Hotel - Gast WLAN - Hotspot Aufbau und Sicherheit-Haftung

Warum machste das nicht mit ner USG?! Das wäre doch das konsequenteste!

Dachte schon, es ginge um Gäste

Mache es nicht zu kompliziert! Das muss auch noch "verwaltbar" sein und Du darfst ja eigentlich nix "loggen", wegen DSGVO. Stelle Dir vor jemand gibt seinen "Voucher" weiter oder 3 jugendliche Gäste holen sich drei Voucher und verteilen die unter sich. Du hast ja nur IP-Adresse und Voucher-Nummer.

Alternativ: Lass Dich bei der entsprechenden Bundesstelle als Wifi-Service-Provider auflisten. Ich habe hier dazu schon mal nen Link veröffentlicht.
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Untern ...

Oder sich mit Freifunk zusammentun, die haben das Problem schon gefixt.

Nope ! Viel wichtiger ist die Mac Adresse des Endgerätes die er hat, denn die ist strafrechtlich relvant weil sie das Gerät des möglichen Täters eindeutig identifiziert. Diese loggt ein CP Prinzip bedingt immer mit.
Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.

Genau - logischerweise. D.h. fürs iPad, den Rechner und iPhone getrennte Voucher und maximal einen Tag gültig, damit es ja keine Überschneidungen gibt und das Wifi für die Gäste maximal unpraktisch ist. So kann ich das Risiko eines Missbrauchs natürlich auch minimieren

Dann stellt sich nur die Frage, wie ich im 3 Monate später die MacAdresse dem Eigentümer zuordne. Und wenn ich das kann ... mit welchem Recht ich die Daten erfasse und so lange aufbewahre.

Ach ich weiß: Jeden Voucher unterschreiben lassen, kopieren, abheften und beim ersten login (natürlich bei Ausgabe vor dem Mitarbeiter) die Mac-Adresse dokumentieren!

PS: Ein Kunde von mir hat seit 6 Jahren ein zentrales Gäste-Wifi-Passwort ohne Voucher und genau einmal gab es ein solch anwaltliches Schreiben, dass mit Verweis auf 3 potenzielle (ausländische) Gäste im Sande verlief.

Vermutlich gibts für bzw. gegen sowas mittlerweile sogar ne Versicherung ...

Hallo,
zu 2. und 3. kann ich sorglosinternet.de empfehlen. Kostet pro Monat/Jahr etwas Geld und Du bekommst einen Router, der die Clients per DHCP mit Daten versorgt und den gesammten Traffic durch einen VPN-Tunnel zum Anbieter leitet. Dort sind dann noch Optionen wie Jugenschutz buchbar.
vG
LS

Na in dem Hotel wäre ich aber das letzte mal Gast, in allen Hotels in denen ich bisher war ist die Anzahl >= 5. Schließlich können ja ein paar mehr Menschen/Geräte in einem einzelnen Hotelzimmer sein.

Als Gast würde ich mich da verarscht fühlen, wenn meine Kommunikation nach außen blockiert würde und der Rezeptionist würde von mir mal eingenordet, wenn ssh o.ä auf nicht-Standard-Ports nicht ginge.

Prinzipiell ist der Hotelbesitzer für Handungen die andere begehen nicht haftbar.. Es gilt höchstens die Störerhaftung, wenn er nachlässig war.


Auch ein Contentfilter ist per se nicht vorgeschrieben.



Was soll das bringen? Willst Du die Gäste ärgern?

lks

Ich habe i.d.R mindestens drei WLAN-fähige Geräte immer dabei. Und wenn meine herzallerliebste dabei ist, hat die auch mindestens zwei Geräte. Da müßte sich der Rezeptionist schon was anhören, wenn man für jedes Gerät ein eigenes Voucher abtippen müßte und das vielleicht sogar jeden Tag.

Schließt Euch den Freifunkern an und die Probleme sind "gelöst".

lks

Ist doch ganz einfach: Du musst dich halt auch ein wenig Entscheiden wieviel Risiko du eingehen willst und wieviel Komfort du den Gästen geben willst. Im Normalfall gibts ja auch nen Gast-Management System - bei dem kann man z.B. das Captive Portal anbinden und eine Anmeldung per PIN machen.

