Öffentlicher Hotspot verschlüsseln?

[Immo]

Hallo,
ich habe für unsere Stadt Helmstedt gerade eine Teststellung für einen Hotspot laufen. WLC + drei APs. Die Anmeldung erfolgt per SMS. Funktioniert alles ganz prima. Aber laut aktueller Rechtsprechung muss der Betreiber eines Hotspots zumutbare Regelungen treffen, um einen Mißbrauch vorzubeugen. Die meisten Punkte erfüllt meine Teststellung (nur Port 80 freigegeben, AGBs müssen bestätigt werden etc.). Nur die Verschlüsselung ist ein Problem. Sobald ich es verschlüssele ist es ja kein öffentlicher Hotspot mehr, d. h. ich müsste ein zusätzlichen Passwort für die SSID dem User zur Verfügung stellen, damit er sich überhaupt mit dem Netzwerk verbinden kann. Wie soll das aber gehen, wenn die Anmeldung per SMS erfolgen soll. Die Aufforderung, die Mobilfunknummer einzugeben erscheint doch erst, wenn man sich verbunden hat. Oder habe ich irgendeinen Denkfehler? Selbst Lancom empfiehlt in ihrem Hotspot Whitepaper die Verschlüsselung von Hotspots. Aber das schränkt die Sache doch sehr ein bzw. geht meines Erachtens am Ziel vorbei.

Wäre schön, wenn jemand hier einen Rat für mich hat.

[Dr.Einstein]

Hallo Immo,

momentan existieren keine Gesetze, die geschäftlichen Betreibern etwas vorschreiben. Es existieren Urteile, die privaten Nutzern moderne Verschlüsselungsverfahren aufzwingen.

Beim neuen Gesetzesentwurf werden wir vermutlich alle die A-Karte haben. Dort steht was von Verschlüsselung drin. WPA2 ist bei den meisten Hotspots nicht tragbar... Bleibt die Möglichkeit von HTTPs statt HTTP bei der Anmeldung, was aber wieder zu Zertifikatsproblemen und dadurch zu mehr Nachfragen beim Personal führt.

Der Zustand jetzt ist eigentlich noch ganz ertragbar. Man fertigt ein Rohling an, den man dann für jede Abmahnung losschickt (geschäftliche Nutzung, Gäste bekommen WLAN, auf andere Urteile verweisen, Syslog liegt vor, bitte über Staatsanwaltschaft gehen). Nervig ist das alles trotzdem.

Gruß Dr.Einstein (der auch ein PKW mit HE Kennzeichen vorm Haus stehen hat)

[stefanbunzel]

Hallo Immo,

eine einfache Lösung des Problems wäre, wenn du zwei logische Netze / SSID's anlegst:

Das erste unverschlüsselte Netz nutzt du nur für die Anmeldung. Hier könnte man dann ggf. auch die Internet-Nutzung einschränken bzw. verbieten.

Das zweite verschlüsselte Netz dient dann als eigentlicher öffentlicher HotSpot.

Dann wäre nur noch zu klären, wie man dem Nutzer die Passphrase übermittelt. Da du aber SMS-Benachrichtigung nutzt, kannst du doch hier auch die passende Passphrase im "Nachrichten-Inhalt" übermitteln.

Viele Grüße,
Stefan

[Bernie137]

