Öffentliches WLAN im eigenen Betrieb
2023.08.06 | Sven Köppel
Es ist 2023 und in Deutschland ist LTE flächendeckend verfügbar. Bei theoretischen Bandbreiten von bis zu 500 Mbit/sec spricht da kaum noch jemand über öffentliches WLAN. Das Thema war in den 2000ern von hoher Relevanz, als Mobilfunktarife in Deutschland noch teuer waren. Und so las ich neulich einen Blogpost über Free Public Wifi in dem nerdigen Blog Computers are bad, der vor allem über die technische und gesellschaftliche Entwicklung von (öffentlichem) Wifi diskutierte. In Deutschland führten wir in den 2000ern Debatten über Störerhaftung, eine Gesetzesregelung die heute noch immer für kuriose Urteile sorgt, die aus der Zeit gefallen wirken und manch Klischee über den verstaubten Biedermeier der Bundesrepublik bestätigen.
Wozu öffentliches Wifi im Jahr 2023?
Wer heutzutage einen Standort betreibt, etwa geschäftlich oder als private Wohnung, möchte seinen Gästen oft gerne eine Grundversorgung bieten, die neben sanitären Bedürfnissen selbstverständlich auch eine »digitale Grundversorgung« umfasst. In der Regel ist das die bewährte Kombination aus Strom und WLAN. Letzteres ist insofern universell, als dass vor allem Tablets und Notebooks hierzulande häufig ohne LTE-Modem betrieben werden und bei datenintensiven Anwendungen, etwa Videotelefonie, große Datenmengen anfallen, die die BesucherInnen ungerne über Roaming (Freigabe des Internets vom mitgebrachten Mobilfunkgerät) abbilden. Außerdem verbraucht eben dieser mobile Hotspot auf dem Mobilfunkgerät (sprich dem Smartphone) eine Menge Strom, der dann wieder dazu führt, dass es aufgeladen werden muss. Gerade in größeren Gebäudekomplexen, fernabgelegenen Gegenden oder in Fahrzeugen ist der Mobilfunkempfang manchmal auch nicht gut, sodass es keine Alternative zu einem WLAN-Zugang vor Ort gibt.
Und so ist es gängige Praxis, dass "das WLAN-Passwort" mündlich oder gar per Aushang mit den BesucherInnen geteilt wird. In der Regel passiert das auf Vertrauensbasis, etwa weil eine Geschäftsbeziehung (auch bei Laufkundschaft) existiert oder ein persönlicher Kontakt existiert. Technisch handelt es sich dann fast immer um ein WLAN, welches mit WPA2 Personal Mode gegen Fremdzugriff und Lauschangriffe geschützt ist.
Durch diese Praxis ist eine persönliche Nachverfolgung des Besuchers in der Regel nur insofern möglich, als dass anhand des Zeitpunkt eines potentiellen Missbrauchs der Internetverbindung die Menge potentieller Übeltäter anhand des persönlichen Kalenders eingekreist werden kann – im privaten Bereich wohl realistischer als etwa in einem Cafe.
Die Freifunk-Bewegung
Es gibt eine wunderbare Initiative zur Förderung von kostenfreiem und unkompliziertem öffentlichen WLAN, die ihre Wurzeln in Deutschland hat. Die Rede ist von Freifunk. Die Initiative hat eigentlich den Aufbau eines unabhängigen vermaschten Funknetzes vor allem in städtischen Regionen im Fokus, der den Datenaustausch zwischen zwei Knotenpunkten unabhängig vom Internet ermöglicht. Um an dem Netz teilzunehmen, benötigt man lediglich ein geeignetes Gerät, wobei dafür auf günstige Verbraucherhardware zurückgegriffen wird, die mit Freifunk-spezifischer Software betrieben wird. Neben dem Aufbau eines solchen "Freifunk-Meshes" ist Teil der Freifunk-Idee aber auch der Zugang zum öffentlichen Internet. Dieser wird technisch über eine Art "Exit-Knoten" realisiert. Das bedeutet, dass man (anonym) einen Freifunk-Knoten betreiben kann und auch an seinem eigenen Internet-Anschluss Gästen den Zugang zum Internet bieten kann. Dieser wird aber von den Gästen nicht direkt genutzt, sondern sie gehen über den "Exit-Knoten" des regionalen Freifunk-Verbandes ins Internet: Freifunk haftet dann im Sinne der Störerhaftung für den Datenverkehr.
