Besucher-WLAN ist Service — aber nicht auf Kosten Ihres Firmennetzes. So richten Sie einen sicheren, DSGVO-konformen Gästezugang ein.
Ein sicheres Gäste-WLAN ist über ein eigenes VLAN strikt vom internen Netz getrennt, lässt Gäste nur ins Internet und nutzt eine zeitlich begrenzte Anmeldung. Mit WPA3-Verschlüsselung, Client-Isolation und datensparsamem Captive Portal bleibt es zugleich sicher und DSGVO-konform. So kommt ein kompromittiertes Gästegerät nie an Ihre Server, Drucker oder Kassensysteme heran.
Es klingt bequem: Der Besucher fragt nach dem WLAN, man nennt das Passwort, fertig. Das Problem dabei ist, dass jedes fremde Gerät damit Teil Ihres internen Netzes wird. Ob privater Laptop, fremdes Smartphone oder das Notebook eines Dienstleisters — Sie wissen nicht, was darauf läuft, ob es aktuell gepatcht ist oder ob es bereits mit Schadsoftware infiziert ist.
Ein einziges kompromittiertes Gästegerät könnte im internen Netz nach Servern, Druckern, Kameras oder Dateifreigaben suchen und sich seitlich ausbreiten. Genau deshalb gehört ein Gästezugang konsequent getrennt vom Firmennetz. Ein gut gemachtes Gäste-WLAN ist ein Stück Gastfreundschaft — aber niemals auf Kosten Ihrer eigenen Systeme. Es ist im Grunde dieselbe Logik, die hinter jeder durchdachten Netztrennung steht. Hinzu kommt ein Haftungsaspekt: Verursacht das Gerät eines Besuchers in Ihrem Produktivnetz einen Schaden, stehen schnell unangenehme Fragen im Raum, die sich mit einem sauber getrennten Gastzugang von vornherein erübrigen.
Hinzu kommt ein oft übersehener Punkt: Wer sein Produktiv-Passwort an jeden Besucher weitergibt, verliert die Kontrolle darüber. Ein einmal kursierendes WLAN-Kennwort lässt sich praktisch nicht mehr zurückrufen, ohne es überall neu zu setzen — auf jedem Gerät, in jedem Drucker, in jeder Maschine. Ein eigener Gästezugang löst dieses Problem von vornherein und hält das wichtige Produktivnetz unter Verschluss.
Die saubere Trennung gelingt über ein eigenes VLAN. Ein VLAN (Virtual Local Area Network) ist ein logisch abgegrenzter Netzbereich nach dem Standard 802.1Q: Geräte darin sind voneinander isoliert, selbst wenn sie über dieselbe physische Technik laufen. Das Gäste-VLAN bekommt eigene Firewall-Regeln, die genau festlegen, wohin der Verkehr darf — und wohin nicht.
Konkret wird geregelt, dass Gäste ausschließlich ins Internet kommen und sonst nirgendwohin. Ihre Server, Drucker, Kameras und internen Anwendungen bleiben unsichtbar und unerreichbar. Über die sogenannte Client-Isolation lassen sich die Gästegeräte zusätzlich untereinander abschotten, sodass kein fremdes Notebook das Smartphone eines anderen Besuchers erreicht. Das ist besonders in Wartebereichen oder bei Veranstaltungen sinnvoll, wo viele unbekannte Geräte gleichzeitig im selben Netz hängen.
Diese Trennung ist derselbe Mechanismus, der auch im übrigen Firmennetz für Ordnung und Sicherheit sorgt. Wer das Thema einmal grundsätzlich verstehen möchte, findet die Details im Beitrag zur VLAN-Segmentierung — das Gäste-WLAN ist im Grunde nur eines von mehreren sinnvollen Segmenten und lässt sich am besten gleich bei der Netzplanung mitdenken.
Sicherheit beginnt bei der Verschlüsselung der Funkstrecke. Aktueller Standard ist WPA3, der Nachfolger des seit Jahren etablierten WPA2; er erschwert das Mitlesen und das Knacken von Passwörtern deutlich. Für offene Gästezugänge ohne Passwort gibt es zusätzlich „Enhanced Open" (OWE), das den Datenverkehr auch ohne Schlüssel verschlüsselt — ein klarer Fortschritt gegenüber dem klassischen, völlig offenen WLAN, bei dem jeder in der Nähe mitlesen kann.