Hallo Immo,

da liegt wohl ein Denkfehler vor.
Wir haben auch einen Hotelbetrieb und es gab auch mehrfach Abmahnversuche. Obwohl unser Rechtsbeistand keine Ahnung davon hat und möchte, dass wir am liebsten den kompletten Internetverkehr mitloggen, konnte er es abwürgen. Dabei bleiben trotzdem immer folgende Fragestellungen ungeklärt:
1. Bei Urheberrecht/Abmahnung
- nicht der Zugriff auf eine bestimmte IP im Internet wird abgemahnt, sondern "Ihre öffentliche IP A.B.C.D hat ... angeboten"
- per Syslog findet man nicht heraus, wer was angeboten hat
2. Sonstiger Missbrauch/Strafverfolgung
- trotz Syslog ist der eigentliche Verursacher nicht ausfindig zu machen, da nur protokolliert wird, wer zu welchem Zeitpunkt online ist
- man müsste dafür per Syslog sämtlichen Webtraffic in eine Datenbank protokollieren, um einer Staatsanwaltschaft nachzuweisen, welche interne IP zu welcher Zeit auf eine bestimmte externe IP zugegriffen hat -> und das ist Vorratsdatenspeicherung

Dabei ist es immer wieder schön, wenn man mit seinem Laptop/Smartphone/Tablet bei McDonalds/Einkaufscenter usw. reinspazieren und lossurfen kann. Wie machen die das? Selbst wenn, der Hotspot also verschlüsselt ist bleiben die Problemstellungen im Zweifelsfall einen Nachweis zum Verursacher erbringen zu können.

vg Bernie

[Koppelfeld]

Die Anmeldung erfolgt per SMS. Funktioniert alles ganz prima. Aber laut aktueller Rechtsprechung muss der Betreiber eines Hotspots zumutbare Regelungen treffen, um einen Mißbrauch vorzubeugen.

Immer besser ist Bürokratievermeidung statt Bürokratieerfüllung. Stalin, Bahnsteigkarte.
Wir, genauer gesagt viele unserer Kunden betreiben ein öffentliches WLAN ohne Authentifizierung o.ä., aber wir leiten den gesamten Datenverkehr über einen Anonymisierungsproxy.

Das hat zwei Vorteile:
a) Man hat seine Ruhe
b) Ein überflüssiges Gesetz wird unterlaufen.

[stefanbunzel]

Hallo Koppelfeld,

wir leiten den gesamten Datenverkehr über einen Anonymisierungsproxy.

Meine persönliche Meinung zu diesem Thema: Vergiss es! Im Internet gibt es keine Anonymität. Und, woher willst du wissen, ob der Betreiber deines tollen und hier angepriesenem Anonymisierungsproxy's nicht genau der gleiche Betreiber / Eintreiber von Abmahnungen ist???

@Bernie
Deine Ausführungen zu der Praxis mit Abmahnungen kann ich nicht ganz folgen bzw, bestätigen: Zu meiner beruflichen Zeit als WISP hatte ich fast monatlich diese Schreiben der Polizei und / oder Staatsanwaltschaft. Die wollten von mir immer wissen, "wer" zu einer bestimmten Uhrzeit diese fragliche IP genutzt hat. Okay, später hatte ich statische IP's für meine Kunden. Aber früher habe ich das auch mittels Syslog gelöst und genau diese Info hat den anfragenden Behörde immer als Nachweis genügt. Aber - diese Diskussion sprengt jetzt hier den Rahmen...

Viele Grüße,
Stefan

[Bernie137]

Hallo Stefan,

mich interessiert das Thema aber schon.

Die wollten von mir immer wissen, "wer" zu einer bestimmten Uhrzeit diese fragliche IP genutzt hat.

Die interne private IP?

Du hast nicht zufällig noch so einen Musterbrief für mich?

vg Bernie

[Koppelfeld]

wir leiten den gesamten Datenverkehr über einen Anonymisierungsproxy.

Meine persönliche Meinung zu diesem Thema: Vergiss es! Im Internet gibt es keine Anonymität. Und, woher willst du wissen, ob der Betreiber deines tollen und hier angepriesenem Anonymisierungsproxy's nicht genau der gleiche Betreiber / Eintreiber von Abmahnungen ist???

Eine TOR exit node ?

[alf29]

Moin,

Dabei ist es immer wieder schön, wenn man mit seinem Laptop/Smartphone/Tablet bei McDonalds/Einkaufscenter usw. reinspazieren und lossurfen kann. Wie machen die das? Selbst wenn, der Hotspot also verschlüsselt ist bleiben die Problemstellungen im Zweifelsfall einen Nachweis zum Verursacher erbringen zu können.

