e-@ s=§ffIII!IT!IIITITrrrr--rr-I--rrrrrrr--.---rr!-rI,rIt---
White Paper
Datenschutr für den Betrieb von WLAN-HoBpoßDie YPN-Routing-Lösung von H0TSPLOTS
Sknd: November 2012
hotsplob GmbHDr. Ulrich Meier, Dr. Jörg 0ntrup
Rotherstr.1710245 Berlin
E-Mail: [email protected]
Tel.: +49 (0)30 29 77 3480
O hotsplots GmbH
i::'l:::n f ffiIIIIII:IIEIITII!r!- I
-
1. Auch untenregs online
Drahtlose Zugangspunkte zum lnternet, so genannte Wl-AN-Hotspots, sind eine günstige und mittlerweile weit
verbreitete Lösung, um auch unterwegs Zugriff aufs lnternet zu erhalten. Vor zehn Jahren war ,,mobiles lnter-
net" via Laptop oder PDA sehr teuer und fast ausschließlich in großen Ballungszentren verfügbar. Seitdem hat
sich die W-AN-Technik stark weiterentwickelt und ist mittlerweile auch entsprechend verbreitet. So kommen
heute Urlauber oder Geschäftsreisende vielerorts zu erschwinglichen Preisen oder kostenlos mobil ins lnternet.
Laut BITKOM gab es im Oktober 2010 rund 15.000 Wl-AN-Hotspotsl in Deutschland. Seitdem hat sich zumin-
dest die Anzahl der Standorte von H0TSPLOTS mehr als verdreifacht - bis November 2A12aul über 3.500.
Lr{LAH-Hotspots als öfüntlicher tlleg ins lnternet
Neben der privaten hat auch die kommerzielle Nuüung von WLAN-Hobpots zu deren steigender Verbreitung in
den tetzten Jahren beigetragen. Verschiedene Systeme zur Abrechnung und Zugangskontrolle ermöglichen Be-
zahlen sowie sicheres Login. Das Einloggen erfolgt dabei zumeist via Webbrowser. Nach der Eingabe der Zu'
gangsdaten wird dann der Zugriff auf das lnternet freigegeben. Die Abrechnung erfolgrt danach - in der Regel
ohne großen Autuand ftir Beteiber oder NuEer - über das externe Abrechnungssystem des jeweiligen Anbie-
ters.
2. Risiko: Ermittlungen ftihren zum Hotspot-Betrciber
Die rasante Verbreitung der W-AN-Technologie an Flughäfen, in Hotels und Caf6s oder auf CampingpläEen
birgt jedoch Risiken. Nicht nur die lnternetnuüer, sondern auch die Hotspot-Betreiber sorgen sich um den
Schutz threr Daten und Privabphäre. Eine der immer wieder von lhnen geäußerten Angste lautet ,,Steht die Po-
lizei vor meiner Tür, wenn ein lnternetnuker meinen Hotspot zu illegalen Zwecken missbraucht?".
Ganz abwegig ist das nicht. Auch wenn Hausdurchsuchungen und die Beschlagnahmung von Hardware immer
noch die Ausnahme slnd: lm Falle einm Missbrauchs, zum Beispiel eines unberechtigten Dateitransfers, ermit-
telt die Polizei zuerst beim Hotspot-Betreiber - unabhängig davon, ob er etwas damit zu tun hat oder nicht.
Denn seine eindeutig zuordenbare Hotspot-lP-Adresse ist im Datenverkehr stets erkennbar. Wird diese Absen-
derkennung vom lnternet-Provider gespeichert, können Ermittler sie mit einer Person verknüpfen - und das
führt sie dann direK zum Betreiber des Lt/tAN-Hotspots.
Jedezeit identift zieüar
lm Normalfall besteht zwischen dem W-AN-Hotspot und dem lnternet eine direKe Verbindung. Der Nachteil ist
die ldentifizierbarkeit der Hotspot-lP-Adresse in der Öffentlichkeit. Problematisch kann das werden, sobald ein
lnternetnuter den öffentlichen ZugangspunK beispielsweise zum illegalen Herunterladen von Musik- oder Vi-
deodateien benu?t. Denn in diesem Fall ist es nicht die NuEer-lP-Adresse, die im Datenverkehr übermittelt
1BtIKoM Presseinfo 10.10.2010: http:llwww.bitkom.orgldelmarK-statistiuBt042-65479.aspx
O hotsplots GmbH
%-@ .,::!+§:\EnIII!IITIIITTT
-!rrr-rrf----rrrrrrr---.--IIl-II TIIE--
wird, sondern die des Hobpob. lst hier keine Authentifizierung notwendig, hinterlässt der lntemetnuter kei-
nerlei spuren - die Polizei kann sich dann nur an den Hotspot-Betreiber wenden.
EEHotspot-Nutzer
q§lrrrrrrrrrl
Hotspotohne VPN-Routing
mE-
Hotspot-NuterDie lP-Adresse des Standortinhabers
ist öffentlich sichbar
/
ß/Hotspot-Nutzer
/lbbildung 1: Funktionsdiagramm eines Hotspob ohne VpN-Routing
Warum aber die Ermitüungsbehörden erst zum Hotspot-Beteiber schicken? ln der Hegel kann dieser auch
nicht weiterhelfen, denn normalerweise übernimmt ein externer Dienstleister die Zugangskontrolle und Abrech-
nung. Sinnvoller wäre es, die Polizei direK zu dem Anbieter des Abrechnungssystems bzw. dem lnternet Ser-
vice Provider zu leiten * wenn es ermitüungsrelevante Daten gibt, dann sind sie dort zu finden.
