Ein Patentrezept für den Weg zum optimalen Hotspot gibt es nicht, dafür ist die Motivation der Betreiber zu unterschiedlich. Während die einen mit einem Hotspot eine neue Einnahmequelle erschließen wollen, ist für andere der WLAN-Knoten nur eine Serviceleistung am Kunden. Andere Anwender wollen wiederum ihre Access Points nicht nur als öffentliche Zugangsknoten einsetzen, sondern gleichzeitig den eigenen Mitarbeitern einen Zugriff auf Unternehmensdaten eröffnen. Je nach Anspruch ergeben sich so verschiedene Lösungsvarianten hinsichtlich Verwaltung, Abrechnung, Überwachung und Authentifizierung.
Beim Aufbau eines Hotspots sind neben technischen Feinarbeiten auch rechtliche Besonderheiten zu beachten. (Foto: Deutsche Telekom)
Unabhängig vom verfolgten Ziel gelten aber für alle Betreiber zwei rechtliche Vorgaben. Wenn die Funksignale des eigenen Hotspots über die Grundstücksgrenzen hinaus in den öffentlichen Raum reichen, so ist der Betreiber verpflichtet, dies der Regulierungsbehörde für Telekommunikation und Post anzuzeigen. Ferner sind die Hotspot-Betreiber nach der derzeitigen Rechtsauffassung als eine Art Service-Provider zu betrachten und damit im Sinne des Telekommunikationsgesetzes verantwortlich für die Daten, die über ihren WLAN-Knoten ausgetauscht werden.
Im Zweifelsfall halten sich nämlich die Strafverfolgungsbehörden, wenn etwa extremistische oder pädophile Inhalte gefunden wurden, an den Access-Point-Betreiber, da sie dessen IP-Adresse zuerst erfassen. Vor diesem Hintergrund rät Eckhart Traber von der Lancom Systems GmbH, Würselen: "Der Betreiber sollte mit einem Authentifizierungsverfahren arbeiten, um nachweisen zu können, dass er nicht für die beanstandeten Inhalte verantwortlich ist."
Wie diese Authentifizierung abläuft, hängt letztlich von den Zielen ab, die mit dem Hotspot verfolgt werden. Für kleinere Hotspots mit wenigen Benutzern sind bereits spezielle Access Points auf dem Markt, die einen einfachen integrierten Authentifizierungs-Server besitzen. Lancom offeriert diese Funktionalität beispielsweise als Firmware-Upgrade für seine Access Points im Rahmen des "Public-Spot"-Pakets. In größeren Hotspots wird dagegen in der Regel ein dedizierter Radius-Server (Radius = Remote Authentication Dial-in User Service) für die Benutzerauthentifizierung zum Einsatz kommen.
Alternativ bietet sich auch die Verwendung von Hotspot-Gateways an, wie sie etwa die Ulmer Artem GmbH oder Nomadix vermarkten. Diese haben zudem den Vorteil, dass sie meist eine interne Abrechnung von Vouchern oder Zeitkontingenten erlauben. Unter Vouchern sind Scheckkarten-große bezahlte Guthaben-Gutscheine für eine gewisse Online-Zeit zu verstehen, auf denen die Login-Informationen aufgedruckt sind.
Technischer Aufbau von Greenspot
Ein Weg, den etwa die Steigerwald- und Juraklinik, Burgebrach, einschlug, um ihren Patienten mit automatisch ablaufenden Zeitkonten einen WLAN-Zugang bereitzustellen. Die Abrechnung in Eigenregie schätzen auch viele Hoteliers, wie beispielsweise Günther Weilguni, Direktor des Steigenberger Hotels Gstaad-Saanen, der seine Access Points an das hotelinterne Abrechnungs- und Authentifizierungssystem der Aachener M3 Connect GmbH anschloss, das Schnittstellen zur Hotel-Management-Software "Fidelio" hat.