Dasselbe ist für den Datenverkehr: Klar kannst du alles ausser 80/443 sperren. Und schon bist du ganz schnell die Geschäftskunden los. Denn wenn ich z.B. kein VPN aufbauen kann ist das Hotel sofort auf der schwarzen Liste - da man ja eben auch ggf. Abends noch eben etwas Arbeiten will/muss. Genauso verhält es sich auch mit Tor-Netzwerken usw. - hier musst du überlegen ob du das zulassen willst oder ob du das blocken willst, oder was ist mit Bittorrent usw. (was ja theoretisch auch legal genutzt werden kann)... Und dazu kommt: Je mehr du einschränkst umso mehr werden die Gäste vor der Rezi stehen und/oder beim nächsten Besuch nen anderes Hotel wählen. Wenn du z.B. ein Hotel in der nähe eines Flughafens hast dann willst du aber vermutlich nicht das Airline-Crew unzufrieden ist weil die natürlich riesige Kontingente kaufen. Bist du irgendwo das reine Touri-Hotel is es dir dagegen ggf. sogar egal ob die wiederkommen (was generell ne blöde Idee wäre weil natürlich auch da auf Bewertungsportalen u. Reisebüros geguckt werden sollte).

Von daher kann man natürlich hier die grosse Security-Keule schwingen: Ein Gerät pro Tag pro Voucher... und nach nen paar Monaten dümmstenfalls das ganze einstampfen weil ohne Gäste auch keine Voucher nötig sind. Und KEINEN Gast wird es interessieren wenn man sagt "is wegen Haftung", solang es für den unbequem ist wird das immer negativ auffallen. Insbesondere wenn der dann mal mitten in nem Video-Call rausgeworfen wird weil die 24h grad abgelaufen sind o.ae....

Jetzt mach dich mal nicht verrückt, was das Thema angeht. Ich betreibe seit etlichen Jahren an zig Standorten ein offenes WLAN für unsere Kunden. Zeitweise waren es über 80 Standorte mit insgesamt 220 Access Points. Stand heute verbinden sich täglich etwa 2000 Geräte mit dem Netzwerk.

Wir betreiben zwar eine Filterung, die aber nur bedingt greift, weil ich TLS-Verbindungen nicht aufbrechen kann und will. Gefiltert werden auch nur die Kategorien Kinderpornografie und Terrorismus. Nötig ist es aber nicht.

Seit ein paar Jahren ist es nicht mehr nötig, bei einem offenen WLAN irgendwas zu machen. Sollte irgendwas unrechtmäßiges über deinen Anschluss passieren, muss man nur angeben, dass man ein offenes WLAN betreibt (und natürlich wirklich betreiben). Damit sind die meisten Anfragen schon hinfällig. In deinem Fall scheinst du das ganze ja an einem normalen Endkundeninternetanschluss zu betreiben, sprich wenn jemand an dich rantreten möchte, muss er erstmal deinen Provider davon überzeugen, aktiv zu werden. Das kann aber auch nicht jeder, sondern nur eine Ermittlungsbehörde mit einem richterlichen Beschluss, wofür man schon etwas mehr als einen Film herunterladen muss.
Bei mir ist es so, dass ich das ganze aus einem Rechenzentrum betreibe und meine Kontaktdaten offen als administrativer Kontakt für die IP-Adressen in der Datenbank des RIPE NCC stehen. Also bei meinem WLAN wäre kein richterlicher Beschluss nötig, um mich mit sowas zu nerven.

Sollte es dennoch soweit kommen, dass du aufgrund einer Verfehlung eines Kunden kontaktiert wirst, ist die maximal vorgesehene "Strafe", dass du einzelne Filter einrichten musst, also einen Port, eine IP oder so, also die einfachste Art an Filtern. Keine DPI, keine TLS-Interception. Aber du musst nichts vorab filtern, sondern erst, wenn du offiziell dazu aufgefordert wirst und selbst dann hast du noch Zeit zur Umsetzung.

In den ganzen Jahren, in denen ich das Netz schon betreibe (ich habe schon ein paar Monate vor der Gesetzesänderung begonnen), gab es genau null Anforderungen aufgrund einer missbräuchlichen Nutzung meines WLANs, kein Informationsersuchen, keine Sperraufforderung oder so. Die einzige Anfrage einer Ermittlungsbehörde kam von der Bundespolizei, ohne richterlichen Beschluss, und war nur die Anfrage, an welchem Standort sich eine MAC-Adresse mit unserem WLAN verbunden hat. Die Anfrage kam aber auch aus einer Abteilung, die sich nicht mit Urheberrechtsverstößen beschäftigt. Die kümmern sich um andere Kaliber. Dennoch war mein Kontakt bei der BPol sehr freundlich und angenehm. Der Arbeitskollege, der den Anruf angenommen hat, war dagegen sehr unentspannt.

