Kunden, Partner und Besucher eines Unternehmens benötigen oft einen Internetzugang. Hierzu sollten Firmen aus Sicherheitsgründen ein separiertes WLAN einrichten. Worauf Sie dabei achten müssen.
Egal, ob der Kunde Ihrer Firma einen Geschäftsbesuch abstattet, Mitarbeitende eines Partnerunternehmens an einem Meeting teilnehmen oder ein wartender Gast mal eben im Web surfen möchte: Die meisten Besucher, die bei einem Unternehmen vor Ort sind, benötigen ein schnelles und sicheres Wifi für Notebook, Smartphone und Tablet.
Wer nun diesen Besuchern kurzerhand das Passwort des Firmen-WLAN gibt, handelt fahrlässig: Damit gelangen die Personen unter Umständen ins interne Netzwerk und an vertrauliche Dokumente. Oder es könnte Malware eingeschleppt werden. Zudem müssen bei professionell betriebenen WLANs seit 1. März 2018 die Verordnungen gemäss dem Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) befolgt werden.
Die folgenden Tipps erklären, weshalb ein separiertes WLAN wichtig ist und worauf Sie beim Einrichten achten sollten.
Warum Sie für Gäste ein separates WLAN anbieten sollten
Grundsätzlich ist ein separiertes WLAN für alle Unternehmen mit Publikumsverkehr ratsam. Es empfiehlt sich aber auch für Firmen, bei denen regelmässig Geschäftspartner und Besucher ein und aus gehen. Ein separiertes Netz erhöht nicht nur die Sicherheit für die Firma, sondern auch für die Benutzer. Zudem erleichtert es die Zusammenarbeit mit Besuchern und wird von diesen als nützlicher Service geschätzt. Denn trotz schnellem und flächendeckendem Mobilfunk-Angebot benötigen viele Besucher ein WLAN für ihre Mobilgeräte und Laptops.
Machen Sie das separierte WLAN sicher
Je nach Lösung, die Sie fürs separierte WLAN wählen, müssen Sie sich um folgende Sicherheitsvorkehrungen kümmern:
- Das WLAN muss unbedingt mit einem Passwort geschützt werden. Im Geschäftsumfeld darf dieses Passwort aber seit dem 1. März 2018 nicht mehr weitergegeben werden.
- Es ist deshalb besser, wenn sich die Benutzer über ein SMS-Login anmelden, als allen Gästen einfach ein separates Passwort auszuhändigen.
- Mitarbeitende sollten das separierte WLAN für Besucher nicht benutzen. Falls doch, sollte darauf geachtet werden, dass auf ihren Geräten keine Freigaben aktiviert sind, die die Kommunikation mit anderen Geräten ermöglichen.
- Reichweite einschränken: Bieten Sie den temporären Gästen nur dort WLAN an, wo es auch genutzt werden soll, etwa in Sitzungszimmern oder im Wartebereich beim Empfang. Schalten Sie das separierte WLAN aus auf Access Points, die hierfür nicht benötigt werden. Dazu gehören beispielsweise solche, die in temporär genutzten Konferenzräumen oder an Orten eingerichtet wurden, die der Öffentlichkeit gar nicht zugänglich sind.
- Die Verschlüsselung sollte mindestens mit WPA2 vorgenommen werden.
- Empfehlenswert ist eine Hausordnung, die die Gäste auf die gewünschten Gepflogenheiten im separierten WLAN hinweist.
- Nicht nur das WLAN, auch öffentlich zugängliche Ethernet-Anschlüsse sollten von der IT entsprechend abgesichert werden.
- Keine Komponente des separierten WLAN darf aus dem Gastnetzwerk heraus selbst konfigurierbar sein. Der Zugang zur Administration muss aus dem internen Unternehmensnetz heraus erfolgen.
So trennen Sie das separierte WLAN vom Firmennetz
Das Firmennetz sollte vor Zugriffen auf Firmendaten, aber auch vor Missbrauch der Internetverbindung für unerwünschte Zwecke geschützt werden. Deshalb ist eine strikte Trennung zwischen Unternehmens-WLAN und separiertem WLAN unabdingbar. Dem separierten WLAN soll also eine eigene SSID mit einem eigenen, eindeutig erkennbaren Namen vergeben werden.
Eine solche Trennung ist mit einer VLAN-Lösung möglich. Damit wird der Firmen-Internetanschluss virtuell segmentiert. Mit Public WLAN als Zusatz zu Managed LAN bietet Swisscom eine komplette Lösung an, die speziell für Gäste-WLANs entwickelt wurde.
In dieser Lösung von Swisscom identifizieren sich die Kunden zum Beispiel über ihr Smartphone per SMS. Zudem kann man dem Netzwerk einen individuellen Namen geben (SSID). Es ist ausserdem möglich, über eine webbasierte Benutzeroberfläche PWLAN nur auf bestimmten Access Points zu aktivieren.
Wichtig ist auch zu beachten, dass Mitarbeitende die verfügbare Bandbreite mit Gästen teilen. Üblicherweise gilt bei der Reihenfolge der Bevorzugung im Netz: Telefon vor Streaming vor Internet. Mit einer Priorisierung des Firmenzugangs kann verhindert werden, dass beispielsweise der Video-Stream eines Besuchers relevante Geschäftsanwendungen behindert oder bei den Mitarbeitenden für ein langsames Internet sorgt. Diese Priorisierung ist bei Swisscom PWLAN ebenfalls sichergestellt.
Ist keine VLAN-Funktion verfügbar, kann man neben dem Firmennetzwerk auch einen zweiten, separaten Internetanschluss nur für Gäste einrichten. Mit dieser Methode bleibt zwar das Gäste-Netz ebenfalls vom Rest getrennt, verursacht aber höhere Kosten als eine VLAN-Lösung.
Achten sie auf die gesetzlichen Rahmenbedingungen
Am 1. März 2018 trat das Bundesgesetz betreffend der Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft. Es regelt unter anderem die Voraussetzungen für WLAN-Zugangspunkte, die öffentlich genutzt werden können. Damit bei Missbrauch eines öffentlichen Netzes und einer behördlichen Untersuchung fehlbare Personen nicht anonym bleiben, müssen alle Benutzer identifizierbar sein. Ein separiertes WLAN eines Unternehmens, das in seinen Büros den Besuchern ein Netz zur Verfügung stellt, fällt unter Umständen unter diese Pflicht.
Sicheres WiFi für Gäste
Mit Public WLAN von Swisscom können Sie Gästen einen sicheren Internetzugang zur Verfügung stellen. Der Gäste-Hotspot ist vom Firmennetz getrennt, und Besucher identifizieren sich mit ihrer Handy-Nummer. So sind Sie im Falle eines Missbrauchs abgesichert.