Zum Hauptinhalt springen

So optimieren Sie Captive Portals für maximale Netzwerksicherheit und Benutzer-Conversion

Dieser Leitfaden bietet eine vollständige technische Anleitung zur Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungs-Architektur, die Auswahl der Authentifizierungsmethode, DSGVO-konformes Consent-Design sowie die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die eine Balance zwischen Netzwerksicherheit und der Erfassung von First-Party-Daten finden müssen. Purple betreibt Captive Portal-Infrastrukturen an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024 - die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.

📖 10 Min. Lesezeit📝 2,314 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen beim Purple Technical Briefing. Heute nehmen wir Captive Portals unter die Lupe. Insbesondere, wie Sie diese für maximale Netzwerksicherheit und Benutzerkonversion optimieren. Wenn Sie die IT für eine Hotelgruppe, eine Einzelhandelskette oder einen großen öffentlichen Veranstaltungsort verwalten, ist das Captive Portal Ihre Eingangstür. Es ist die Schnittstelle, an der Netzwerksicherheit auf Marketing-Aktivitäten trifft. Wenn Sie es richtig machen, sichern Sie Ihr Netzwerk und bauen gleichzeitig eine First-Party-Datenbank mit verifizierten Kontakten auf. Wenn Sie es falsch machen, frustrieren Sie die Benutzer, verletzen die Compliance und setzen Ihr Netzwerk Risiken aus. Beginnen wir mit der Architektur. Ein Captive Portal ist nicht einfach nur eine Webseite. Es ist ein System zur Netzwerksegmentierung. Wenn sich ein Gastgerät mit Ihrer SSID verbindet, platziert Ihr Access Point - ob Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist - dieses Gerät in ein Quarantäne-VLAN. In diesem Quarantänestatus hat das Gerät keinen Internetzugang. Eine Firewall blockiert alles außer DNS-Abfragen und einer bestimmten Liste zugelassener Ziele, dem sogenannten Walled Garden. Dieser Walled Garden ist entscheidend. Er muss die Portal-URL und alle für die Anmeldung erforderlichen externen Dienste enthalten, wie z. B. die Authentifizierungsserver von Google oder Ihr Zahlungs-Gateway. Wenn Ihr Walled Garden falsch konfiguriert ist, lädt das Portal nicht. Das ist die Ursache Nummer eins für Fehler in der Praxis. Sobald der Benutzer die Anmeldung abgeschlossen hat, kommuniziert das Portal mit Ihrem RADIUS-Server. RADIUS steht für Remote Authentication Dial-In User Service. Es ist das Standardprotokoll für die zentralisierte Authentifizierung in Unternehmensnetzwerken. Das Portal sendet eine Change of Authorisation-Nachricht, bekannt als CoA. Diese teilt dem Access Controller mit: Dieses Gerät ist authentifiziert, die Quarantäne kann aufgehoben werden. Das Gerät wird dann in das Produktiv-VLAN verschoben und der Internetzugang wird freigegeben. Diese Segmentierung stellt sicher, dass nicht authentifizierte Geräte Ihr Netzwerk nicht scannen oder Ihre Point-of-Sale-Systeme erreichen können. Wenn Sie in einer PCI-DSS-pflichtigen Umgebung arbeiten, also Kartenzahlungsterminals auf derselben physischen Infrastruktur betreiben, ist diese Isolierung nicht optional. Sie ist eine Compliance-Anforderung. Sprechen wir nun über die Konversion. Das Captive Portal ist ein Nadelöhr. Jedes Gerät, das sich verbindet, passiert es. Das macht es zu einer der wertvollsten Marketingflächen an Ihrem Standort. Aber es ist auch empfindlich. Jedes Feld, das Sie Ihrem Anmeldeformular hinzufügen, verringert Ihre Konversionsrate um etwa zehn Prozent. Wenn Sie ein einfaches Click-Through-Portal einrichten, bei dem der Benutzer nur die Bedingungen akzeptiert und sich verbindet, werden Sie Konversionsraten von über neunzig Prozent erzielen. Aber Sie erfassen fast keine Daten. Wenn Sie nach einer E-Mail-Adresse fragen, sinkt die Konversion auf etwa siebzig Prozent. Wenn Sie ein vollständiges Formular mit Name, E-Mail, Telefonnummer und Postleitzahl verlangen, können Sie von Glück reden, wenn Sie eine Abschlussquote von vierzig Prozent erreichen. Sie müssen also die richtige Methode für Ihren Standort und Ihre Ziele wählen. Lassen Sie mich die fünf wichtigsten Optionen vorstellen. Click-Through ist die Option mit der geringsten Reibung. Sie eignet sich hervorragend für Einrichtungen des öffentlichen Sektors, NHS-Warteräume, Bibliotheken und Gemeindegebäude. Sie haben nicht die Absicht, Marketing-Datenbanken über öffentliches WiFi aufzubauen, und der Compliance-Aufwand für die Erfassung personenbezogener Daten in diesem Kontext ist erheblich. Die E-Mail-Erfassung ist das Arbeitspferd des Gäste-WiFi-Marketings. Sie ist der richtige Standard für Gastgewerbe, Einzelhandel und Veranstaltungen. Sie erhalten eine direkt eigene E-Mail-Adresse, sind unabhängig von Drittanbieter-Plattformen und verfügen über einen klaren Datenpfad für GDPR-Zwecke. Der Social Login über OAuth, der Google, Apple und LinkedIn abdeckt, verringert Reibungsverluste und liefert verifizierte Daten vom Identitätsanbieter. Er funktioniert gut in verbraucherorientierten Umgebungen. Es besteht jedoch ein Abhängigkeitsrisiko. Wenn ein Anbieter seine API-Bedingungen ändert, bricht Ihr Authentifizierungsfluss ab. Stellen Sie neben dem Social Login immer mindestens eine Nicht-OAuth-Methode bereit. Die SMS-Einmal-PIN ist der Goldstandard für Datenqualität. Eine verifizierte Mobilfunknummer ist für Treueprogramme und zeitkritische Mitteilungen deutlich wertvoller als eine nicht verifizierte E-Mail-Adresse. Der Kompromiss besteht in einer niedrigeren Konversionsrate von rund fünfzig Prozent und Kosten pro Nachricht. Bei einem Stadion, das fünfzigtausend Logins pro Veranstaltung verarbeitet, ist dies ein Kostenfaktor, den Sie in Ihrem Business Case berücksichtigen müssen. Die Registrierung per Vollformular liefert Ihnen die reichhaltigsten Daten, aber die niedrigste Konvertierung. Sie ist dort sinnvoll, wo die Daten tatsächlich genutzt werden, beispielsweise bei einer Hotelgruppe, die Gästeprofile