Die Vorteile eines Radius-Server
Werden dagegen mehrere Hotspots betrieben, etwa in allen bundesweiten Filialen eines Konzerns, empfiehlt sich mit Blick auf eine effiziente Administration und Abrechnung ein zentraler, abgesetzter Radius-Server. Die Server müssen jedoch nicht unbedingt selbst betrieben werden. Diese Aufgabe übernehmen auch Service-Provider, die dann gleichzeitig das Billing für die Hotspot-Nutzung managen. Ein Ansatz, der auch für Hotspot-Anbieter in kleineren Lokationen interessant ist, wenn sie sich nicht mit den Abrechnungsmodalitäten befassen wollen. Der Betreiber schließt dann mit Unternehmen wie Telego, das unter der Dachmarke "W-Spot" die Authentifizierung und das Billing übernimmt, einen Vertrag ab.
Für den Benutzer selbst hat dies den Vorteil, dass ihm dank des zentralen Authentifizierungs-Servers ein Roaming eröffnet werden kann. Damit kann er theoretisch in allen am Radius-Server angeschlossenen Hotspots ins Internet gehen. Die Wahl eines externen Dienstleisters hat zudem den Vorteil, dass dieser sich eventuell auch als Clearing-Stelle um Roaming-Abkommen mit anderen Betreibern kümmert und so für zusätzliche Kundschaft sorgt, wenn etwa auch T-Mobile-Kunden den Hotspot ohne Voucher nutzen möchten. Schließlich zeugt es nicht unbedingt von ausgeprägtem Servicedenken, wenn die Hotspot-Betreiber erwarten, dass die potenziellen Nutzer für die diversen Zugänge ständig einen Stapel an verschiedenen Vouchern mit sich herumschleppen.
Greenspot-Initiative als zentrale Anlaufstelle
Ein bundesweiter Ansatz für eine solche Clearing-Stelle mit Roaming-Abkommen ist die Greenspot-Initiative des Eco-Forums. Laut Markus Schaffrin, Projektleiter des Arbeitskreises WLAN beim Eco-Forum, verhandeln derzeit um die 50 Service-Provider über entsprechende Roaming-Partner. Für den Hotspot-Betreiber in spe hat dies den Vorteil, dass er nur einen Vertrag mit Greenspot abschließt, aber als potenzielle Kunden die Abonnenten von X Service-Providern hat. Ferner braucht er neben Access Point, Router und einem Public Access Control Gateway kein weiteres Equipment, da sich die Greenspot-Mitglieder um Authentifizierung und Billing kümmern.
Damit die angesprochenen Authentifizierungs-Modelle funktionieren, ist bei der Einrichtung der Access Points im Hotspot eine Besonderheit zu beachten: Sie müssen die Möglichkeit offerieren, eine "URL-Redirection" einzurichten. Auf diese Weise erhält ein Benutzer keinen Zugriff auf seine im Browser vordefinierte Startseite, sondern landet automatisch auf der Homepage des Authentifizierungs-Servers. Zudem empfehlen Experten wie Marcus Ross, Geschäftsführer von Verisign Deutschland, bei der Anmeldung sichere Transportprotokolle wie Secure Sockets Layer (SSL) zu verwenden, um ein Ausspionieren der Daten zu verhindern. Die WLAN-eigenen Sicherheitsverfahren wie etwa Wired Equivalent Privacy (WEP) nützen nämlich im Hotspot nicht viel, klärt Lancom-Manager Traber auf, "ein Preshared-Key, den ich allen Benutzern mitteilen muss, ist
letztlich ein öffentlicher Schlüssel und bietet damit keinen Schutz mehr".
Eine weitere Grundregel zur Hotspot-Konfiguration ist das Einschalten des Dynamic Host Configuration Protocol (DHCP), um den Clients die IP-Adressen dynamisch zuzuweisen. In der Regel wird dabei kaum jemand die kostbaren, weil raren öffentlichen IP-Adressen verwenden, sondern eine IP-Range im privaten Adressraum definieren.