Alles in allem ist der Netzbetrieb für ein offenes WLAN "langweilig". Ja, man sollte sich auf bestimmte Sachen vorbereiten (Aufzeichnen von MAC-Adressen und deren Verbindungszeiten, Vorbereitung für einfachste Filter), aber man muss nicht aktiv in die Kommunikation eingreifen.

PS: Das Gastgewerbe hatte schon vor der Gesetzesänderung einen Sonderstatus. Hier wurde schon vorher das Providerprivileg angewandt.

Moin,

Mal eine „blöde“ Randbemerkung:
Was bringt mir das Protokollieren der MAC, wenn Apple beispielsweise am iPhone für jedes Wifi eine andere MAC verwendet, die obendrein sich vermutlich Suchmaschinen ändern wird, anschließend sage „dieses Netzwerk ignorieren“.

Aus meiner Sicht bringt mir das dann gar nichts, weil schon 1h später die MAC keinem zugeordnet werden kann.

Oder übersehe ich etwas?

Gruß
em-pie

Du kannst den Behörden sagen, daß Du Deine Pflicht getan hast.

lks

Ja, tust du, §113b (3) TKG


In meinem Fall ziehe ich diese Informationen direkt von den APs. Die sehen die MAC-Adresse, LANCOM-APs können ebenso die IPv4- und IPv6-Adressen herausfinden (alternativ den DHCP mitloggen lassen) und durch die Assoc- und Deassoc-Zeiten habe ich damit die Anforderung erfüllt. Wurde aber, wie gesagt, noch nie angefragt.

In wie weit §113b (3) TKG für Betreiber öffentlicher WLANs überhaupt anwendbar ist oder ob es da Ausnahmen gibt, kann nur ein Fachanwalt bewerten. Für mich ist das Logging kein Problem. Nur muss man auch ans BDSG denken.

PS: Ganz wichtig ist §113b (5) TKG, weil viele bis heute das Thema Vorratsdatenspeicherung bis heute nicht verstanden haben:

@tikayevent

Mal fernab der Gesetzeslage:
MAx Müller der BöhseBuben AG bucht sich mit deinem iPhone im Hotel ein. Dann weiß ich, als Hotelbetreiber, zwar, dass sich jemand mit der MAC und der IP eingeloggt hat. Aber wie will ich nachweisen, dass diese MAC der Hrn. Müller gehört. Er hat ja eine „dynamische“ MAC verwendet!?

Das kann ich ja nur, wenn ich die ID des Vouchers mit Hrn. Müller verkette…
Wenn der aber gar kein Gast bei mir ist, oder der vermeidliche Freund der Lisa Meyer ist, welche bei der absolut Seriös GmbH arbeitet…
(Wobei ich das Peoblem ja immer hab)

Dem Gesetzgeber reicht es zwar, dass ich MAC+ IP speichere. Aber völlig Sinnbefreit ist es in jedem Fall…

@em-pie
Selbst wenn die MAC nicht dynamisch wäre, könntest du es nicht zuordnen. MAC-Adressen sollen weltweit einmalig sein, sind es aber nicht und sind nicht manipulationsgeschützt. Aber das ist auch nicht gefragt.

Das TKG basiert ja grundlegend erstmal auf der Telefonie, aber auch hier wäre es so. Es gibt den Benutzer und den Anschlussinhaber. Das können unterschiedliche Personen sein. Bestes Beispiel die Telefonzellen: Sie gehören der Telekom, aber benutzt werden die von jemand anderem. Dennoch muss die Telekom nicht nachhalten, wer den Anschluss verwendet hat und wird dafür auch nicht zur Dokumentation verpflichtet.

Das Gesetz ist auf kommerzielle Provider ausgelegt, aber WLAN-Betreiber sind ja den kommerziellen Provider mittlerweile gleichgestellt, sprich nicht haftbar für das Verhalten von Anschlussnutzern, aber dafür vermutlich auch dokupflichtig. Wie gesagt, kann nur ein Fachanwalt genau sagen. Deutsche Gesetze sind nicht immer für alle Fälle sinnvoll.

Bloß nicht, in keinem Fall und niemals. Da kannst du direkt den Betrieb sein lassen. Wichtige Ports in dem Bereich: UDP/1194 OpenVPN und UDP/4500 IPSec NAT-T. Da gibt es aber noch viel mehr, insbesondere, weil öffentliche IPv4-Adressen knapp sind und es immer häufiger wird, dass selbst professionelle Anbieter multiplexen müssen.

Client Isolation ja, aber dass ist kein rechtliches Problem, sondern gehört zum guten Ton.