vorab ausfüllt, oder bei einem Gesundheitsdienstleister, der Patientenpräferenzen erfasst. Nun zur Compliance. Hier laufen die meisten Implementierungen schief. Unter GDPR müssen Sie die Verbindung von der Datenerfassung trennen. Sie können den Netzwerkzugang auf der Grundlage eines berechtigten Interesses gewähren. Sie können dieselbe Begründung jedoch nicht nutzen, um Marketing-E-Mails zu versenden. Marketing erfordert eine ausdrückliche, aktive Einwilligung. Verwenden Sie keine vorab angekreuzten Kästchen. Bereitstellen Sie ein klares, separates Kontrollkästchen für Marketing-Opt-ins. Das Kontrollkästchen darf standardmäßig nicht angekreuzt sein. Wenn Sie die Bedingungen für den Netzwerkzugang und die Marketing-Einwilligung in einem einzigen Kontrollkästchen bündeln, verstoßen Sie gegen die UK GDPR. Ihr Rechtsteam wird sich jahrelang mit den Folgen befassen müssen. Lassen Sie mich Ihnen zwei Praxisbeispiele geben. Erstens: Ein Hotel mit zweihundert Zimmern, das HPE Aruba Access Points nutzt, möchte gestaffeltes WiFi anbieten. Einfacher, kostenloser Zugang für Standardgäste, Hochgeschwindigkeitszugang für Mitglieder von Treueprogrammen. Der richtige Ansatz ist eine einzige Gäste-SSID, die über eine API in das Property Management System integriert ist. Das Portal bietet zwei Optionen: Login mit Zimmernummer und Name oder Login mit den Zugangsdaten des Treueprogramms. Wenn sich ein Mitglied des Treueprogramms authentifiziert, fragt das Portal das PMS ab, verifiziert die Stufe und sendet einen RADIUS Change of Authorisation an den Aruba-Controller mit einem herstellerspezifischen Attribut, das die Rolle mit hoher Bandbreite zuweist. Standardgäste erhalten eine standardmäßige Rolle mit Bandbreitenbegrenzung. Eine SSID, dynamische Richtlinien, saubere Benutzererfahrung. Zweitens möchte eine nationale Einzelhandelskette mit fünfhundert Standorten E-Mail-Adressen für das Marketing erfassen. Das Rechtsteam ist besorgt über die GDPR. Das Portal-Design ist unkompliziert. Ein einziges E-Mail-Eingabefeld. Darunter zwei Kontrollkästchen. Das erste Kontrollkästchen ist obligatorisch und lautet: Ich akzeptiere die Nutzungsbedingungen und die Datenschutzrichtlinie für den Netzwerkzugang. Das zweite Kontrollkästchen ist optional und standardmäßig nicht angekreuzt: Ich stimme dem Erhalt von Marketingmitteilungen und Sonderangeboten zu. Das Backend protokolliert den Zeitstempel, die IP-Adresse und das Einwilligungsergebnis für jeden Nutzer. Ein sauberer Audit-Trail, eine klare Rechtsgrundlage, standardmäßig konform. Lassen Sie uns nun die häufigsten Fehlerszenarien betrachten. Das häufigste Problem ist, dass das Portal nicht angezeigt wird. Dies liegt fast immer am Walled Garden. Das Betriebssystem des Geräts sendet eine Aktivitätsprüfung an eine bekannte URL, wie z. B. captive.apple.com für iOS-Geräte. Wenn Ihre Firewall diese Domain blockiert, kann das Betriebssystem nicht erkennen, dass es sich in einem Captive-Netzwerk befindet, und das Portal wird nie gestartet. Überprüfen Sie jedes Mal zuerst Ihren Walled Garden. Das zweite Problem ist die Randomisierung von MAC-Adressen. Moderne iOS- und Android-Geräte verwenden standardmäßig randomisierte MAC-Adressen, um Tracking zu verhindern. Dies bedeutet, dass ein wiederkehrender Gast als neuer Nutzer erscheint. Das Portal fordert ihn erneut auf, und er muss sich erneut anmelden. Die Lösung besteht darin, Nutzer dazu zu ermutigen, ein Passpoint-Profil zu installieren oder einen App-basierten Authentifizierungsfluss zu nutzen, der auf einem Identitäts-Token anstelle der MAC-Adresse basiert. Das dritte Problem ist die Erschöpfung von DHCP und DNS bei hoher Auslastung. In einem Stadion oder Konferenzzentrum verbinden sich Tausende von Geräten gleichzeitig. Wenn Ihr DHCP-Pool keine freien Adressen mehr hat oder Ihr DNS-Server das Abfragevolumen nicht bewältigen kann, gerät der Authentifizierungsfluss ins Stocken, noch bevor er das Portal erreicht. Dimensionieren Sie Ihre Infrastruktur für die Spitzenlast, nicht für die Durchschnittslast. Nun zu einigen schnellen Fragen. Welche Authentifizierungsmethode ist am besten mit der GDPR vereinbar? Alle Methoden können konform gestaltet werden. Click-Through bietet den geringsten Aufwand. Die entscheidende Variable ist, was Sie nach der Erfassung mit den Daten tun, nicht welche Methode Sie zur Erfassung verwenden. Kann ich mehrere Authentifizierungsmethoden auf demselben Portal ausführen? Ja, und das sollten Sie auch. Purple Verify unterstützt alle fünf Methoden gleichzeitig, mit Konfiguration nach Standorttyp, Nutzergerät oder Tageszeit. Funktioniert SMS OTP international? Ja, aber die Kosten variieren je nach Land erheblich. Nutzen Sie einen Anbieter mit breiter internationaler Netzabdeckung und planen Sie Ihr Budget entsprechend. Was ist mit Apple Private Relay? Private Relay kann die Erkennung von Captive Portals auf iOS-Geräten beeinträchtigen. Stellen Sie sicher, dass Ihr Portal über HTTPS bereitgestellt wird und dass Ihre Domains für die Aktivitätsprüfung auf der Whitelist stehen.Zusammenfassend lässt sich sagen: Segmentieren Sie Ihren Datenverkehr mit VLANs und pflegen Sie einen sauberen, präzisen Walled Garden. Wählen Sie Ihre Authentifizierungsmethode basierend auf Ihrem Standorttyp und Ihren Datenzielen, nicht nach dem, was am einfachsten bereitzustellen ist. Minimieren Sie Formularfelder, um die Conversion zu maximieren. Trennen Sie Ihre Netzwerk-Nutzungsbedingungen von Ihrer Marketing-Einwilligung. Und planen Sie MAC-Randomisierung und Spitzenlasten von Tag eins an ein. Purple betreibt Captive Portal Infrastrukturen an achtzigtausend Standorten mit vierhundertvierzig Millionen Logins im Jahr 2024. Die Frameworks in diesem Leitfaden spiegeln diese Betriebserfahrung wider. Wenn Sie tiefer in eines dieser Themen einsteigen möchten, steht das vollständige technische Referenzhandbuch auf purple.ai zur Verfügung. Vielen Dank für Ihre Aufmerksamkeit.