Wahl des passenden Funkstandards
Geht es um die Wahl der passenden Funkstandards für den Access Point, so empfehlen die Experten heute einstimmig, entweder den 11 Mbit/s schnellen 802.11b oder die 54-Mbit/s-Variante g. Diese beiden Verfahren sind nämlich unter den Endgeräten am meisten verbreitet, während der ebenfalls 54 Mbit/s schnelle 802.11a-Standard noch ein Schattendasein fristet. Deshalb fordert etwa die Wifi-Alliance, die für kompatible Hotspots das "Wi-fizone"-Logo vergibt, dass bei der Verwendung von 802.11a im Hotspot unbedingt auch 802.11b-Access-Points installiert werden müssen.
Die eigentliche Anbindung an das Internet erfolgt dann über einen Router. Generell gelten für diese Geräte keine besonderen Anforderungen, er sollte aber zumindest wegen der dynamischen IP-Adresszuweisung am Access Point Native Adress Translation (NAT) beherrschen. Ferner empfiehlt Marco Peters, Director Middle and Eastern Europe von Netgear, bei Hotspots mit vielen Business-Usern darauf zu achten, dass der Router ein VPN-Through-Tunneling unterstützt. Diese Funktion ist deshalb erforderlich, weil kaum ein Geschäftsreisender ungeschützt über einen Hotspot auf das eigene Unternehmensnetz zugreifen wird.
Besonderheiten des VPN-Tunnels
Als Sicherheitsmaßnahme haben sich dabei VPNs bewährt. Im Hotspot tritt jedoch eine Besonderheit auf: Das Ende des VPN-Tunnels befindet sich nicht, wie etwa bei der Anbindung einer Filiale, auf dem Router, sondern auf dem Client des Benutzers, also etwa einem Notebook. Deshalb muss der Router den VPN-Tunnel in den Hotspot hinein weiterleiten.
Die von einigen Herstellern propagierte Idee, den Datenverkehr im Hotspot selbst ebenfalls per VPN abzusichern, stößt bei den wenigsten Experten auf Gegenliebe. Sie führen an, dass hier der Benutzer gezwungen sei, extra entsprechende Client-Software auf seinem Rechner zu installieren. Ein Verfahren, das nicht unbedingt benutzerfreundlich ist. Zudem scheitert es häufig daran, dass der einzelne Anwender auf vernünftig und sicher konfigurierten Firmen-Notebooks gar keine Programme installieren kann und darf.
Ruft man sich die eingangs angesprochene rechtliche Verantwortung des Hotspots-Betreibers in Erinnerung, so wird man am Router erst einmal sämtliche Ports mit "Deny all" sperren, um einen Internet-Missbrauch zu verhindern. Danach, so empfiehlt beispielsweise Lancom-Manager Traber, sollten zum Surfen die HTTP-typischen Ports (HTTP = Hypertext Transfer Protocol) freigegeben werden sowie zur Dateiübertragung die vom File Transfer Protocol (FTP) benutzten Anschlüsse. Ebenfalls zu öffnen sind die Ports für das Simple Mail Transfer Protocol (SMTP) und Post Office Protocol 3 (POP 3), damit der Benutzer im Hotspot auch seinen E-Mail-Verkehr bearbeiten kann. Ferner sind noch die Ports für IPsec und PPTP (Point to Point Tunneling Protocol) zu öffnen, weil diese in der Regel die VPN-Clients zur sicheren Verbindung verwenden.
Obige Maßnahmen nutzen jedoch wenig gegen ungebetene Filesharing-Gäste. Mittlerweile bietet nämlich die P2P-Software die Option, die genutzten Ports frei zu wählen, um eine Sperrung der typischen Filesharing-Ports zu umgehen. Um zu verhindern, dass diese Benutzer die gesamte Bandbreite eines Hotspots blockieren, empfiehlt es sich, die Bandbreite pro User zu begrenzen.
Unterschiedliche Meinungen gibt es darüber, welche Bandbreite überhaupt für die Internet-Anbindung eines Hotspots erforderlich ist. Kleinster gemeinsamer Nenner unter allen Beteiligten ist, dass ein ISDN-Anschluss nicht genügt. Ansonsten, so argumentiert Lancom-Mann Traber, reicht ein DSL-Anschluss mit 768 Kbit/s bereits aus, "denn die Benutzer benötigen die Bandbreite beim Surfen ja jeweils nur für Sekundenbruchteile, den Rest der Zeit verbringen sie hauptsächlich mit dem Lesen der Inhalte".