3. Mehr Privatsphärc durch die llPil-server von H0TSPL0TS
Die hobplob GmbH hat eine Lösung entwickelt, die die ldentität des Hotspot-Beteiberc im tnternet besser
schützt und unnÖtige Besuche von Strafverfolgern vermeidet. Auf Wunsch sorgen so genannte ,,Virtuelle private
Netz-werke" (VPNs) dafür, dass die Betreiber von WAN-Hobpob im öffentlichen Datenverkehr nicht mehr zu
identifizieren sind. stattdessen werden Ermittler direkt zu HOTSPL0TS geleitet.
4. Die Funktion des ltrlrl-Routings von H0TSpLOTS
Normalenreise hat jeder Hobpot eine direkte Verbindung zum lnternet und ist dort durch seine lp-Adresse ein-
deutig identifizierbar. Anders sieht es aus, wenn sich der Hotspot-Beteiber frjr den Einsaü von VpN-Routing
enbcheidet. Hier wird nämlich der gesamte Hobpot-Datenverkehr zuers über Server von I{0TSPLQTS geleitet.
Der Hintergrund: Durch das Tunneln der Verbindung zum lnternet wird die Hobpot{p-Adresse durch eine l(en-
nung des VPN-Servem im Rechenzenüum ersetrt. Damit erhalten alle tlobpob, deren Datenverkehr über ypN-
server umgeleitet wird, eine andere lP-Adresse - der Hobpot-Beteiber bleibt anonym.
@ hotsplots GmbH
%,-IIIII
-II'
I'IIIIITTI
,*,..-i..-ffiraaltIIIaTIIIIII!-!r a
-
EEHotspotNutzer sE#
HEEVPN-Servervon HOTSPLoTS
Et+
Hotspotmit VPN-Routing
(D (»I rrrrrrrr!
mEEEEEI
Hotspot-NutzerNur die lP-Adrese
des VPN-Seruers
i§sichtbar
//
ß/Hotspot-Nutzer
Abbildung 2: Funktionsdiagramm eines Hotspots mit VPN-Routing
Die hotsplots GmbH setrt auf ein System, das den Hotspots dynamisch VPN-Server zuweist. Durch diese Last-
verteilung (engl. load balancing) stehen fürjeden Hotspot genügend Ressourcen zur Verfügung. Auf Seite des
Hotspots kann die Geschwindigkeit durch die Rechenleistung des Hotspot-Routers limitiert sein. Die schnells-
ten Geräte, HOTSPL0TS Appliances, beherrschen die Lastverteilung auf mehrere parallele lnternetanschlüsse
und mehrere VPN-Server, so dass auch Geschwindigkeiten von mehr als 100 MBiUs problemlos zu bewältigen
sind.
All jene, für die hächster Datendurchsaü und schnellste ReaKionszeiten entscheidend sind und die auf VPN-
Routing veruichten können, können ihren Hobpot mit H0TSPL0TS auch ohne VPN-Routing betreiben, denn das
Angebot ist optional und kostenfrei. Beim Einsat von HOTSPL0TS DSL als lnternetanschluss werden
Ermittlungskhörden auch ohne VPN-Routing direkt zu HOTSPL0TS geleitet.
5. Das VPll-Routing von H0TSPL0TS aus der Sicht der Hotspot-Be&iber
Entscheidet sich der Hotspot-Betreiber für die Option ,,VPN-Routing", sorgt er damit vermeidbaren Behörden-
kontaHen vor. Niemand, der einen privaten oder gewerblichen W-AN-Hotspot betreibt, möchte schließlich die
Polizei im Haus haben. Hausdurchsuchungen und Beschlagnahmungen vor den Augen der Nachbarn oder Kun-
den - das kann einen großen lmageschaden bedeuten, auch wenn der Betreiber letrtlich völlig unschuldig ist,
da sein Hotspot von einem Nuter beispielsweise zum Transfer rechtlich geschützter Dateien missbraucht wur-
de. Mit dem EinsaE von VPN-servern lässt sich ein solches Szenario ohne großen Aufwand vermeiden.
Die Behörden werden so direkt zu HOTSPLOT§ geleitet, ohne dass der Hotspot-Betreiber involviert wird. Dort
erhalten die Ermittler dann die lnformationen, die für die Aufklärung nötig und im Rahmen der gesetlichen Vor-
o hotsplots GmbH
dea*-@* .§§§IIIITIIIII-r!rrrrr--!rrrrrri--IIlTITII-
ZZlf.IITII
gaben gespeichert sind. An der Funktion und Konfiguration des W-AN-Hoßpob ändert sich nichb, sodass
llobpot-Betreiber und -Nuter den Einsat der VPN-Server kaum wahmehmen.
. HOTSPLOT§YPll{outing
' ,la.l.flc{tng akaui{en (?j * ja ngin
- vP\'Rqutnq Jhi'
§ubemohman
Abbildung 3: Einfaches Aktivieren des VPN-Routing per Mausklick im Webinterface
Das Aktivieren des VPN-Routings erfolgt einlach per Mausklick. Die VPN-Kontiguration wird vottautomatisch
vom zentralen Server von H0TSPLOTS geladen.
g hotsplots GmbH
Top Related