header_image.png

Management Summary

Ein Captive Portal ist die Anmeldeseite in einem öffentlichen WiFi. Es ist gleichzeitig Ihre wichtigste Entscheidung zur Netzwerksicherheit - und wenn Sie Marketingprojekte durchführen, Ihr wertvollster Kanal zur Datenerfassung. Die beiden Ziele Sicherheit und Conversion stehen nicht im Widerspruch, erfordern jedoch unterschiedliche Konfigurationsentscheidungen, die in diesem Leitfaden behandelt werden.

Die Kernarchitektur besteht darin, jedes Besuchergerät vor Abschluss der Authentifizierung in ein isoliertes VLAN zu verschieben. Ein RADIUS-Server verwaltet die Sitzungen und gibt die Geräte über Change of Authorization (CoA)-Nachrichten für das Produktiv-VLAN frei. Die Netzwerksegmentierung stellt sicher, dass der Datenverkehr von Gästen niemals die Unternehmens-Infrastruktur oder Kassensysteme berührt. In jeder Umgebung, in der sich Zahlungsterminals und das Gäste-WiFi eine physische Infrastruktur teilen, ist dies eine strikte PCI-DSS-Anforderung.

Auf der Conversion-Seite sinkt die Registrierungsrate mit jedem zusätzlichen Formularfeld um 8% bis 12%. Die richtige Authentifizierungsmethode hängt von Ihrem Standorttyp und Ihren Datenzielen ab. Die Erfassung von E-Mail-Adressen liefert eine Conversion-Rate von 65% bis 80% und sichert Ihnen den Besitz von First-Party-Daten. Social Login über OAuth 2.0 reduziert Reibungsverluste, birgt jedoch das Risiko von Abhängigkeiten von Drittanbietern. SMS OTP bietet die höchste Datenqualität, aber die niedrigste Conversion-Rate. Für den öffentlichen Sektor ohne Marketingziele ist der One-Click-Login die richtige Wahl.

Purple betreibt Guest WiFi Infrastrukturen an mehr als 80.000 Standorten. Die Empfehlungen in diesem Dokument basieren auf den 440 Millionen Logins, die im Jahr 2024 verarbeitet wurden (interne Daten von Purple, 2024).


Technischer Deep Dive

Wie Captive Portals tatsächlich funktionieren

Sobald sich ein Gerät mit einer SSID verbindet, fängt das Captive Portal HTTP- und HTTPS-Anfragen ab. Der Access Point platziert das Gerät in einem isolierten VLAN, in dem die Firewall nur DNS-Abfragen und eine kleine Auswahl vorab genehmigter Ziele (den Walled Garden) zulässt. Das Betriebssystem des Geräts erkennt diesen eingeschränkten Zustand, indem es bekannte URLs abfragt (wie captive.apple.com unter iOS oder connectivitycheck.gstatic.com unter Android). Wenn die Abfrage eine ungewöhnliche Antwort liefert, öffnet das Betriebssystem automatisch das Portal.

Der Benutzer authentifiziert sich. Das Portal übermittelt die Ergebnisse über eine CoA-Nachricht an den RADIUS-Server des Netzwerks. Der Access Controller hebt die Isolationsbeschränkung auf, verschiebt das Gerät in das Produktiv-VLAN und protokolliert eine Sitzung mit Zeitstempeln, MAC-Adressen, Identität und angewendeten Richtlinien. Je nach Authentifizierungsmethode dauert dieser End-to-End-Prozess zwischen einer und zehn Sekunden.

security_architecture_diagram.png

Netzwerksegmentierung

Ein isoliertes VLAN ist unverzichtbar. Ohne dieses können nicht-authentifizierte Geräte auf einer offenen SSID das interne Netzwerk ausspionieren, auf Verwaltungsschnittstellen zugreifen oder Point-of-Sale (POS) Systeme berühren. In Umgebungen, die dem PCI-DSS-Standard unterliegen (d. h. an jedem Standort, an dem Kartenterminals und das Gäste-WiFi dieselbe physische Infrastruktur nutzen), erfordert der Payment Card Industry Data Security Standard v4.0 eine vollständige Netzwerkisolation zwischen der Karteninhaber-Datenumgebung und dem Kundennetzwerk.

Die Netzwerksegmentierung wird auf Ebene des Access Controllers implementiert. Bei Cisco Meraki wird dies über Group Policies konfiguriert; bei HPE Aruba über User Roles; bei Ruckus über die Zone-Konfiguration; und bei Juniper Mist über WLAN-Richtlinien. Das Prinzip ist auf allen vier Plattformen identisch: Für nicht-authentifizierte Geräte gilt eine eingeschränkte Richtlinie; für authentifizierte Geräte gilt eine Produktivrichtlinie. Der RADIUS-Server ist für die Durchsetzung dieses Übergangs verantwortlich.

Für Standorte mit mehreren Benutzertypen (Kunden, Mitarbeiter, externe Dienstleister) sollten Sie separate SSIDs bereitstellen und jede SSID einem separaten VLAN mit dedizierten Firewall-Regeln und Bandbreitenrichtlinien zuweisen. Versuchen Sie nicht, alle Benutzertypen über eine einzige SSID und ein einziges Captive Portal zu bedienen. Die Komplexität der Richtlinienverwaltung wird jeden vermeintlichen Komfort bei weitem übersteigen.

Sicherung des Wireless Edge

Captive Portals arbeiten auf Layer 7 und verschlüsseln die Funkverbindung nicht. Auf einer offenen SSID ist der Datenverkehr zwischen dem Gerät und dem Access Point unverschlüsselt und für jedes Gerät in Funkreichweite sichtbar.