Die Hotspots bei MDoof & Co. werden AFAIK nicht von den Restaurants selber, sondern von der Telekom betrieben. Entweder da greift dann irgendein Providerprivileg oder die Abmahner haben schlicht keine Lust, sich mit einem großen Provider rumzuschlagen - der hat ja eine Rechtsabteilung und könnte sich wehren...

Gruß Alfred

[MariusP]

Hi,
Die Freifunker "Lobby" hat einfach nicht das Geld um gegen die "Urheber"-Lobby anzukommen.
Gruß

[Jirka]

Hallo zusammen,

ich sehe ehrlich gesagt kein Problem, ein Passwort zu übermitteln. LANCOM bietet doch jetzt 16 SSIDs. Da kann man die Leute regelrecht zuspammen. Ich habe in meinem Netz früher 3 SSIDs als Werbeträger missbraucht.

Es wäre also ohne Probleme möglich:
SSID-1: Hot Spot Musterstadt
SSID-1-2: Passwort ist 123sehrgeheim
Damit ist das Netz also verschlüsselt.

Noch besser ist aber:
SSID-1: Ich werde keine Rechtsverletzung begehen
SSID-1-2: Passwort: Ich gelobe es
Damit hat der Nutzer mehr oder weniger sogar dafür unterschrieben, dass er keine Rechtsverletzung begeht, wie laut aktueller Rechtslage gefordert (der Haken zu den AGBs ist auch ok).
(Die Idee ist aber nicht von mir. Quelle: http://www.heise.de/forum/heise-online/ ... 6096/show/)

Mit dem Syslog gibt es insofern keine Probleme, wenn man in der Firewall, alles mitloggt, wie hier http://www.lancom-forum.de/syslog-ausga ... tml#p79858 im Code-Fenster zu sehen. Diesen Syslog-Output sollte man allerdings, wenn man das Syslog denn tatsächlich öfter mal auswerten muss, mit einem Syslog-Programm wie Kiwi Syslog Server nachbearbeiten, um der Masse an überflüssigen Infos Herr zu werden. Wenn das allerdings einmal alles richtig eingerichtet ist, dann ist das alles kein Thema und wie Stefan schon schreibt für die Behörden ausreichend. Jedenfalls kann man denen dann was in die Hand drücken. Ob das letztlich reicht, um festzustellen, wer das nun genau war, das ist dann nicht mehr unser Problem. Solange keiner MAC-Adressen fälscht, könnte das sogar erfolgreich werden.

nur Port 80 freigegeben

Was soll denn das? Da kann man ja nicht mal mehr seine E-Mails abholen. Und googeln bald auch nicht mehr (geht doch jetzt auch schon über HTTPS).
Wo steht denn das, dass nur Post 80 freigegeben werden darf?

Viele Grüße,
Jirka

[cpuprofi]

Hallo an Alle,

...Meine persönliche Meinung zu diesem Thema: Vergiss es! Im Internet gibt es keine Anonymität. Und, woher willst du wissen, ob der Betreiber deines tollen und hier angepriesenem Anonymisierungsproxy's nicht genau der gleiche Betreiber / Eintreiber von Abmahnungen ist???...

unabhängig des von "Koppelfeld" genannten "TOR exit node" gibt es auch die Möglichkeit den Internetverkehr ins Ausland "umzuleiten". Denn nur Deutschland und Österreich kennen das Rechtsmittel "Abmahnung"...

Als Anbieter könnte man z.B. Hide.me oder einen eigenen gehosteten Server im Ausland nehmen.

...Beim neuen Gesetzesentwurf werden wir vermutlich alle die A-Karte haben. Dort steht was von Verschlüsselung drin...