Sicherheit und Komfort schließen sich dabei nicht aus. Ein durchdachtes Gäste-WLAN ist für Besucher einfach zu nutzen und bleibt für Sie kontrollierbar. Diese Bausteine haben sich bewährt:
So entsteht ein Service, der professionell wirkt und gleichzeitig keine Tür ins Firmennetz öffnet. Die meisten dieser Funktionen bringen moderne Access Points und Firewalls bereits mit, eine zusätzliche Hardware ist selten nötig. Wichtig ist nur, dass dasselbe Funkgerät mehrere getrennte Netze gleichzeitig ausstrahlen kann — das interne WLAN und das Gäste-WLAN laufen dann auf derselben Hardware, aber in komplett getrennten VLANs.
Sobald Sie über das Captive Portal Daten Ihrer Gäste erfassen — etwa eine E-Mail-Adresse oder die Geräte-Kennung —, gilt die Datenschutz-Grundverordnung (DSGVO). Der zentrale Grundsatz lautet Datensparsamkeit: Erheben Sie nur, was wirklich nötig ist, und speichern Sie es nicht länger als erforderlich. Für ein reines Besucher-WLAN ist das meist sehr wenig.
Eine umfassende Vorratsdatenspeicherung ist für Gäste-WLAN weder vorgeschrieben noch sinnvoll. Seit der Abschaffung der sogenannten Störerhaftung im deutschen Telemediengesetz haftet der Betreiber eines offenen WLAN grundsätzlich nicht mehr für Rechtsverstöße seiner Nutzer. Eine lückenlose Protokollierung jedes Besuchers ist daher in aller Regel überflüssig — und datenschutzrechtlich eher ein Risiko als ein Schutz, weil sie selbst eine zu rechtfertigende Datenverarbeitung darstellt.
Sinnvoll und ausreichend sind in den meisten Fällen klare Nutzungsbedingungen im Portal, ein transparenter Datenschutzhinweis und eine kurze, automatisch ablaufende Anmeldung. Wer doch Daten erhebt, etwa für ein WLAN-Marketing per E-Mail, braucht dafür eine saubere Rechtsgrundlage und muss Zweck und Speicherdauer klar benennen. So bleibt das Gäste-WLAN ein freundlicher Service, ohne unnötige rechtliche Lasten zu schaffen.
Ein Captive Portal ist die Anmeldeseite, die sich öffnet, bevor ein Gast ins Internet darf. Sie ist nicht zwingend vorgeschrieben, in den meisten Fällen aber sinnvoll. Auf ihr lassen sich Nutzungsbedingungen anzeigen, die der Gast bestätigt, und ein erster professioneller Eindruck mit Ihrem Logo entsteht ganz nebenbei.
Darüber hinaus dient das Portal als einfache Zugangskontrolle. Statt eines fest verdrahteten Passworts können Sie tageweise wechselnde Codes oder eine kurze Anmeldung verlangen. Das ist deutlich sicherer als ein Schlüssel, der über Jahre derselbe bleibt und längst unkontrolliert kursiert. In Branchen mit Publikumsverkehr — etwa Hotels, Praxen oder Autohäusern — lässt sich über das Portal auch ein voucherbasierter Zugang umsetzen, bei dem jeder Gast einen einmaligen, zeitlich begrenzten Code erhält.
Wichtig bleibt auch hier der datensparsame Umgang: Es sollte nur erhoben werden, was nötig ist, und nicht länger gespeichert als erforderlich. Ein gut gemachtes Portal verbindet so drei Ziele — Komfort für den Gast, Kontrolle für Sie und Datenschutz, der von vornherein mitgedacht ist. Inhalt und Gestaltung sollten Sie bewusst wählen, denn das Portal ist für viele Besucher der erste digitale Kontakt mit Ihrem Unternehmen.