Es gibt drei Möglichkeiten, dieses Problem zu lösen:

WPA3 mit Captive Portal. WPA3-Personal bietet Simultaneous Authentication of Equals (SAE), wodurch Offline-Wörterbuchangriffe auf WPA2-PSK ausgeschlossen werden. Das Captive Portal wird nach wie vor zur Authentifizierung aufgerufen, aber die Funkverbindung ist verschlüsselt. Dies ist der Mindeststandard für Neuinstallationen im Jahr 2026.

Passpoint (Hotspot 2.0) mit 802.1X. Passpoint verwendet EAP-TLS oder PEAP, um eine zertifikats- oder anmeldedatenbasierte Authentifizierung bereitzustellen. Das Captive Portal übernimmt das erste Onboarding und die Unterzeichnung der Einverständniserklärung. Beim zweiten Besuch authentifiziert Passpoint das Gerät automatisch im Hintergrund anhand des konfigurierten Profils und umgeht das Portal vollständig. Dies ist die Architektur, die vom Carrier-Grade-Roaming-Standard OpenRoaming verwendet wird. Weitere Details zu den EAP-Methoden finden Sie in unserem Leitfaden: EAP Method WiFi: A Guide to Secure Network Access .

iPSK (Identity Pre-Shared Key). iPSK weist jedem Benutzer oder Gerät über ein Portal ein eindeutiges WPA2- oder WPA3-Passwort zu. Dieses Passwort wird im RADIUS-Server gespeichert und ist einem bestimmten VLAN und einer Richtlinie zugeordnet. Dies bietet personalisierte Verschlüsselung und Nachvollziehbarkeit auf einer gemeinsamen SSID ohne den Infrastruktur-Overhead einer vollständigen 802.1X-Bereitstellung. Dies ist die Standardarchitektur für Multi-Tenant-WiFi in Build-to-Rent- und Studentenwohnheim-Umgebungen.

Einzelheiten zur zertifikatsbasierten Authentifizierung finden Sie unter WiFi-Zertifikatsauthentifizierung: Sicherer Netzwerkzugriff .


Implementierungsleitfaden

Schritt 1: Walled Garden definieren

Kartenieren und überprüfen Sie vor der Einrichtung Ihres Portals alle externen Abhängigkeiten, die für die Authentifizierung erforderlich sind. Wenn Sie Google Social Login anbieten, setzen Sie accounts.google.com und zugehörige Google-Authentifizierungsdomains auf die Whitelist. Wenn Sie Stripe für kostenpflichtigen Zugang nutzen, setzen Sie die API-Endpunkte von Stripe auf die Whitelist. Wenn Sie den Apple-Login verwenden, setzen Sie appleid.apple.com auf die Whitelist.

Das Versäumnis, einen präzisen Walled Garden zu pflegen, ist die Hauptursache für Fehler bei der Darstellung des Captive Portals in Produktionsumgebungen. Verwenden Sie ein Tool zur Validierung des Walled Garden, um Copy-and-Paste-Regeln für Ihren spezifischen Controller zu erstellen. Purple bietet einen kostenlosen Walled Garden Domain Validator, der einsatzbereite Regeln für Cisco Meraki, Ubiquiti UniFi, HPE Aruba und Catalyst-Controller ausgibt.

Schritt 2: RADIUS-Integration konfigurieren

Integrieren Sie Ihren Access Controller mit Ihrem Cloud-RADIUS-Anbieter. Konfigurieren Sie den Controller so, dass unauthentifizierter Datenverkehr an die Portal-URL weitergeleitet wird, und geben Sie die RADIUS-Server für Authentifizierung und Accounting an. Stellen Sie sicher, dass das gemeinsame RADIUS-Geheimnis mindestens 22 Zeichen lang ist, Groß- und Kleinschreibung sowie Sonderzeichen enthält und alle 90 Tage gewechselt wird.

Konfigurieren Sie bei Cisco Meraki-Bereitstellungen die RADIUS-Server unter "Wireless > Access Control". Konfigurieren Sie bei HPE Aruba unter "Security > Authentication Servers". Konfigurieren Sie bei Ruckus unter "Services > Authentication". Konfigurieren Sie bei Juniper Mist unter "Network > WLAN".

Schritt 3: Authentifizierungsmethoden wählen

authentication_conversion_chart.png

Die folgende Tabelle ordnet Standorttypen den empfohlenen Authentifizierungsmethoden und den erwarteten Conversion-Rate-Bereichen zu.

Standorttyp Empfohlene Methode Erwartete Conversion Erfasste Daten
Hotels & Gastgewerbe E-Mail-Erfassung + Social Login 65-80% E-Mail, Name, optionale Demografie
Einzelhandel E-Mail-Erfassung 68-75% E-Mail, Name
Stadien & Events SMS-Einmalpasswort (SMS OTP) 45-55% Verifizierte Mobiltelefonnummer
Kongresszentren Social Login + E-Mail 60-70% E-Mail, berufliches Profil
Öffentlicher Sektor Click-through 90-95% Nur MAC-Adresse, Zeitstempel
Gesundheitswesen Click-through 90-95% Nur MAC-Adresse, Zeitstempel

Quelle: Purple-Netzwerkdaten, 440 Millionen Logins, 2024.

Schritt 4: Einwilligungsprozesse gestalten

Trennen Sie die für den Netzwerkzugriff erforderliche Einwilligung von der Einwilligung für Marketingkommunikation. Gemäß UK GDPR (der im britischen Recht beibehaltenen Fassung der Verordnung (EU) 2016/679) handelt es sich hierbei um zwei unterschiedliche Rechtsgrundlagen.

Der Netzwerkzugriff kann auf der Grundlage berechtigter Interessen gemäß Artikel 6 Absatz 1 Buchstabe f gewährt werden, was die Netzwerkverwaltung und -sicherheit abdeckt. Marketing-Kommunikation erfordert eine ausdrückliche Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a. Diese Einwilligung muss freiwillig, für den bestimmten Fall, in Kenntnis der Sachlage und unmissverständlich erteilt werden. Bereits angekreuzte Kontrollkästchen erfüllen diesen Standard nicht.

