Branchen
Technik
Recht & Datenschutz
Das Captive Portal ist die Eingangstür jedes professionellen Hotspots. Wer in Hotel, Restaurant, Tagungszentrum oder Co-Working-Space WLAN bereitstellt, kommt an einer durchdachten Lösung dieser Art nicht vorbei: Sie regelt die Anmeldung, dokumentiert die Zustimmung zu den Nutzungsbedingungen, steuert Bandbreite und Tarife, vermittelt das eigene Branding und schützt vor Missbrauch. Dieser Leitfaden zeigt, wie eine solche WLAN-Anmeldemaske technisch funktioniert, welche Software- und Hardware-Optionen existieren, wie Sie DSGVO und Barrierefreiheit beachten und welche typischen Stolperfallen es gibt.
Ein Captive Portal ist eine Webseite, die ein Hotspot automatisch anzeigt, sobald sich ein neues Endgerät mit dem WLAN verbindet. Solange der Nutzer auf dieser Seite nicht angemeldet, eingeloggt oder zumindest auf "Akzeptieren" geklickt hat, blockiert das System jeglichen Internetzugriff – der Gast ist "captive", also gefangen, auf dieser einen Seite. Erst nach erfolgreicher Authentifizierung öffnet sich das Tor zum Internet. Das Konzept ist seit den frühen 2000er-Jahren etabliert, hat sich technisch aber dramatisch weiterentwickelt – insbesondere wegen HTTPS, mobiler Endgeräte und neuer Datenschutzregeln.
Login-Portale dieser Art begegnen Ihnen in Hotels, Cafe-Ketten, Flughäfen, Zügen und auf öffentlichen Plätzen praktisch täglich. Sie sind aus mehreren Gründen so beliebt: Sie funktionieren mit jedem WLAN-fähigen Gerät ohne Vorkonfiguration, sie dokumentieren die Zustimmung zu Nutzungsbedingungen und sie erlauben Branding, Werbung sowie Datenerhebung. Gleichzeitig sind sie die Grundlage fast aller WLAN-Voucher-Systeme.
Hinter einer solchen Anmeldeseite steckt ein zusammenspielendes Gespann aus DNS-Server, DHCP-Server, Firewall und Webserver. Verbindet sich ein neues Endgerät mit dem offenen WLAN, erhält es per DHCP eine IP-Adresse aus einem isolierten Subnetz. Versucht der Nutzer eine Webseite zu öffnen, fragt das Gerät per DNS die Ziel-IP an – und genau hier greift das Portal: Der DNS-Server antwortet entweder mit der IP der Login-Oberfläche oder die Firewall fingiert Antworten und leitet HTTP-Anfragen per HTTP-302-Redirect auf die Login-Seite um.
Erst wenn der Nutzer sich erfolgreich anmeldet, öffnet die Firewall die MAC-Adresse des Geräts und lässt Traffic durch. Die Sitzung wird verfolgt, Bandbreite gemessen, Zeit gezählt. Endet die Sitzung – weil Zeit abgelaufen oder Datenvolumen aufgebraucht ist – sperrt die Firewall die MAC wieder. Mehr technische Hintergründe liefert der Beitrag zur WLAN-Authentifizierung.
Login-Portale unterscheiden sich vor allem in der Anmeldemethode. Vier Varianten haben sich etabliert: Erstens das Click-Through-Portal, bei dem der Gast einfach AGB akzeptiert – einfachste Form, ideal für Free-WiFi in Cafés. Zweitens das Voucher-Portal mit Code-Eingabe – Standard im Hotel- und Camping-Bereich. Drittens das Registrierungs-Portal mit E-Mail, Handynummer oder Social-Media-Konto – beliebt im Marketing, datenschutzrechtlich aber heikel. Viertens das hybride Modell mit Wahl zwischen mehreren Login-Methoden.
Welche Variante optimal ist, hängt von Ihrer Zielgruppe und Ihrer Datenschutzstrategie ab. Marketing-orientierte Betriebe setzen auf Social-Login, datensparsame eher auf Voucher. Mehr Vergleich finden Sie in unserem Artikel zum WLAN-Login-Portal.
Auch ein nicht angemeldeter Gast soll bestimmte Inhalte sehen dürfen – etwa Ihre Website, das Buchungsportal, die Speisekarte oder Apple/Google-Portal-Tests. Diese Whitelist heißt Walled Garden. Sie definieren in der Firewall, welche Domänen oder IP-Bereiche auch ohne Login erreichbar sind. Typische Einträge sind: Ihre eigene Domain, Zahlungsdienstleister (PayPal, Stripe) für Pay-per-Use-Modelle, Konfigurations-URLs für die Portal-Detection und SDKs der Social-Login-Anbieter.