Nicht notwendig, solange es keine Aufforderung dazu gibt. Kommerzielle Provider müssen auch nicht aktiv irgendwas sperren, außer es gibt eine Anweisung dafür. Diese werden auch nur für Einzelfälle ausgesprochen (also ein Provider bekommt die Aufforderung eine oder wenige Adressen zu sperren. Für jeden Provider muss man gesondert vor Gericht ziehen)

Wie gesagt, dokumentiere einfach nach §113b (3) und gut ist.

Gott, watt nen Zirkus!

Anlasslose Vorratsdatenspeicherung ist mW. vor jedem Gericht inkl. EUGH geplatzt. Nicht das mal jemand Dich verklagt, weil Du diese unrechtmäßig erhebst! Wie gesagt, u.a. die DSGVO, Fernmeldegeheimnis, Grundgesetz, ... steht dem entgegen. Aber was ist das schon gegen nen Innenminister mit Parlamentsmehrheit ... 😏

https://www.lancom-systems.de/download/documentation/Whitepaper/LANCOM_R ...

Zitat:
e) Vorratsdatenspeicherung:
Der Bundestag hat am 16.10.2015 das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten („Vorratsdatenspeicherung“) verabschiedet. Er stellt darin klar, dass Hotspot-Anbieter, wie Cafés etc., nicht zur Vorratsdatenspeicherung verpflichtet sind. Die entsprechenden Passagen finden sich in Artikel 2, Änderungen des Tele- kommunikationsgesetzes. In den Erläuterungen zum Gesetzestext heißt es wörtlich:

Zu § 113a TKG-E: Die Vorschrift beschreibt den Kreis der zur Speicherung Verpflichteten. Nach Absatz 1 Satz 1 richten sich die Speicherpflichten an diejenigen, die öffentlich zugängliche Telekommunikationsdienste im Sinne von § 3 Nr. 6 a) TKG erbringen, also nicht an diejenigen, die lediglich daran mitwirken. Erbringer zeichnen sich dadurch aus, dass den Kunden regelmäßig ein eigener, in der Regel auf unbestimmte Dauer angelegter Telekommunikationsanschluss zur selbstständigen Verwendung überlassen wird. Nicht verpflichtet sind demnach Anbieter, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, zum Beispiel Betreiber von Hotels, Restaurants und Cafés, die ihren Kunden eine Telefon- oder Internetnutzung zur Verfügung stellen (zur näheren Bestimmung des Begriffs des „Erbringens“ vergleiche die Mitteilung Nr. 149/2015 - 43 - im Amtsblatt der Bundesnetzagentur).

https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Tel ...

Aber warum sich an solchen Veröffentlichungen orientieren, wo man doch anonyme "IT-Fuzzies" in nem Internetforum zu juristischen Themen befragen kann. Juristen sind für das Thema ja völlig überbewertet! 😂

Ja, kann LANCOM, Public Spot und die PMS-Option.

Das Unifi dafür ungeeignet ist, ist klar, dass Zeug wendet sich an sogenannte Prosumer, also Consumer (private Endanwender) mit total verballerten Vorstellungen. Für den gewerblichen Einsatz ist es nicht geeignet. Deswegen kostet das Zeug auch nur so wenig, meldet aber jedes bisschen Traffic an den Hersteller (bis vor einiger Zeit war dieses nicht deaktivierbar, ob sich das geändert hat, keine Ahnung).

Hallo,
Du kannst auch die einfachen APs von UniFi inkl. Controller nutzen, erstellst ein entsprechendes VLAN und verbindest dieses mit einem Zugang von lan1.de
Die liefern Dir einen Router und übernehmen sogar (bei Bedarf) noch den Support bis zum Endgerät.

UniFi Zwangs "Controller" klingt schon nach NoGo...

Mal ne doofe Frage. Wie handhaben das denn Unternehmen wie Aruba, Cisco, Zyxel und Konsorten?

Wenn ich dazu was suche, lande ich immer bei 500 EUR bis 1.000 EUR als Einstieg für die "freilaufenden" Wifi-Controller. Bin ich da irgendwo falsch abgebogen oder muss das so bei "Nicht-Zwangs-Controllern"?


Solche Deppen halt: https://www.ui.com/casestudies/#default

Hätten die alle nur mal hier angefragt um zu lesen, wie man es richtig macht 😂

Mich erinnert das Ubiquiti-Thema immer mehr an die Forendiskussionen der 90er zwischen Mac und Windows-Usern. Da haben einem Leute – die ihren Kopf nie aus ihrem PC-Gehäuse bekommen haben – erklärt, was beim Mac alles nicht funktioniert und warum Maus eh ###e ist und keine Zukunft hat 😁