Der häufigste Fehler ist, dass es gar kein echtes Gäste-WLAN gibt, sondern nur ein zweites Passwort am selben Netz. Wer einen separaten Namen vergibt, aber das Gäste-WLAN nicht in ein eigenes VLAN steckt, hat zwar gefühlt getrennt, technisch aber nichts gewonnen. Erst die saubere Trennung auf Netzebene schützt die internen Systeme wirklich.
Ein zweiter Klassiker ist das nie geänderte Gästepasswort. Ein Schlüssel, der seit Jahren derselbe ist, kursiert irgendwann auf unzähligen Geräten ehemaliger Besucher und Dienstleister. Hier helfen zeitlich begrenzte Zugänge oder wechselnde Codes über das Captive Portal. Ebenso häufig wird die Bandbreite nicht begrenzt — dann zieht ein einzelner Gast mit einem großen Download das gesamte WLAN nach unten, auch für die Mitarbeitenden.
Schließlich wird der Datenschutz oft entweder ignoriert oder übertrieben. Manche erfassen aus Unsicherheit viel mehr Daten als nötig, andere zeigen gar keine Nutzungsbedingungen an. Beides lässt sich vermeiden: ein knapper, klarer Datenschutzhinweis und nur die wirklich nötige Anmeldung. So bleibt das Gäste-WLAN rechtlich sauber und im Alltag unkompliziert.
Das Wichtigste ist und bleibt die strikte Trennung vom internen Netz über ein eigenes VLAN — sie sorgt dafür, dass selbst bei Missbrauch Ihre eigenen Systeme unberührt bleiben. Darüber hinaus begrenzen Inhaltsfilter und Bandbreitenlimits das Risiko, dass der Anschluss für problematische Zwecke ausgenutzt oder überlastet wird.
Zeitlich begrenzte Zugänge sorgen dafür, dass kein dauerhafter Zugriff entsteht, den niemand mehr überblickt. Ein wechselndes Tagespasswort oder eine Anmeldung über das Portal ist hier sicherer als ein fest verdrahteter Schlüssel. In Kombination mit WPA3 oder Enhanced Open ist auch das Mithören innerhalb des Funknetzes wirksam erschwert. Sinnvoll ist außerdem, die DNS-Auflösung der Gäste über einen filternden Dienst zu leiten, der bekannte schädliche Seiten blockiert — ein einfacher Schutz, der den Gästen sogar zugutekommt.
Mit diesen Maßnahmen bleibt das Gäste-WLAN ein angenehmer Service für Besucher und ein kalkulierbares Element Ihrer Netzwerksicherheit. Gerne prüfen wir Ihre vorhandene Technik und richten einen Gästezugang ein, der zu Ihrem Betrieb passt — sicher getrennt und trotzdem komfortabel. Sprechen Sie uns dazu an, wir schauen uns Ihre Access Points und Ihre Firewall an.
FAQ
Kurz und konkret beantwortet.
Nicht, wenn es richtig eingerichtet ist. Über eine Bandbreitenbegrenzung erhalten Gäste einen festen Anteil, während die geschäftskritische Verbindung Vorrang behält.
Meist nicht. Moderne Access Points und Firewalls können über VLANs mehrere getrennte Netze gleichzeitig bereitstellen. Ob Ihre Geräte das beherrschen und WPA3 unterstützen, prüfen wir vorab.
In der Regel nicht. Seit dem Wegfall der Störerhaftung ist eine lückenlose Protokollierung weder vorgeschrieben noch empfehlenswert. Sinnvoll sind klare Nutzungsbedingungen über das Captive Portal und eine zeitlich begrenzte, datensparsame Anmeldung.
Ein völlig offenes WLAN überträgt unverschlüsselt. Besser ist Enhanced Open (OWE), das den Verkehr auch ohne Passwort verschlüsselt, oder ein WPA3-gesicherter Zugang mit wechselndem Code über das Captive Portal.
Aktueller Standard ist WPA3. Für offene Zugänge bietet Enhanced Open eine verschlüsselte Verbindung ohne Passwort. Beides ist dem alten, offenen WLAN deutlich überlegen und schützt Gäste vor dem Mitlesen im Funknetz.
Weiterlesen
Fragen zu Ihrem Projekt?
Ob Netzwerk & WLAN oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