Implementieren Sie zwei unabhängige Kontrollkästchen auf dem Portal. Das erste, obligatorische Feld deckt die Nutzungsbedingungen und den Netzwerkzugriff ab. Das zweite, optionale und standardmäßig nicht angekreuzte Feld betrifft Marketing-Abonnements. Protokollieren Sie den Zeitstempel, die IP-Adresse, die MAC-Adresse und den Status der Einwilligung für jede Sitzung. Dieser Audit-Trail ist Ihr Nachweis der Compliance im Falle von behördlichen Anfragen.

Schritt 5: Bandbreitenrichtlinien über RADIUS VSAs anwenden

Konfigurieren Sie den RADIUS-Server so, dass er nach erfolgreicher Authentifizierung herstellerspezifische Attribute (VSAs) zurückgibt. VSAs weisen den Access Point an, basierend auf dem Benutzerprofil spezifische Bandbreitenbegrenzungen, Inhaltsfilter und Sitzungs-Timeouts anzuwenden.

Bei HPE Aruba weist das VSA Aruba-User-Role Benutzern eine benannte Rolle mit vordefinierten Richtlinien zu. Bei Cisco Meraki wird die Gruppenrichtlinien-ID über das Attribut Filter-Id zurückgegeben. Bei Ruckus ordnet das Attribut Ruckus-User-Groups Benutzer konfigurierten Gruppen zu. Dieser Mechanismus ermöglicht eine dynamische Durchsetzung von Richtlinien, ohne dass separate SSIDs für verschiedene Benutzerstufen konfiguriert werden müssen.


Best Practices

Optimierung der Konversionsrate

Progressive Profiling funktioniert besser als die Datenerfassung in einer einzigen Sitzung. Fragen Sie beim ersten Besuch nach einer E-Mail-Adresse. Bitten Sie beim zweiten Besuch um ein Geburtsdatum oder eine Postleitzahl. Fragen Sie beim dritten Besuch nach den Marketing-Präferenzen. Dieser Ansatz hält die Konversionsraten hoch, während im Laufe der Zeit reichhaltigere Profile aufgebaut werden.

Über 85 % der Interaktionen mit dem Captive Portal finden auf Mobilgeräten statt (interne Daten von Purple, 2024). Gestalten Sie das Design für kleine Bildschirme. Schaltflächen müssen groß genug sein, um ohne Zoomen angetippt werden zu können. Text muss bei Standard-Schriftgrößen lesbar sein. Der Login-Prozess muss mit maximal drei Taps abgeschlossen sein.

Integrieren Sie das Portal bei Einzelhandels- Bereitstellungen in Ihr CRM- oder Treueprogramm. Pizza Express nutzte ein gebrandetes Captive Portal, um innerhalb von zwei Jahren 3,7 Millionen Kunden zu seinem CRM hinzuzufügen. Jede WiFi Verbindung wurde so in ein verifiziertes Marketing-Abonnement umgewandelt (Purple Kundendaten, Pizza Express). Das Portal wurde zum primären Kanal für Anmeldungen zum Treueprogramm und für erneute Werbeansprachen.

Integration von Verhaltensanalysen

Sitzungen im Captive Portal sind der Korrelationsschlüssel zwischen physischen Standortanalysen und digitalen Marketing-Systemen. Jede authentifizierte Sitzung erzeugt ein Besucherfrequenz-Ereignis mit einem Zeitstempel, der Verweildauer und dem Status als wiederkehrender Besucher. Integriert in WiFi Analytics liefert diese Datenbasis Erkenntnisse zur Besucherfrequenz-Attribution, demografischen Segmentierung und Kampagnen-ROI-Messung.

Um mehr darüber zu erfahren, wie Verhaltensdaten aus WiFi Netzwerken den Standortbetrieb unterstützen, lesen Sie Verhaltensanalyse: Erkenntnisse für WiFi Netzwerke .

Security Hardening

Stellen Sie Portale ausschließlich über HTTPS bereit und verwenden Sie ein gültiges TLS-Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA). HTTP-Portale machen Benutzeranmeldedaten anfällig für Abfangversuche und lösen Browser-Sicherheitswarnungen aus, die die Konversionsraten drastisch senken. Implementieren Sie HTTP Strict Transport Security (HSTS) mit einem Mindestwert für max-age von 31536000 Sekunden. Implementieren Sie Rate Limiting an Authentifizierungsendpunkten. Ohne Rate Limiting ist das Portal anfällig für Credential Stuffing und Brute-Force-Angriffe auf Anmeldecodes. Begrenzen Sie die Authentifizierungsversuche auf fünf pro IP-Adresse und Minute.

Führen Sie mindestens einmal im Jahr Penetrationstests für die Portal-Anwendung durch. Purple besitzt die ISO 27001-Zertifizierung sowie die Cyber Essentials-Zertifizierung und wird regelmäßig externen Penetrationstests unterzogen. Für Implementierungen im Gesundheitswesen und im Transportwesen sind vierteljährliche Tests der angemessene Standard.


Troubleshooting und Risikominimierung

Portal wird nicht angezeigt

Dies ist der häufigste Fehlertyp. Das Betriebssystem des Geräts sendet eine Captive-Probe an eine bekannte URL. Wenn die Firewall diese Domain blockiert, kann das Betriebssystem den Captive-Status nicht erkennen, und das Portal wird niemals automatisch gestartet. Benutzer müssen dann manuell zu einer Nicht-HTTPS-URL navigieren, um die Weiterleitung auszulösen.

Überprüfen Sie zuerst die Walled-Garden-Einstellungen. Stellen Sie sicher, dass die folgenden Domains vor der Authentifizierung zugänglich sind: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com und msftconnecttest.com. Dies sind die Probe-URLs, die von iOS, Android beziehungsweise Windows verwendet werden.

MAC-Adressen-Randomisierung

iOS 14 und Android 10 haben standardmäßig eine netzwerkspezifische MAC-Adressen-Randomisierung eingeführt. Wiederkehrende Geräte weisen bei jeder Verbindung eine neue MAC-Adresse auf, was die Sitzungspersistenz unterbricht. Das Portal fordert den Benutzer erneut zur Authentifizierung auf, sodass er sich noch einmal anmelden muss.

Minimieren Sie dieses Problem, indem Sie bei der ersten Anmeldung ein Passpoint-Profil bereitstellen. Dieses Profil enthält Anmeldedaten, die das Gerät für nachfolgende Verbindungen verwendet, wodurch die MAC-basierte Identifizierung vollständig umgangen wird. Verwenden Sie alternativ einen app-basierten Authentifizierungsfluss, der auf in der App gespeicherten Identitäts-Tokens anstelle der MAC-Adresse des Geräts basiert.