Nach dem "Gesetzentwurf zur Neuregelung der WLAN-Störerhaftung" entfällt die Störerhaftung nur dann, wenn gewerbliche (!) Anbieter des WLANs unberechtigte Personen vom Zugriff auf das Netz abhalten (zum Beispiel durch Verschlüsselung), wer bei einem öffentlichen WLAN-Netz als unberechtigt gelten soll, ist aber völlig unklar.

Insofern stimme ich "Dr.Einstein" vollkommen zu.

Grüße
Cpuprofi

[Bernie137]

Hallo an alle,

Die Hotspots bei MDoof & Co. werden AFAIK nicht von den Restaurants selber, sondern von der Telekom betrieben. Entweder da greift dann irgendein Providerprivileg oder die Abmahner haben schlicht keine Lust, sich mit einem großen Provider rumzuschlagen - der hat ja eine Rechtsabteilung und könnte sich wehren...

Sicher, an die großen Provider traut sich vermutlich keiner so recht.

@all
Aber ich finde genau das interessiert: Wie funktionieren die öffentlichen Hotspots? Geht mal weg von dem Gedanken Abmahnwelle. Ein User geht mit seinem Mobilgerät ins McDoof o.ä. und macht Blödsinn. Nun kommt es durch Staatsanwaltschaft zur Strafverfolgung. Syslog hin oder her, der Besitzer der IP oder Mac ist aber gar nicht bekannt?

Wie haben das diese Provider gelöst?

Vg Bernie

[Dr.Einstein]

Wie haben das diese Provider gelöst?

Outsourcen dieser Thematik an einen echten Provider, der auch bei der Netzagentur eingetragen ist wie Telekom (McDoof), HotSplot u.a. Die haben dann entsprechende Rechte und Pflichten. Zu den Rechten gehört auch Schutz vor dem Inhalt der durch die Kunden übertragenen Daten.

[stefanbunzel]

Hallo Bernie,

mich interessiert das Thema aber schon.

Die wollten von mir immer wissen, "wer" zu einer bestimmten Uhrzeit diese fragliche IP genutzt hat.

Die interne private IP?

Du hast nicht zufällig noch so einen Musterbrief für mich?

Einen Musterbrief kann ich hier aus Datenschutzgründen natürlich nicht posten.

Aber ich kann ja mal aus einem zitieren:

Absender (Bsp.): Polizeipräsidium Land Brandenburg
Auskunftsersuchen
...bezüglich eines hier bearbeiteten Strafverfahrens wegen Betruges ist die Feststellung des Inhabers (Name, Vorname, Geburtstag, Geburtsort, Anschrift, Telefonnummer, Kontoangaben, u.a.) und des letzten Login (IP-Adresse, sekundengenaue Zeit, Zeitzone) der e-Mail-Adresse xxx@yyy.zz (IP: a.b.c.d) erforderlich. Bitte teilen Sie mir diese Daten nach § 113 TKG und § 15 TMG mit! ...

Hinweis meinerseits: Die IP a.b.c.d stammte aus meinem Pool. Daher kam die Anfrage bei mir auch zu Recht an. Zu diesem Zeitpunkt hatten alle meine Kunden statische IPv4, wodurch ein allgemeiner Nachweis kein Problem war. Allerdings wollten die Herren auch ein "letztes Login" des Users haben, was ich natürlich in Folge der zu diesem Zeitpunkt bereits untersagten Vorratsdatenspeicherung nicht liefern konnte! Das hatte ich denen dann auch freundlich so mitgeteilt.

Zu früheren Zeitpunkten, als es die Vorratsdatenspeicherung noch gab, ich nur eine dynamische IP für mehrere (wenige) Kunden gleichzeitig nutzte (NAT) und ich diese per Syslog und Kiwi auch so protokollierte, wurde ein Auszug aus meinem Log als Nachweis anstandslos akzeptiert. Natürlich musste man natürlich noch einen Nachweis der Zuordnung der Intranet-IP zur MAC des Anschlussinhabers liefern. War damals alles kein Probelm - und meine "Lebensversicherung" als kleiner Provider.

