzenden nur über ein Virtual Private Network (VPN) auf interne Ressourcen der Institution zugreifen.
- Außerdem sollten Hotspot-Betreiber regelmäßig die Protokolle daraufhin überprüfen, ob hier Unregelmäßigkeiten zu erkennen sind, also beispielsweise die Zahl der Benutzer die der angemeldeten Gäste übersteigt.
- Anbieter von öffentlichen Hotspots haben darüber hinaus die jeweiligen gesetzlichen und regulatorischen Vorgaben zu beachten.
Den Benutzern sind in geeigneter Weise vorab die Nutzungsbedingungen mitzuteilen. In den Nutzungsbedingungen sollten Hinweise darüber zu finden sein, ob die Nutzung kostenfrei oder kostenpflichtig ist (mit Angabe der entsprechenden Preise), aber auch, welche Leistungen, vor allem welche Sicherheitsmechanismen, bei der Verwendung des Hotspots angeboten werden. Der Benutzer muss bestätigen, dass er die Nutzungsbedingungen zur Kenntnis genommen hat und akzeptiert. Bei einer Webauthentisierung könnten die Nutzungsbedingung beispielsweise auf einer Webseite präsentiert und die Zustimmung zu den Nutzungsbedingungen eingeholt werden.