Ein zu kleiner Walled Garden führt zu Login-Problemen, ein zu großer öffnet Türen für DNS-Tunneling und Missbrauch. Pflegen Sie die Liste sorgfältig und prüfen Sie sie alle 6 Monate. Wer eine umfassende Hotspot-Lösung für Business sucht, sollte den Walled Garden bereits in der Anbieterauswahl als Kriterium beachten.
Für eine WLAN-Anmeldeseite stehen Open-Source-, Cloud- und Appliance-Lösungen zur Verfügung. Im Open-Source-Bereich dominieren pfSense und OPNsense mit integriertem Portal-Modul, CoovaChilli (Klassiker), sowie WiFiDog und nodogsplash für OpenWRT-Router. Diese Lösungen sind kostenlos, fordern aber IT-Know-how. Im Cloud-Bereich bieten Cisco Meraki, Ubiquiti UniFi, Cambium cnMaestro und Aruba Central komfortable Out-of-the-Box-Splash-Pages mit zentralem Management.
Spezialisierte deutsche Anbieter wie HotSplots, Aircloak, MyHotspot oder Wifi-Tickets richten sich an Gastronomie und Hotellerie und liefern fertige Voucher-Workflows, Drucker-Integration und Buchungstool-Schnittstellen. Eine herstellerunabhängige Bewertung finden Sie in den Tech-Magazinen, etwa bei heise.de.
Die Login-Maske ist mehr als ein Anmeldeschritt – sie ist ein Werbe-Touchpoint. Studien zeigen: 100 Prozent der WLAN-Nutzer sehen die Portalseite, durchschnittliche Verweildauer beträgt 6 bis 12 Sekunden. Das ist mehr Aufmerksamkeit als die meisten Banner-Anzeigen je bekommen. Nutzen Sie diese Bühne: Logo, Slogan, aktuelle Aktion, Speisekarten-Link, Bewertungs-Aufruf oder Social-Media-Buttons. Manche Hotels bewerben Spä-Angebote, Restaurants das Dessert des Tages, Campingplätze die Brot-Vorbestellung.
Wichtig: Halten Sie die Anmeldung trotzdem schlank. Eine überfrachtete Seite frustriert. Eine erprobte Reihenfolge ist: Logo oben, klare Login-Aufforderung, optional ein einzelnes Highlight-Angebot, dann der Login-Button. Visuelles Design sollte die Markenfarbe und Schrift Ihres Hauses widerspiegeln.
Jede WLAN-Login-Seite verarbeitet personenbezogene Daten – mindestens IP-Adresse und MAC-Adresse. Damit greift die DSGVO vollumfänglich. Ein DSGVO-konformes Portal enthält: eine kurze Datenschutzerklärung mit Verantwortlichem, eine Aufklärung über Zweck und Speicherdauer, eine eindeutige Einwilligung (nicht vorausgewählte Checkbox), Cookies nur nach Zustimmung und ein Verfahren für Betroffenenanfragen.
Die maximale Log-Aufbewahrungsfrist sollte sich an Telemediengesetz und Empfehlungen orientieren – typisch sind 7 bis 14 Tage. Eine umfassende rechtliche Einordnung bietet die DSGVO-Seite, weitere Pflichten finden Sie unter Hotspot-Betreiberpflichten. Auch die Bundesdatenschutzbehörde liefert hilfreiche Orientierung.
Eine technische Herausforderung moderner Anmeldeportale ist HTTPS. Verschlüsselte Verbindungen lassen sich nicht mehr unbemerkt umleiten – jeder Versuch erzeugt Zertifikatswarnungen, was Nutzer abschreckt. Apple, Google und Microsoft haben deshalb eine Portal-Detection eingebaut: Das Betriebssystem fragt im Hintergrund eine bestimmte URL ab (etwa captive.apple.com oder connectivitycheck.gstatic.com). Erhält es nicht die erwartete Antwort, weil eine Anmeldeseite dazwischen funkt, öffnet das System automatisch die Splash-Page in einem Mini-Browser.
Damit das funktioniert, müssen die Test-URLs im Walled Garden freigegeben sein und das Portal muss auf HTTP (Port 80) erreichbar sein – trotz globaler HTTPS-Pflicht. Eine cleane Konfiguration verwendet meist Port 80 für Detection, Port 443 mit gültigem TLS-Zertifikat für das eigentliche Login-Formular. Wer hier patzt, hört vom Empfang täglich: "Das WLAN tut nicht."