DHCP- und DNS-Erschöpfung in großen Umgebungen

In großen Veranstaltungsorten (Stadien, Kongresszentren, Verkehrsknotenpunkten) verbinden sich zu Beginn einer Veranstaltung oder Konferenz Tausende von Geräten gleichzeitig. Wenn der DHCP-Pool zu klein ist, können Geräte keine IP-Adresse erhalten. Wenn der DNS-Server das Abfragevolumen nicht bewältigen kann, schlagen die Captive-Probes fehl, und das Portal wird nicht angezeigt. Planen Sie die Größe Ihres DHCP-Pools basierend auf den maximalen gleichzeitigen Verbindungen und nicht auf Durchschnittswerten. Gehen Sie bei einem Stadion mit 60.000 Sitzplätzen von 40.000 gleichzeitigen Geräten aus. Weisen Sie einen DHCP-Pool von mindestens 50.000 Adressen zu und konfigurieren Sie eine kurze Lease-Zeit (15 bis 30 Minuten), um Adressen schnell wieder freizugeben. Stellen Sie dedizierte DNS-Resolver für das Gästenetzwerk bereit, getrennt von der internen DNS-Infrastruktur.

API-Änderungen der OAuth-Anbieter

Social-Login-Anbieter ändern ihre API-Bedingungen oft ohne Vorankündigung. Facebook hat die über seine Graph API verfügbaren Daten schrittweise eingeschränkt. Wenn Social Login Ihre einzige Authentifizierungsmethode ist und ein Anbieter seine Bedingungen ändert, wird Ihr Portal für alle Benutzer ausfallen.

Richten Sie neben dem Social Login immer mindestens eine Nicht-OAuth-Authentifizierungsmethode ein. Die Erfassung von E-Mail-Adressen ist hierbei der Standard-Backup-Weg. Richten Sie ein Monitoring für OAuth-Authentifizierungsendpunkte ein, um bei erhöhten Fehlerraten alarmiert zu werden - diese sind oft der Vorbote oder Begleiter einer API-Änderung.


Return on Investment (ROI) und geschäftliche Auswirkungen

Wenn man nur die Infrastrukturkosten betrachtet, ist ein Captive Portal eine Kostenstelle; misst man es jedoch am Wert der gesammelten Daten und den damit ermöglichten Marketingprogrammen, ist es ein Umsatzbringer.

Eine Einzelhandelsmarke mit 500 Filialen, die monatlich 10.000 Logins pro Filiale bei einer Opt-in-Quote von 65 % verzeichnet, generiert jährlich 39 Millionen verifizierte CRM-Kontakte. Bei einem konservativen E-Mail-Marketing-Umsatzmodell von 0,10 £ pro Kontakt und Jahr liefert dieser einzige Datenerfassungskanal einen zugeschriebenen Umsatz von 3,9 Millionen £.

Für Betreiber im Bereich Hospitality ist das Portal der erste Kontaktpunkt auf der Guest Journey. Premier Inn und Whitbread nutzen die Daten aus dem Gäste-WiFi, um Treueprogramme zu unterstützen und die Korrelation zwischen WiFi-Nutzung und wiederholten Buchungen zu messen (Purple Kundendaten, Whitbread).

Für Transportunternehmen liefert das Portal Daten zum Passagierfluss, die als Grundlage für Einzelhandelsvermietungen, Personalentscheidungen und die Leistung von Konzessionen dienen. Die Manchester Airport Group (MAG) nutzt WiFi-Analysen, um die Verweilzeiten von Passagieren in den verschiedenen Terminalbereichen zu messen, und korreliert die WiFi-Sitzungsdaten mit den Einzelhandelsausgaben pro Passagier (Purple Kundendaten, MAG).

Drei Kennzahlen sind für den Erfolg des Portals entscheidend: die Opt-in-Quote (Zielwert über 60 % bei der E-Mail-Erfassung), die Datenqualitätsrate (Prozentsatz der validierten E-Mail-Adressen, Zielwert über 80 %) und die Rückkehrquote (Prozentsatz der wiederkehrenden Benutzer, die sich ohne erneute Dateneingabe authentifizieren, Zielwert über 70 %).

Die WiFi Analytics -Plattform von Purple stellt diese Kennzahlen in Echtzeit für alle Standorte bereit und unterstützt die Segmentierung nach Standort, Zeitfenster und Benutzerkohorte.

Schlüsseldefinitionen

Captive Portal

Eine Webanwendung, die den Netzwerkverkehr abfängt, nachdem sich ein Gerät mit einer SSID verbunden hat, und die eine Benutzerinteraktion (Authentifizierung, Zahlung oder Akzeptanz der Bedingungen) erfordert, bevor der Internetzugang gewährt wird.

Der primäre Mechanismus für das Onboarding von Besuchern in öffentlichen oder Gäste-WiFi-Netzwerken. Jedes Gerät, das sich verbindet, durchläuft dieses Portal, was es zur konsistentesten Oberfläche für die Datenerfassung an einem physischen Standort macht.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die vor der Authentifizierung den Zugriff nur auf bestimmte, genehmigte IP-Adressen oder Domains erlaubt.

Erforderlich, damit Geräte die Captive Portal-Seite, DNS-Server und notwendige Authentifizierungsdienste von Drittanbietern erreichen können, bevor der vollständige Internetzugang gewährt wird. Eine Fehlkonfiguration ist die Hauptursache für Probleme bei der Portal-Darstellung.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.

Das Standardprotokoll, das von Captive Portals verwendet wird, um mit Access Points und Controllern zu kommunizieren. Jeder Enterprise-Access-Point von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi unterstützt RADIUS.

Change of Authorisation (CoA)

Eine in RFC 5176 definierte RADIUS-Erweiterung, die es einem Server ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern.

Wird vom Captive Portal verwendet, um den Access Controller anzuweisen, ein Gerät unmittelbar nach erfolgreicher Anmeldung von der Quarantäne-VLAN in die Produktions-VLAN zu verschieben, ohne dass sich das Gerät neu verbinden muss.

Passpoint (Hotspot 2.0)

Ein auf IEEE 802.11u basierender Standard, der es mobilen Geräten ermöglicht, WiFi-Netzwerke automatisch zu erkennen und sich über eine 802.1X-Authentifizierung sicher mit ihnen zu verbinden, ohne dass eine manuelle Interaktion mit dem Portal erforderlich ist.