Für die meisten Use-Cases ist Freifunk die ideale Lösung. Wenn man keine Freifunk-spezifische Hardware einsetzen möchte, dann kann man einen Offloader verwenden. Das geht auch als virtuelle Maschine. Allerdings muss das Netzwerk drumherum (etwa per VLAN oder dedizierter Verkabelung) ermöglichen, dass ein oderer mehrere WLAN-Hotspots ihren Datenverkehr über den Offloader laden. Wie eine solche Netzwerk-Verkabelung aussieht, demonstriert der Freifunk Bochum in einem Schaubild.
Ein Vorteil von Freifunk ist, dass es eine Komplett-Lösung vor allem im rechtlichen Sinne und vom Branding her ist. Ein Nachteil ist ggf. das prinzipiell ungeschützte Funknetz (keine WPA-Verschlüsselung) und die je nach Standort schwierig zu legitimierende Regionalität – zB. würde der Firmensitz der DenktMit eG sich wohl mit dem nächstgelegenen Freifunk Frankfurt identifizieren, was in der eigenständigen Stadt Oberursel vielleicht unerwünscht ist. In meinen Augen ist auch der Hardware- und Softwarebedarf ein Nachteil; technisch baut Freifunk auf der Gluon-Software auf, welche für AdministratorInnen eine echte Lernkurve darstellt.
Eudoram
Im akademischen Milieu gibt es mit Eduroam eine seit Jahrzehnten etablierte Technik für sicheren und nicht-anonymen kostenfreien Internetzugang. Er funktioniert ganz anders als Freifunk: Die Gäste authentifizieren sich an einem mit WPA2-Enterprise geschützten Funknetz mit ihrem Zugang, der als E-Mail-Adresse local@domain.tld
gestaltet ist. Anhand der Domäne findet eine Zuordnung zu der Heimatorganisation statt, zu der der Gast gehört und die als Identitätsprovider dient. In der Regel ist das eine Forschungseinrichtung oder Universität, die über eine nationale Mittelorganisation (National Romaing Operator, in Deutschland das Deutsche Forschungsnetz, kurz DFN) an dem Roaming-Projekt partizipiert.
Sobald man sich in einem Eduroam-Netzwerk authentifiziert hat, kann man den Internetanschluss nutzen, allerdings nutzt man dabei stets den lokalen Internetanschluss der gastgebenenden Institution. Eine Weiterleitung des Datenverkehrs etwa über die Heimatorganisation (im Sinne dem Exit-Knoten von Freifunk) findet nicht statt. Damit entledigt sich der Betreiber nicht der Störerhaftung, ist aber technisch in der Lage, den Störer explizit zu identifizieren.
Leider beschränkt sich Eudoram auf die akademische Welt. Eine Partizipation als Anbieter ist möglich, dafür muss man in Deutschland aber dem DFN beitreten. Er ist als Verein organisiert, und die Mitgliedschaft ist auch forschenden Unternehmen möglich. Die Kosten sind allerdings beträchtlich und bewegen sich in der Größenordnung von 5-10TEUR pro Jahr. Immerhin ist dem DFN e.V. zugute zu halten, dass er gemeinnützig ist und sich ausschließlich über kostendeckende Mitgliederbeiträge finanziert. Auf dem von Freiwilligen betriebenen Hobby-Projekt Freifunk würde ich kein Geschäft aufbauen, auf dem DFN-Internetzugang hingegen ist das schon eher denkbar.
Alternativen und Fazit
Für den WLAN-Zugang gibt es noch unzählige weitere Möglichkeiten. Es gibt eine ganze Branche von Dienstleistern, die sich darauf spezialisiert haben, schlüsselfertige Lösungen maßgeschneidert für die Industrie des Kunden bereitzustellen. Diese decken das ganze Spektrum ab, von anonym über Captive Portals bis hin zu persönlich identifiziert, zum Teil auch noch mit gedruckten Tickets, Gültigkeitszeiträumen und natürlich der Abwicklung einer Bezahlung, falls erwünscht. Ich habe mich in meinem Blogpost auf zwei Varianten konzentriert: Die kostenlose Open-Source-Lösung von Freifunk sowie die akademische Lösung, die für Nutzer ebenfalls kostenlos zu sein scheint aber als Trust & Identity-Plattform von internationalen Forschungsinstituten finanziert wird.
Eine Benutzererfahrung wie bei Eduroam hab ich bislang noch nie woanders gemacht: In der Regel hat sich das Endgerät bereits in die lokalen Access Points eingewählt, noch bevor man die Frage zuende gestellt hat, ob es einen WLAN-Zugang gibt. Da ist Freifunk noch eine Frage und ein Klick mehr (»Nutzen Sie einfach das WLAN mit dem Namen Freifunk; Ja, das ist von uns«). Beides ist einfacher, als mit QR-Codes oder langen Passwortzetteln zu hantieren.