Eine Anmeldeseite ist nur sicher, wenn die Infrastruktur dahinter sicher ist. Mindestanforderungen aus Sicht des BSI: Layer-2-Isolation zwischen Gast-Geräten (Client-Isolation), VLAN-Trennung von Mitarbeiter- und Kassennetz, DNS-Filter gegen Tunneling, Brute-Force-Schutz auf der Login-Seite, regelmäßige Firmware-Updates und ein Monitoring für ungewöhnlichen Traffic.
Zusätzlich empfehlenswert ist die Verwendung von verschlüsselten Open-Roaming-Profilen (Hotspot 2.0), wo immer möglich, sowie DNSSEC und DNS-over-TLS auf dem Gateway. Das schliesst viele klassische Spoofing-Angriffe aus. Mehr zur Risikolage und der bereits abgeschafften Störerhaftung.
Bei der Auswahl Ihres Login-Portals sollten Sie folgende Punkte prüfen: Anpassbarkeit des Portal-Designs (CI/CD-konform), DSGVO-Funktionen (kurze Logs, Anonymisierung), Voucher- und Tarifoptionen, Bandbreitenmanagement, Mehrsprachigkeit (mindestens DE/EN), API für PMS-/Kassenanbindung, Reporting, Multi-Site-Fähigkeit und Support-Qualität. Prüfen Sie auch die Cloud-vs-Onpremise-Frage: Cloud spart Wartung, On-Premise bleibt unabhängig.
Für kleinere Betriebe reicht meist eine UniFi- oder MikroTik-Lösung mit eigener Pflege, mittlere Betriebe profitieren von Wifi-Tickets oder HotSplots, größere von Cisco Meraki oder Aruba. Wer in der Gastronomie tätig ist, sollte den Beitrag zum Restaurant-WLAN lesen, im Camping die Seite zum Camping-WLAN.
Die Hotspot-Login-Branche bewegt sich. Passpoint (Hotspot 2.0) erlaubt zertifikatsbasierten Login ohne sichtbare Anmeldemaske – das Endgerät authentifiziert sich automatisch, wenn ein passendes Profil vorhanden ist. Das OpenRoaming-Konsortium (WBA) treibt diese Vision von Roaming zwischen tausenden Hotspots voran. Parallel dazu bewegen Anbieter Funktionalität in die Cloud (zentrale Anmeldeseite für mehrere Standorte) oder zurück auf den Access Point (Edge-Computing für geringere Latenz).
Auch klassische Portale werden klug: KI-gestützte Bot-Erkennung, Verhaltensanalyse zur Identifikation von Voucher-Sharing, dynamische Bandbreitenanpassung je nach Netzlast. Für Betreiber bedeutet das: Was heute neu und teuer ist, wird in drei Jahren Standard. Eine zukunftsfähige Auswahl berücksichtigt Update-Politik und Roadmap des Herstellers.
Aus jahrelanger Beratung sind diese fünf Tipps entstanden: Erstens dokumentieren Sie Ihre Portal-Konfiguration – Walled-Garden-Einträge, Tarife, Branding – in einem zentralen Wiki. Zweitens pflegen Sie eine FAQ am Empfang, damit das Personal Standardfragen beantworten kann. Drittens richten Sie ein Monitoring (Uptime-Check, Zertifikatsablauf, Voucher-Vorrat) ein. Viertens planen Sie quartalsweise Reviews mit Auslastungsdaten. Fünftens testen Sie monatlich mit einem iPhone, einem Android und einem Notebook, ob die Anmeldung wirklich funktioniert.
Wenn die Anmeldeseite nicht erscheint, hilft oft der Tipp an den Gast: "Bitte öffnen Sie neverssl.com im Browser." Diese seit Jahren stabile Test-Seite liefert garantiert HTTP und zwingt das Login in den Vordergrund. Für Free-WiFi-Konzepte bietet die Seite Free WiFi anbieten ein passendes Konzeptmodell.