Der Standardansatz für die Authentifizierung wiederkehrender Benutzer in Enterprise-Standorten. Das Captive Portal übernimmt das Onboarding beim ersten Besuch und die Erfassung der Einwilligung; Passpoint wickelt alle nachfolgenden Besuche im Hintergrund und sicher ab.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das Geräte aus verschiedenen physischen Netzwerksegmenten gruppiert und eine Datenverkehrsisolierung auf der Sicherungsschicht erzwingt.

Wird verwendet, um den Gastdatenverkehr vom Unternehmensdatenverkehr zu segmentieren. Ohne eine VLAN-Segmentierung kann ein Gastgerät, das sich am selben physischen Switch wie ein Point-of-Sale-Terminal befindet, dieses scannen oder angreifen.

iPSK (Identity Pre-Shared Key)

Eine Sicherheitsmethode, bei der jedem Benutzer oder Gerät eine eindeutige WPA2- oder WPA3-Passphrase für dieselbe SSID zugewiesen wird, die vom RADIUS-Server gespeichert und erzwungen wird.

Bietet individualisierte Verschlüsselung und Richtliniendurchsetzung pro Benutzer auf einer gemeinsamen SSID ohne den Infrastruktur-Overhead einer vollständigen 802.1X-Bereitstellung. Standardarchitektur für Multi-Tenant-WiFi.

MAC-Adressen-Randomisierung

Eine Datenschutzfunktion in iOS 14+, Android 10+ und Windows 10+, die eine pro Netzwerk zufällig generierte MAC-Adresse erzeugt, um ein netzwerkübergreifendes Tracking von Geräten zu verhindern.

Unterbricht die MAC-basierte Sitzungspersistenz bei Captive Portals. Ein wiederkehrendes Gerät präsentiert eine neue MAC-Adresse, was eine erneute Authentifizierung auslöst. Dies wird durch Passpoint-Profile oder app-basierte Identitäts-Tokens gemildert.

Vendor-Specific Attribute (VSA)

Ein RADIUS-Attribut im herstellerspezifischen Namensraum (Attribut 26), das herstellerspezifische Richtlinienanweisungen vom RADIUS-Server an den Access Controller überträgt.

Wird verwendet, um Bandbreitenbegrenzungen, VLAN-IDs, Inhaltsfilterrichtlinien und Sitzungs-Timeouts dynamisch basierend auf dem Profil des authentifizierten Benutzers zuzuweisen. Jeder Hardware-Hersteller (Aruba, Meraki, Ruckus) definiert seinen eigenen VSA-Namensraum.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern, das HPE Aruba Access Points nutzt, benötigt gestaffeltes WiFi: einfachen, kostenlosen Zugang für Standard-Gäste und High-Speed-Zugang für Loyalty-Mitglieder. Wie sollten das Captive Portal und das Netzwerk konfiguriert werden?

Richten Sie eine einzelne Gäste-SSID im gesamten Gebäude ein. Konfigurieren Sie das Captive Portal so, dass es über eine API in das Property Management System (PMS) des Hotels integriert wird. Bieten Sie auf dem Portal zwei Authentifizierungsoptionen an: "Mit Zimmernummer und Name anmelden" und "Mit Loyalty-Daten anmelden". Wenn sich ein Loyalty-Mitglied authentifiziert, fragt das Portal das PMS ab, verifiziert den Status und sendet ein RADIUS CoA an den Aruba-Controller. Die RADIUS-Antwort enthält ein Aruba-User-Role VSA, das dem Benutzer eine Rolle mit hoher Bandbreite zuweist (z. B. 50 Mbit/s Downstream, 20 Mbit/s Upstream). Standard-Gäste erhalten eine standardmäßig ratenbegrenzte Rolle (5 Mbit/s Downstream, 2 Mbit/s Upstream). Beide Benutzertypen verbinden sich mit derselben SSID und demselben VLAN, erhalten jedoch unterschiedliche Bandbreitenrichtlinien, die vom Controller erzwungen werden.

Kommentar des Prüfers: Dieser Ansatz nutzt eine einzige SSID, was den Channel-Overhead reduziert und das Benutzererlebnis vereinfacht. RADIUS VSAs übernehmen die dynamische Richtliniendurchsetzung, ohne dass separate SSIDs oder eine komplexe Verwaltung von Pre-Shared Keys erforderlich sind. Die PMS-Integration stellt sicher, dass der Loyalty-Status in Echtzeit überprüft wird, was verhindert, dass Gäste selbst eine höhere Stufe wählen.

Eine nationale Einzelhandelskette mit 500 Standorten möchte Gäste-WiFi einführen, um E-Mail-Adressen für Marketingzwecke zu erfassen. Die Rechtsabteilung hat Bedenken hinsichtlich der DSGVO-Konformität geäußert. Wie sollte der Consent-Flow im Portal gestaltet werden?

Gestalten Sie ein Portal mit einem einzigen E-Mail-Eingabefeld. Implementieren Sie unter dem Feld zwei separate Kontrollkästchen. Kontrollkästchen 1 (Pflichtfeld, standardmäßig nicht ausgewählt): "Ich akzeptiere die Nutzungsbedingungen und die Datenschutzrichtlinie. Ich verstehe, dass meine Gerätedaten verarbeitet werden, um den Netzwerkzugang bereitzustellen." Kontrollkästchen 2 (optional, standardmäßig nicht ausgewählt): "Ich stimme zu, Marketing-Kommunikation, Angebote und Werbeaktionen per E-Mail zu erhalten." Konfigurieren Sie das Backend so, dass Zeitstempel, IP-Adresse, MAC-Adresse und der Status beider Kontrollkästchen für jede Sitzung protokolliert werden. Speichern Sie diesen Consent-Audit-Trail in einem DSGVO-konformen Datenspeicher mit einer Aufbewahrungsfrist, die auf das Marketingprogramm abgestimmt ist (in der Regel 24 Monate ab der letzten Interaktion). Integrieren Sie die E-Mail-Adressen der Anmeldungen aus Kontrollkästchen 2 direkt über eine API in das CRM.

Kommentar des Prüfers: Dieses Design trennt die beiden Rechtsgrundlagen strikt voneinander. Der Netzwerkzugang wird auf Basis eines Vertrags (Nutzungsbedingungen) gewährt. Marketing-Kommunikation basiert auf einer ausdrücklichen Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a der UK GDPR. Der Consent-Audit-Trail dient als Nachweis der Konformität. Bereits angekreuzte Kästchen oder ein einziges Kontrollkästchen für beide Zwecke würden einen Verstoß gegen die Compliance darstellen.

Übungsfragen

Q1. Der IT-Leiter eines Stadions berichtet, dass in der Halbzeitpause das Captive Portal für Tausende von Benutzern gleichzeitig nicht geladen werden kann, obwohl die WiFi-Signalstärke im gesamten Stadion stark ist. Was ist der wahrscheinlichste architektonische Engpass und wie sieht die Behebung aus?

Hinweis: Berücksichtigen Sie die Dienste, die ein Gerät benötigt, bevor es überhaupt die Portalseite anfordern kann. Die Signalstärke ist hierbei nicht der einschränkende Faktor.

Musterlösung anzeigen

Der wahrscheinlichste Engpass ist die Erschöpfung des DHCP-Pools oder eine Überlastung des DNS-Resolvers. Wenn sich Tausende von Geräten gleichzeitig verbinden, muss jedes eine IP-Adresse über DHCP beziehen und die URL des OS-Captivity-Probes über DNS auflösen, bevor das Portal geladen werden kann. Wenn der DHCP-Pool zu klein dimensioniert ist oder der DNS-Server das Abfragevolumen nicht bewältigen kann, gerät der Prozess ins Stocken, bevor der Benutzer überhaupt etwas sieht. Behebung: Dimensionieren Sie den DHCP-Pool für Spitzenwerte bei den gleichzeitigen Verbindungen (nicht für den Durchschnitt), legen Sie eine kurze Lease-Zeit von 15 bis 30 Minuten fest, um Adressen schnell wiederzuverwenden, und stellen Sie einen dedizierten DNS-Resolver für das Gästenetzwerk mit ausreichender Kapazität für Spitzenabfrageraten bereit.

Q2. Sie stellen ein Captive Portal in einem Krankenhaus-Warteraum bereit. Das Hauptziel ist die Bereitstellung von Internetzugang für Patienten und Besucher. Es gibt kein Marketingziel. Welche Authentifizierungsmethode sollten Sie wählen und was sind die Auswirkungen auf die Compliance?

Hinweis: Wägen Sie den Aufwand für den Benutzer gegen den Wert der erfassten Daten ab. Bedenken Sie, was passiert, wenn Sie personenbezogene Daten erfassen, die Sie eigentlich nicht benötigen.

Musterlösung anzeigen

Click-Through (nur Allgemeine Geschäftsbedingungen) ist die richtige Wahl. Es liefert eine Conversion-Rate von 90 bis 95 % bei minimalem Aufwand. Da kein Marketingziel verfolgt wird, führt die Erfassung personenbezogener Daten wie E-Mail-Adressen zu DSGVO-Compliance-Verpflichtungen (Rechtsgrundlage, Datenminimierung, Aufbewahrungsrichtlinien, Auskunftsrechte der betroffenen Personen), ohne einen geschäftlichen Mehrwert zu bieten. Im Gesundheitswesen ist das Reputationsrisiko einer Datenschutzverletzung, die personenbezogene Daten von Patienten oder Besuchern betrifft, besonders hoch. Click-Through beschränkt die Datenerfassung auf MAC-Adresse und Zeitstempel, was für das Netzwerkmanagement im Rahmen des berechtigten Interesses ausreicht.

Q3. Ein Einzelhändler möchte Google und Apple Social Logins auf seinem Captive Portal anbieten. Sein Netzwerk nutzt Cisco Meraki Access Points. Welche Netzwerkkonfiguration ist für die Funktion des Social Logins zwingend erforderlich und welches Fallback-Risiko besteht?

Hinweis: Wie erreicht das Gerät den Identitätsanbieter, bevor es Internetzugang hat? Was passiert, wenn der Anbieter seine Bedingungen ändert?

Musterlösung anzeigen

Sie müssen den Walled Garden auf dem Meraki Access Controller so konfigurieren, dass die Authentifizierungsdomänen für beide Anbieter auf der Whitelist stehen: accounts.google.com und zugehörige Google OAuth-Endpunkte sowie appleid.apple.com und zugehörige Apple-Authentifizierungsendpunkte. Ohne diese Einträge blockiert das Quarantäne-VLAN die OAuth-Anfrage und der Social Login schlägt im Hintergrund fehl. Das Fallback-Risiko besteht in einer Änderung der API des Anbieters: Wenn Google oder Apple ihre OAuth-Bedingungen oder API-Endpunkte ändern, bricht der Authentifizierungsfluss für alle Benutzer ab, die diese Methode nutzen. Richten Sie immer die Erfassung von E-Mail-Adressen als parallele Authentifizierungsoption ein, damit die Benutzer über ein Fallback ohne OAuth verfügen.

Q4. Ein Konferenzzentrum-Betreiber möchte SMS OTP als primäre Authentifizierungsmethode für eine dreitägige Veranstaltung mit erwarteten 8.000 eindeutigen Anmeldungen pro Tag nutzen. Welche Kostenauswirkungen sollten vor der Entscheidung für diese Methode kalkuliert werden?

Hinweis: SMS OTP verursacht Kosten pro Nachricht. Berechnen Sie die Gesamtsumme bei hoher Skalierung und berücksichtigen Sie die Auswirkungen auf die Conversion-Rate.

Musterlösung anzeigen

Bei 8.000 Anmeldungen pro Tag über drei Tage verarbeiten Sie 24.000 SMS-Nachrichten. Bei einem typischen britischen Mobilfunktarif von 2 bis 5 Pence pro Nachricht liegen die Kosten für die Veranstaltung zwischen £480 und £1.200. Wenn die Teilnehmer aus dem Ausland kommen, steigen die Kosten erheblich (in einigen Märkten auf bis zu 10 bis 15 Pence pro Nachricht). Darüber hinaus liegen die Conversion-Rates bei SMS OTP bei 45 bis 55 %, was bedeutet, dass etwa 4.400 bis 4.800 der 8.000 erwarteten Anmeldungen erfolgreich abgeschlossen werden. Die verbleibenden Teilnehmer benötigen eine alternative Methode. Kalkulieren Sie die Kosten pro Nachricht, berücksichtigen Sie die Conversion-Rate und stellen Sie sicher, dass eine Fallback-Methode (Erfassung von E-Mail-Adressen oder Click-Through) für Benutzer verfügbar ist, die die SMS-Verifizierung nicht abschließen.