Hotspots sollten immer als unsicheres Netz betrachtet werden, zum einen, da das dort vorhandene Sicherheitsniveau von außen nur schwer einzuschätzen ist und zum anderen, da die meisten Hotspots ihre Dienste in Form sogenannter Shared Networks (gemeinsame Netzwerke) anbieten.
Dadurch kann im Allgemeinen der Zugriff von jedem Endgerät auf jedes andere teilnehmende Endgerät möglich sein.
Bei Hotspots handelt es sich um einen räumlich begrenzten Funkbereich, der auf einen Raum, eine Halle oder eine Produktionsstätte begrenzt sein kann. Meistens werden Hotspots explizit für die Nutzung durch fremde Teilnehmer aufgebaut.
Zweck eines Hotspots ist im Allgemeinen (fremden) Benutzern einen einfachen Zugang zum Internet zu erlauben.
Beim Betrieb von Hotspots sollten zumindest folgende Sicherheitsmaßnahmen umgesetzt werden:
- Um einen Hotspot dauerhaft und sicher betreiben zu können, ist eine erfolgreiche Authentisierung aller Benutzer am Hotspot erforderlich. Ein gebräuchliches und ansatzweise sicheres Verfahren ist beispielsweise Webauthentisierung. Hierbei gibt der Benutzer über eine Webschnittstelle seine Zugangsdaten (IP-Adresse, Benutzername, Passwort etc.) ein. Dies sollte natürlich über SSL/TLS verschlüsselt erfolgen. Nach einer erfolgreichen Anmeldung wird der Zugang für den Client freigeschaltet.
- Jeder Benutzer eines Hotspots muss die Sicherheitsanforderungen kennen und danach entscheiden, ob und unter welchen Bedingungen die Nutzung des Hotspots erlaubt ist.
- Werden Hotspots genutzt, dann sollte sichergestellt werden, dass die Verbindung zwischen Hotspot-Access Point und IT-Systemen der Benutzer nach dem Stand der Technik kryptografisch abgesichert wird.
- WLANs, die nur sporadisch genutzt werden, sollten von den Benutzern aus der Historie gelöscht werden.
- Die automatische Anmeldung an WLANs sollte deaktiviert werden.
- Wenn möglich, sollten separate Konten mit einer sicheren Grundkonfiguration und restriktiven Berechtigungen verwendet werden.
- Es sollte sichergestellt sein, dass sich keine Benutzer mit administrativen Berechtigungen von ihren Clients aus an externen WLANs anmelden können.
- Sensible Daten dürfen nur übertragen werden, wenn allen notwendigen Sicherheitsmaßnahmen auf den Clients, vor allem eine geeignete Verschlüsselung, aktiviert sind.
- Wird die WLAN-Schnittstelle über einen längeren Zeitraum nicht genutzt, muss diese deaktiviert werden.
- Über öffentlich zugängliche WLANs dürfen die Benutzer nur über ein Virtual Private Network (VPN) auf interne Ressourcen der Institution zugreifen.
- Außerdem sollten Hotspot-Betreiber regelmäßig die Protokolle daraufhin überprüfen, ob hier Unregelmäßigkeiten zu erkennen sind, also beispielsweise die Zahl der Benutzer die der angemeldeten Gäste übersteigt.
- Anbieter von öffentlichen Hotspots haben darüber hinaus die jeweiligen gesetzlichen und regulatorischen Vorgaben zu beachten.
Den Benutzern sind in geeigneter Weise vorab die Nutzungsbedingungen mitzuteilen. In den Nutzungsbedingungen sollten Hinweise darüber zu finden sein, ob die Nutzung kostenfrei oder kostenpflichtig ist (mit Angabe der entsprechenden Preise), aber auch, welche Leistungen, vor allem welche Sicherheitsmechanismen, bei der Verwendung des Hotspots angeboten werden. Die Benutzer müssen bestätigen, dass die Nutzungsbedingungen zur Kenntnis genommen und akzeptiert werden. Bei einer Webauthentisierung könnten die Nutzungsbedingung beispielsweise auf einer Webseite präsentiert und die Zustimmung zu den Nutzungsbedingungen eingeholt werden.