Eine Login-Maske ist erst dann produktionsreif, wenn sie auch in Spitzenzeiten stabil reagiert. Im Hotel mit gleichzeitigem Check-in mehrerer Reisegruppen, im Tagungssaal beim Mittagspausen-Login oder im Café während der Lunchzeit treffen oft hunderte Login-Anfragen innerhalb weniger Minuten auf den Hotspot-Gateway. Wer hier auf einen schwachen Router setzt, erlebt zähe Antwortzeiten, fehlgeschlagene Authentifizierungen und genervte Gäste. Eine professionelle Portal-Lösung skaliert horizontal über mehrere Worker-Prozesse, nutzt In-Memory-Caching für Session-Daten und entkoppelt das Rendering der Login-Seite von der eigentlichen Authentifizierungs-Logik.
Wichtige Performance-Stellschrauben sind: ausreichende CPU- und Arbeitsspeicher-Reserven am Gateway, ein schneller Schreibzugriff auf die Voucher-Datenbank (SSD statt klassischer HDD), eine intelligente Connection-Tracking-Tabelle in der Firewall und ein Reverse-Proxy mit TLS-Offloading vor der Login-Oberfläche. Wer auf Cloud-Plattformen setzt, sollte zudem auf die geografische Nähe des Portal-Endpunkts achten – ein deutscher Hotelgast, dessen Login-Anfrage erst über einen US-Server läuft, bemerkt das sofort als Latenz. Moderne Anbieter platzieren Edge-Knoten europaweit, um genau dieses Problem zu vermeiden.
Eine professionelle WLAN-Login-Seite ist barrierefrei nutzbar – das ist nicht nur ein moralisches Gebot, sondern wird zunehmend auch rechtlich relevant. Das Barrierefreiheitsstärkungsgesetz greift seit 2025 für viele digitale Angebote im B2C-Bereich und schließt mittelfristig auch öffentlich zugängliche Anmeldeseiten ein. Praktisch bedeutet das: ausreichende Farbkontraste nach WCAG 2.2, deutlich lesbare Schriftgrößen, eine vollständige Bedienbarkeit per Tastatur und Screenreader, sinnvolle Alternativtexte für alle grafischen Elemente sowie eine klare visuelle Hierarchie zwischen Marke, Anmelde-Aktion und rechtlichen Hinweisen.
Hinzu kommen pragmatische Punkte: Die Eingabefelder für Voucher-Codes sollten große Touch-Targets bieten, der Login-Button muß auch mit einer Hand bedienbar sein, Fehlermeldungen müssen klar und in einfacher Sprache formuliert sein. Wer mehrsprachige Gäste empfängt, sollte mindestens deutsch und englisch anbieten, in touristisch starken Regionen zusätzlich französisch, niederländisch oder polnisch. Eine gut gestaltete Anmeldeoberfläche wirkt auf alle Gäste einladend – auf den eiligen Geschäftsreisenden ebenso wie auf die ältere Familienreisende, die zum ersten Mal mit einem Touchscreen-Smartphone hantiert.
Was nicht gemessen wird, kann nicht verbessert werden – das gilt auch für die Login-Maske. Sinnvolle Kennzahlen sind: durchschnittliche Login-Dauer in Sekunden, Anteil erfolgreicher Logins im ersten Versuch, Anzahl Sitzungen pro Tag, beliebteste Tarife oder Voucher-Typen, geografische Verteilung der Endgeräte (sofern DSGVO-konform erfasst) sowie Peak-Zeiten der Nutzung. Aus diesen Daten lassen sich konkrete Verbesserungen ableiten: ein gehobener Bandbreitenbedarf am Abend, ein Engpass im Walled Garden, eine bestimmte Endgeräte-Gruppe mit auffällig vielen Login-Abbrüchen.
Praktisch bewährt hat sich ein dreistufiger Monitoring-Ansatz: erstens ein automatisches Uptime-Monitoring, das jede Minute prüft, ob die Anmeldeoberfläche antwortet. Zweitens ein täglicher Report mit den wichtigsten Nutzungs-KPIs an die zuständige Person. Drittens ein quartalsweises Review mit dem Hotspot-Anbieter oder dem internen IT-Team, in dem strategische Anpassungen besprochen werden – neue Tarife, geänderte AGB, Walled-Garden-Erweiterungen. Eine solche Routine sorgt dafür, dass das System über Jahre als verlässliches Werkzeug funktioniert und nicht still vor sich hin altert.
Weiterlesen: Voucher-Drucker · QoS im Gäste-WLAN · Public WLAN betreiben
Über den Autor:
Mein Name ist Nico Schubert und komme aus Arnstadt, welches in der Nähe von Erfurt liegt.
Seit über zehn Jahren bin ich selbstständig im Bereich der Web Programmierung, Webhosting und Affiliate-Marketing.