Bundesamt für Sicherheit in der Informationstechnik

BSI TR-03103 Sicheres Wireless LAN

Wireless LANs (WLAN) nach den Standards der Serie IEEE 802.11 des Institute of Electrical and Electronics Engineers (IEEE) haben als drahtlose Zugangstechniken zur IT-Infrastruktur und zum Internet eine starke Bedeutung gewonnen.
WLAN verwenden Funkwellen zur Datenübertragung. Damit besteht prinzipiell die Möglichkeit, dass Angreifer die Signale auffangen und abhören, sich unerlaubten Zugang zum WLAN verschaffen oder die Kommunikation stören.
Zur Gewährleistung der IT-Sicherheit ist daher der Einsatz effizienter Mechanismen zur Authentifizierung, Verschlüsselung und Integritätssicherung der Daten auf der Funkstrecke und darüber hinaus unverzichtbar. In der Vergangenheit ist es hier leider zu großen Versäumnissen gekommen.

Ziel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie Sicheres WLAN (TR-S-WLAN) initiiert mit dem Ziel, Entwicklung und Betrieb sicherer, interoperabler und zukunftstauglicher Wireless LAN Systeme und Infrastrukturen nach den Standards der Serie IEEE 802.11 zu fördern. Die TR-S-WLAN liefert dazu konkrete Handlungsempfehlungen für die Planung, Auswahl, Installation, Konfiguration, Abnahme, Administration und Außerbetriebnahme von sicheren Wireless LANs, in der Wirtschaft sowie im Behördenbereich. Es werden dazu WLAN unterschiedlicher Größe und unterschiedlicher Anwendung (z. B. Büro, Hotspots, LAN-Kopplung) betrachtet.

Zielgruppe

Die Technische Richtlinie (TR) richtet sich an alle, die mit der Absicherung von WLAN-Installationen als Planer, Beschaffer, Betreiber oder Nutzer befasst sind. Ihnen wird Hilfestellung bei der Auswahl und Beschaffung sicherer und interoperabler WLAN-Systeme gegeben. Für diese Zielgruppe sowie für Hersteller und Prüfinstanzen werden Sicherheitsfunktionalitäten von WLAN-Produkten definiert und Verfahren zur Prüfung angegeben.

Aufbau

Die Technische Richtlinie Sicheres WLAN besteht aus drei Teilen:

Grafik Technische Richtlinie sicheres WLAN. Erläuterung im nachstehenden Text

Teil 1: Darstellung und Bewertung der Sicherheitsmechanismen

Im ersten Teil werden die wesentlichen marktgängigen und sich in der Standardisierung abzeichnenden Methoden und Mechanismen zur WLAN-Absicherung vorgestellt und bewertet. Weiterhin werden Architekturen, Realisierungsalternativen und Anwendungsbereiche dargestellt und diskutiert. Beispiele hierzu sind:

  • Sicherheitsmechanismen von IEEE 802.11 und IEEE 802.11i
  • Einsatz von Firewall- und VPN-Techniken
  • Authentifizierung und Schlüsselverwaltung mit IEEE 802.1X
  • Management von WLAN aus der Sicherheitsperspektive
  • Sicherheit im Hotspot
  • Absicherung einer LAN-Kopplung

Dieser erste Teil hat informellen Charakter und bereitet das Fundament für die Teile 2 und 3.

TR-S-WLAN – Teil 1 - Darstellung und Bewertung der Sicherheitsmechanismen (PDF, 1MB, Datei ist nicht barrierefrei)

Teil 2: Vorgaben eines WLAN Sicherheitskonzeptes

Teil 2 liefert konkrete Hilfestellung zur Erstellung von Sicherheitskonzepten für WLAN-Systeme. Dazu wird die Bedrohungslage analysiert und es werden allgemeine und für die verschiedenen betrachteten Szenarien spezifische Sicherheitsmaßnahmen abgeleitet. Die Konzipierung orientiert sich dabei an der Struktur und der Methodik der Grundschutz-Kataloge. Dazu wird der komplette Lebenszyklus der WLAN-Systeme betrachtet und die Architektur von WLAN-Infrastrukturen im konzeptionellen Aufbau widergespiegelt. Folgende WLAN typischen Szenarien werden hier unter der Annahme eines mittleren bzw. eines hohen Schutzbedarfs betrachtet:

  • Einsatz von WLAN zur Erweiterung des kabelgebundenen LAN in kleinen und großen WLAN-Strukturen sowie im Small Office - Home Office - Bereich
  • Remote Access auf das Behörden- / Firmennetz über öffentliche Hotspots
  • Nutzung von WLAN als Ad-hoc-Netzwerk zur direkten Kommunikation zwischen Clients
  • Verwendung von WLAN-Technik zur Kopplung zwischen kabelbasierten LANs

Ein Musterkonzept und eine Checkliste illustrieren die Anwendung der Vorgaben und können als Vorlagen für die Erstellung eigener Konzepte genutzt werden.

TR-S-WLAN - Teil 2 - Vorgaben eines WLAN Sicherheitskonzepts (PDF, 1MB, Datei ist nicht barrierefrei)

Teil 3: Auswahl und Prüfung von WLAN-Systemen

Der dritte Teil dieser Richtlinie behandelt Anforderungen an WLAN Produkte und Systeme. Er ist in zwei Dokumente aufgeteilt:

Die Richtlinie hat Empfehlungscharakter, Verbindlichkeit entsteht erst durch individuelle Vorgabe des Bedarfsträgers, z. B. wenn Vorgaben der TR in Ausschreibungsunterlagen Verwendung finden. Auf Basis der TR-S-WLAN können zukünftig spezielle Schutzprofile nach Common Criteria erstellt werden. Des weiteren besteht grundsätzlich die Möglichkeit, zukünftig Prüfungen von Produkten auf Konformität zur TR-S-WLAN anzubieten und bei Erfolg Konformitätsbescheinigungen auszustellen.

Präsentation der TR-S-WLAN (PDF)

Praxis und Verbesserungsvorschläge

Erfahrungen mit der Anwendung der TR in der Praxis und Verbesserungsvorschläge können gerne an lwc@bsi.bund.de gesendet werden.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK