Wie Passpoint (Hotspot 2.0) das Gäste-Wi-Fi-Erlebnis revolutioniert

Wie Passpoint das Gäste-Wi-Fi-Erlebnis revolutioniert Ein technisches Briefing von Purple — ca. 10 Minuten --- EINFÜHRUNG UND KONTEXT — ca. 1 Minute Willkommen zur Reihe der technischen Briefings von Purple. Ich werde in den nächsten zehn Minuten mit Ihnen über etwas sprechen, das das Captive Portal eigentlich schon vor Jahren hätte ersetzen sollen — Passpoint, auch bekannt als Hotspot 2.0. Wenn Sie die Wi-Fi-Infrastruktur in einer Hotelgruppe, einem Einzelhandelsnetz, einem Stadion oder an einem anderen Ort verwalten, an dem sich Gäste wiederholt verbinden, sind Sie mit Sicherheit schon an dieselbe Grenze gestoßen: Gäste beschweren sich, dass sie sich jedes Mal neu anmelden müssen, Ihr IT-Helpdesk erhält Anrufe wegen Wi-Fi, das „früher mal funktionierte“, und Sie erkennen zunehmend, dass die MAC-Adressen-Randomisierung von iOS 14 und Android 10 Ihre Logik zur erneuten Authentifizierung stillschweigend zerstört hat. Passpoint ist die Antwort auf all diese Probleme. Aber es ist kein magischer Schalter — es ist ein sauber entwickeltes Protokoll, das eine gezielte Bereitstellung erfordert. Also lassen Sie uns einsteigen. --- TECHNISCHER DEEP-DIVE — ca. 5 Minuten Beginnen wir mit dem Kernproblem, das Passpoint löst und das Ingenieure als Netzwerkauswahlproblem bezeichnen. Beim herkömmlichen Wi-Fi sucht Ihr Gerät nach einer bekannten SSID — einem Netzwerknamen — und verbindet sich, wenn es eine erkennt. Das ist einfach, aber anfällig. Es erfordert eine vorherige Verbindung, sagt Ihnen nichts über den Sicherheitsstatus des Netzwerks und unterstützt kein Roaming zwischen Standorten. Jedes Mal, wenn ein Gast Ihr Hotel betritt, muss sein Gerät manuell auf Ihr Netzwerk ausgerichtet, dann von einem Captive Portal abgefangen und schließlich über ein Webformular authentifiziert werden. Das bedeutet Reibung. Und im Jahr 2026 ist Reibung ein Wettbewerbsnachteil. Passpoint verschiebt dieses Paradigma grundlegend. Anstatt nach einem Netzwerknamen zu suchen, sucht das Gerät nach einem Netzwerk, das seine Anmeldedaten unterstützt. Noch bevor es versucht, eine Verbindung herzustellen, fragt das Gerät den Access Point: „Unterstützt du meinen Identitätsanbieter?“ Wenn die Antwort ja lautet, wird die Authentifizierung automatisch fortgesetzt. Keine Anmeldeseite. Keine Passwortabfrage. Keine manuelle Auswahl. Es ist das Mobilfunk-Roaming-Modell, angewendet auf Wi-Fi. Der Mechanismus, der dies ermöglicht, nennt sich Generic Advertisement Service — GAS — in Kombination mit dem Access Network Query Protocol, kurz ANQP. Wenn ein Passpoint-fähiger Access Point sein Beacon ausstrahlt, enthält es ein sogenanntes Interworking-Element — im Wesentlichen ein Flag, das besagt: „Ich spreche 802.11u“, also die IEEE-Erweiterung, die all dem zugrunde liegt. Ihr Gerät sieht dieses Flag, sendet eine GAS-Anfrage, und innerhalb dieser Anfrage fragt eine ANQP-Abfrage: „Welche Roaming Consortium Organisational Identifiers unterstützt du?“ Der Access Point antwortet. Wenn es eine Übereinstimmung mit einem bereits auf dem Gerät vorhandenen Profil gibt, beginnt der vollständige WPA2- oder WPA3-Enterprise-Authentifizierungs-Handshake. Diese Authentifizierung nutzt IEEE 802.1X — denselben portbasierten Zugriffskontrollstandard, der in kabelgebundenen Unternehmensnetzwerken verwendet wird — in Kombination mit einer EAP-Methode. Die gängigsten sind EAP-TLS, das Zertifikate verwendet; EAP-TTLS, das Benutzernamen und Passwörter sicher tunnelt; und EAP-SIM oder EAP-AKA für die SIM-basierte Authentifizierung von Mobilfunkbetreibern. Das Ergebnis ist eine gegenseitig authentifizierte, vollständig verschlüsselte Sitzung. Das Gerät beweist dem Netzwerk seine Identität, und das Netzwerk beweist dem Gerät seine Identität. Diese gegenseitige Authentifizierung verhindert Evil-Twin-Angriffe und Man-in-the-Middle-Angriffe, die in offenen Wi-Fi-Umgebungen an der Tagesordnung sind. Ein Begriff, den Sie neben Passpoint oft hören werden, ist OpenRoaming — das Föderations-Framework der Wireless Broadband Alliance. Hier ist der entscheidende Unterschied: Passpoint ist das Fahrzeug. OpenRoaming ist das Autobahnsystem. Passpoint definiert, wie ein Gerät ein Netzwerk erkennt und sich dort authentifiziert. OpenRoaming definiert das Vertrauens-Ökosystem, das es einem Identitätsanbieter — wie Google, Samsung oder einem Mobilfunkbetreiber — und einem Zugangsanbieter — Ihrem Hotel, Ihrem Stadion, Ihrem Einzelhandelsstandort — ermöglicht, den Anmeldedaten des jeweils anderen zu vertrauen, ohne dass eine bilaterale Vereinbarung zwischen jedem einzelnen Paar erforderlich ist. OpenRoaming nutzt ein Hub-and-Spoke-PKI-Modell mit RadSec-Tunneln — also RADIUS über TLS —, um Authentifizierungsanfragen über die Föderation hinweg weiterzuleiten. Die wichtigste Roaming Consortium OI für das abrechnungsfreie OpenRoaming ist 5A-03-BA. Für die Kompatibilität mit älteren Geräten und Samsung OneUI-Profilen sollten Sie auch die ältere Cisco-OI 00-40-96 ausstrahlen. Aus Sicht der Sicherheits-Compliance ist Passpoint ein erhebliches Upgrade. WPA3-Enterprise nutzt den 192-Bit-Sicherheitsmodus und schreibt Forward Secrecy vor — jede Sitzung verwendet eindeutige Verschlüsselungsschlüssel, sodass die Kompromittierung einer Sitzung den historischen Datenverkehr nicht offenlegt. Für Organisationen, die PCI DSS unterliegen — insbesondere im Einzelhandel, wo Kartenzahlungen verarbeitet werden — oder DSGVO-Verpflichtungen in Bezug auf personenbezogene Daten haben, bedeutet die zertifikatsbasierte Authentifizierung von Passpoint, dass Sie keine Anmeldedaten über ein Webformular erfassen, was Ihre Datenverarbeitungsfläche erheblich verringert. Und dann ist da noch die MAC-Adressen-Randomisierung. Moderne iOS- und Android-Geräte randomisieren ihre MAC-Adresse standardmäßig. Dies zerstört herkömmliche Captive Portal-Re-Authentifizierungs-Flows — das Gerät sieht bei jedem Besuch neu aus. Passpoint ist dagegen immun. Die Authentifizierung basiert auf Anmeldedaten, nicht auf der MAC-Adresse. Ihr wiederkehrender Gast verbindet sich bei jedem Besuch nahtlos, unabhängig davon, wie die MAC-Adresse seines Geräts an diesem Tag lautet. Dies hat auch erhebliche Auswirkungen auf Ihre Wi-Fi-Analysen — wenn Sie die Analyseplattform von Purple nutzen, stellt die anmeldedatenbasierte Authentifizierung die Genauigkeit Ihrer Daten über wiederkehrende Besucher wieder her. --- IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE — ca. 2 Minuten Lassen Sie mich Ihnen ein praktisches Bild der Bereitstellung vermitteln. Die Anforderungen an die Infrastruktur sind komplexer als bei einem Captive Portal, aber für jede Organisation, die Hardware der Enterprise-Klasse einsetzt, absolut machbar. Sie benötigen Passpoint-zertifizierte Access Points — die meisten Enterprise-APs von Cisco, Aruba, Ruckus und Ubiquiti unterstützen dies heute. Sie benötigen einen RADIUS-Server mit EAP-Unterstützung, eine AAA-Infrastruktur für die Verwaltung von Anmeldedaten und im Idealfall einen OSU-Server (Online Sign-Up) für die Self-Service-Profilbereitstellung. Die Konfigurationsarbeit konzentriert sich auf vier Elemente: Ihre ANQP-Einstellungen, die definieren, was der AP vor der Zuordnung ankündigt; Ihre Roaming Consortium OIs; Ihre NAI-Realm-Definitionen, die den Geräten mitteilen, welche EAP-Methoden Sie unterstützen; und Ihre Standortinformationen, die von Geräten verwendet werden, um Kontext über das Netzwerk anzuzeigen. Meine dringlichste Empfehlung für die meisten Standorte ist eine Dual-SSID-Strategie. Betreiben Sie eine Passpoint-SSID für wiederkehrende Gäste und registrierte Benutzer und behalten Sie eine Captive Portal-SSID für Erstbesucher bei. Nutzen Sie das Captive Portal als Onboarding-Trichter — bieten Sie am Ende des Authentifizierungs-Flows beim ersten Besuch die Option an, ein Passpoint-Profil zu installieren. Dieses progressive Onboarding-Modell bietet Ihnen das Beste aus beiden Welten: einfachen Erstzugang und nahtlose Folgebesuche. Nun zu den Fallstricken. Der häufigste Fehler bei der Bereitstellung, den ich sehe, besteht darin, Passpoint als direkten Ersatz für Captive Portals zu behandeln, ohne den Onboarding-Prozess zu gestalten. Wenn die Gäste nicht wissen, wie sie ein Profil installieren, oder wenn der OSU-Flow umständlich ist, gerät die Akzeptanz ins Stocken. Investieren Sie in das Bereitstellungserlebnis. Der zweite Fallstrick ist das Zertifikatsmanagement. Wenn Sie EAP-TLS mit Gerätezertifikaten verwenden, benötigen Sie einen robusten PKI-Lebenszyklus. Abgelaufene Zertifikate unterbrechen die Authentifizierung für betroffene Geräte stillschweigend — und Ihr Helpdesk erfährt es als Letzter. Automatisieren Sie die Zertifikatsverlängerung und überwachen Sie den Ablauf proaktiv. Drittens: Vernachlässigen Sie nicht die Unterstützung älterer Geräte. Passpoint erfordert iOS 7 oder neuer, Android 6 oder neuer und Windows 10 oder neuer. Das deckt die überwiegende Mehrheit der modernen Geräte ab, aber IoT-Geräte und einige ältere, vom Unternehmen ausgegebene Hardware benötigen alternative Zugriffspfade. --- SCHNELLE FRAGEN UND ANTWORTEN — ca. 1 Minute Funktioniert Passpoint mit vorhandenen Access Points? Wenn es sich um Hardware der Enterprise-Klasse aus den letzten fünf Jahren handelt, fast sicher ja — prüfen Sie das Datenblatt auf die Wi-Fi Alliance Passpoint-Zertifizierung. Kann ich mit Passpoint weiterhin Gästedaten erfassen? Ja, aber der Mechanismus ändert sich. Die Datenerfassung erfolgt bei der Profilbereitstellung — im OSU-Flow oder bei der App-basierten Registrierung — und nicht bei jeder Anmeldung. Dies ist tatsächlich DSGVO-freundlicher, da die Einwilligung einmalig und explizit eingeholt wird. Was ist mit Standorten, die gebrandete Begrüßungsseiten wünschen? Passpoint-Verbindungen sind designbedingt unsichtbar, daher gibt es keine herkömmlichen Begrüßungsseiten. Sie können jedoch nach dem Verbindungsaufbau In-App-Benachrichtigungen oder Push-Nachrichten auslösen, wenn Sie eine Integration mit einer Kundenbindungs-App haben. Einige Betreiber nutzen ein Hybridmodell, bei dem der erste Besuch vor der Passpoint-Registrierung noch über ein gebrandetes Portal läuft. Ist der Beitritt zu OpenRoaming kostenlos? Die abrechnungsfreie Stufe von OpenRoaming, die die OI 5A-03-BA nutzt, ist über die Wireless Broadband Alliance kostenlos verfügbar. Kommerzielle Stufen mit Analyse- und Monetarisierungsfunktionen sind über WBA-Mitglieder erhältlich. --- ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE — ca. 1 Minute Zusammenfassend lässt sich sagen: Passpoint ist keine Zukunftstechnologie — es ist ein ausgereiftes, auf Standards basierendes Protokoll, das bereits an großen Flughäfen, in Hotelketten und Stadien weltweit im Einsatz ist. Die Frage für Ihr Unternehmen ist nicht, ob Sie es einführen, sondern wann und wie. Wenn Sie eine Hotelgruppe, eine Einzelhandelskette oder einen großen Veranstaltungsort mit wiederkehrenden Besuchern betreiben, liegt der ROI auf der Hand: geringere Belastung des Helpdesks, höhere Gästezufriedenheit, Minimierung von Compliance-Risiken und präzise Analysedaten, die nicht durch MAC-Randomisierung verfälscht werden. Ihre nächsten Schritte sind einfach. Erstens: Überprüfen Sie Ihre aktuelle AP-Infrastruktur auf eine Passpoint-Zertifizierung. Zweitens: Evaluieren Sie Ihre RADIUS-Infrastruktur und stellen Sie fest, ob Sie einen OSU-Server für die Self-Service-Bereitstellung benötigen. Drittens: Entwerfen Sie Ihre Dual-SSID-Strategie und den Onboarding-Prozess. Und viertens: Wenn Sie eine OpenRoaming-Föderation in Betracht ziehen, wenden Sie sich an die Wireless Broadband Alliance oder einen Plattformanbieter wie Purple, der die Föderations-Anbindung für Sie übernehmen kann. Dies war das technische Briefing von Purple zu Passpoint und Hotspot 2.0. Den vollständigen schriftlichen Leitfaden, Architekturdiagramme und praktische Bereitstellungsbeispiele finden Sie auf purple.ai. Vielen Dank fürs Zuhören.