Um Ärger mit dem Internet-Provider zu vermeiden, ist laut Traber darauf zu achten, ob beim entsprechenden DSL-Angebot ein Usersharing erlaubt ist. Von der Hotspot-Anbindung über einen normalen DSL-Account hält dagegen Peters von Netgear wenig. Er empfiehlt, pro User eine Bandbreite von 80 bis 100 Kbit/s zu kalkulieren, "und zwar in beiden Richtungen, also symmetrisch". Im Zusammenhang mit der Internet-Anbindung warnt auch Arno Wilfert, Managing Director und Leiter Time Practice bei der Arthur D. Little GmbH in Düsseldorf, davor, neben den niedrigen Investitionskosten für einen Hotspot die laufenden Kosten zu vergessen. "Der Betreiber hat heute beispielsweise für eine 2-Mbit/s-Anbindung monatlich 500 Euro zu veranschlagen", rechnet Wilfert vor.
Kooperation mit Service-Providern
Angesichts dieser Kosten dürfte es sich letztendlich für viele Betreiber empfehlen, mit einem Service-Provider zu kooperieren. Dieser übernimmt nämlich nicht nur die Last der Abrechnung mit dem Endkunden, sondern sorgt auch mit Marketing-Kampagnen, Broschüren, Suchmaschinen etc. dafür, dass potenzielle User von der Existenz der Hotspots erfahren. Und zu guter Letzt muss nicht das eigene Personal bei Problemen den Einzelanwender-Support übernehmen, sondern kann auf die Hotline des Kooperationspartners verweisen. Wie ein Staatsgeheimnis werden von den Beteiligten dagegen konkrete Zahlen zur Umsatzteilung zwischen Hotspot-Operator und Provider gehütet. Im Lauf der Recherche kristallisierte sich zumindest ein Anhaltspunkt heraus: Kostet eine Online-Stunde im Hotspot sechs Euro, dann erhält der Betreiber davon häufig zwischen 50 und 60 Prozent.
Betriebsvarianten
Eine Besonderheit stellen Hotspot-Szenarien dar, wie sie Günther Weilguni, Direktor des Steigenberger Hotels Gstaad-Saanen, vorschweben. Er will, dass über seine 53 installierten WLAN-Access-Points von 3Com nicht nur seine Gäste kommunizieren, sondern auch die Angestellten via schnurlose Voice-over-IP-Handys oder per PDA drahtlos den Verbrauch aus der Minibar in den Hotelcomputer einbuchen. "Wenn wir das verwirklichen, dann ist das ein großer Sprung für uns", sinniert der Hotel-Manager. In der Praxis geht das auf drei Arten.
Etwa wie es sich Weilguni denkt über ein VPN für die Mitarbeiter. Oder es werden physikalisch getrennte Funk-LANs installiert. Während die Gäste Access Points gemäß IEEE-Standard 802.11 b oder g im 2,4-Gigahertz-Bereich nutzen, arbeiten die Beschäftigten über 802.11a, ein Verfahren, das im 5-Gigahertz-Frequenzband funkt. Werden hierbei noch explizit die MAC-Adressen der eingesetzten Geräte definiert, sollten die Mitarbeiter relativ sicher Daten übertragen können.
Eine dritte Option eröffnet das WLAN-Switching. Hier funken zwar alle physikalisch im gleichen WLAN-Netz, doch der Datenverkehr der Benutzer lässt sich über Virtual LANs (VLANS) trennen. WLAN Switching empfiehlt sich in größeren Installationen, wenn mehrere Access Points zu einem Hotspot verbunden werden, auch unter anderen Gesichtspunkten. Zum einen erspart es dem Benutzer, sich beim Wechsel einer Funkzelle erneut anmelden zu müssen, zum andern erleichtert dies die Konfiguration des WLAN.