Allerdings muss man beachten, dann auch richtig zu antworten. Denn man darf natürlich nur die persönlichen Daten lt. den genannten Paragraphen übermitteln (ist dort ganz genau aufgeführt)! Und dazu gehören zum Beispiel KEINE Kontoangaben und auch KEINE "u.a.". Wenn man der Polizei zu viele Daten übermittelt, verstößt man als Provider gegen das Datenschutzgesetz und macht sich strafbar!!! Im Verfahren bekommt die Gegenseite natürlich diese Info und könnte sich zu Recht "rächen". Also, nicht das machen, was die Herren sich wünschen, sondern was die Herren fragen dürfen.

Oder ein zweites Beispiel:

Ermittlungsverfahren gg. Unbekannt wegen des Verdachts der Nachstellung gem. § 238 (1) StGB
polizeiliches Auskunftsersuchen nach § 113 TKG i.V.m. §§ 161, 163 StPO
... Am ... teilte die Geschädigte mit, dass sie eine Nachricht von GMX erhalten hat, wo ihr mitgeteilt wurde, dass sich jemand bei ihrem Facebook-Account angemeldet hat. Von GMX wurde ihr die verwendete IP-Adresse mitgeteilt. Diese lautet: A.B.C.D
Anmeldezeitpunkt: tt.mm.jjj, hh:mm Uhr bis hh:mm Uhr MEZ
Sie werden ersucht, den Nutzer der zu diesem Zeitpunkt verwendeten IP-Adresse, sowie alle zu diesem Vorgang vorrätigen Daten, insbesondere des physikalischen Ursprungs, hiesiger Dienststelle zu übermitteln...

Anmerkung: In diesem Fall konnte ich der Polizei nicht richtig weiter helfen, da ich auch wieder keine Vorratsdatenspeicherung durchführen durfte und daher nicht wusste, ob und was mein Kunde mit dieser IP im Internet gemacht hat. Außerdem habe ich die Herren darauf hingewiesen, dass IP-Adressen auch manipuliert werden können. Ich konnte nur die Kundendaten mitteilen - aber nicht, ob er auch tatsächlich zu diesem Zeitpunkt diese Tat vollübte! Auch ein "physikalischer Ursprung" ist meiner Meinung nach nicht nachweisbar.

Allgemeine Anmerkung: ALLE Anfragen kamen immer per Telefax! Nie per Post oder per E-Mail. Da sieht man mal, wie wichtig nach wie vor ein Fax-Anschluss ist. Die Diskussion gab es ja hier bereits schon ausführlich an anderer Stelle... Geantwortet habe ich aber immer per E-Mail, da es i.d.R. eine entsprechende Adresse im Schreiben gab.

Außerdem hatte ich natürlich auch immer Bedenken, ob ich als Provider überhaupt auf diese Schreiben der Polizei reagieren darf. Lt. Gesetz muss für diese Anfragen ein Gerichtsbeschluss vorliegen... Ich kann mich da an eine telefonische Diskussion mit einem netten Hauptkommissar erinnern, der mir nett erläuterte, dass ich natürlich keine Auskunft liefern muss. Die Herren würden sich auch bei Nicht-Antwort meinerseits alle erforderlichen Daten bei mir mit richterlichem Beschluss "abholen" = Hausdurchsuchung mit Beschlagnahme aller relevanten Beweismittel.
Und da ich dies schon einmal vor Jahren in einer ähnlichen Konstellation erleben "durfte" und dann damals rd. 4 Wochen in einem leeren Büro in aller Ruhe mal Staub wischen konnte, da viele Regale frei waren, hatte ich dann auf weitere Diskussionen dazu freiwillig verzichtet.

Ist auf Wunsch eines Einzelnen etwas mehr Text geworden...

Viele Grüße
Stefan