Bundesamt für Sicherheit in der Informationstechnik

G 2.117 Fehlende oder unzureichende Planung des WLAN-Einsatzes

Ein WLAN muss sorgfältig geplant und aufgebaut werden, damit nicht einzelne Sicherheitslücken alle hiermit vernetzten IT -Systeme beeinträchtigen kann. Dies kann sogar dazu führen, dass über ein unzureichend gesichertes WLAN ein damit gekoppeltes Behörden- oder Unternehmensnetz kompromittiert wird. Falls Sicherheitsmechanismen zwischen LAN und WLAN nicht abgestimmt sind, kann es dadurch auch zu Sicherheitslücken kommen, beispielsweise durch Mängel bei der Planung zur Trennung von Benutzergruppen.

Bei fehlender oder unzureichender Planung können sich eine Vielzahl von Problemen ergeben, wie beispielsweise die folgenden:

  • Sensitive Daten könnten mitgelesen werden, wenn keine oder nur unzureichende Sicherheitsmaßnahmen im WLAN umgesetzt wurden.
  • Die Leistungsfähigkeit eines Funknetzes könnte durch nicht beachtete andere WLAN-Installationen oder andere Funk-Systeme gemindert werden, wenn diese in den Nutzungsbereichs des Funknetzes hineinstrahlen.
  • Falls bei der Planung eines WLANs die Gebäudedämpfung oder die Dämpfung durch absorbierende Ausbaumaterialien (beispielsweise Stahlschränke, Nasszellen, Versorgungsleitungen, Stahlbetonbauweise) nicht berücksichtigt wurde, kann dessen Leistungsfähigkeit ebenfalls reduziert werden.
  • Gleichkanalstörungen aus einer benachbarten Funkzelle des eigenen WLAN sind eine weitere häufige Ursache für Störungen in einem WLAN. Hierdurch können sich zwei Teilnehmer benachbarter Zellen gegenseitig behindern, da sich deren Funkwellen im Raum überlagern und gegenseitig stören würden.
  • Durch Funklöcher kann die Leistungsfähigkeit stark beeinträchtigt werden. Um Funklöcher zu vermeiden, wird bei unzureichender Planung des WLANs häufig einfach die Sendeleistung erhöht werden. Dadurch strahlt das WLAN eventuell in Bereiche hinein, in denen es nicht benötigt wird und in denen es unter Umständen abgehört werden kann.
  • Eine Auswirkung mangelhafter Planung kann z. B. unzureichende Übertragungskapazität sein, durch die die Nutzung von bandbreitenintensiven Anwendungen eingeschränkt oder sogar verhindert werden kann.

Eine zusätzliche Gefährdung für das LAN entsteht dadurch, wenn nur eine unzureichende Absicherung der Verbindung zwischen den Access Points bzw. dem Distribution System und der kabelgebundenen Infrastruktur besteht. Erfolgt keine physikalische oder logische Absicherung auf der Ebene des Distribution System, so kann nach einer Kompromittierung der Absicherung der Luftschnittstelle bzw. der Sicherheitseinstellungen auf dem Access Point die gesamte Broadcast-Domäne, in der sich der Access Point befindet, abgehört werden. Die daraus gewonnenen Informationen könnten für einen Angriff auf das gesamte LAN genutzt werden.

Beispiel:

Werden für den Sicherheitsgateway am Übergabepunkt zwischen Distribution System und LAN die Filterregeln zu großzügig ausgelegt, kann ein Angreifer durch geschickte Manipulation der Kommunikationsdaten diesen Übergabepunkt durch einen Man-in-the-Middle-Angriff tunneln und somit Zugriff auf die interne LAN-Infrastruktur erlangen. Voraussetzung ist, dass entweder die Sicherheitsmechanismen auf der Luftschnittstelle kompromittiert wurden oder ein direkter Zugang zum Distribution System besteht. Außerdem könnten Schwachstellen auf Betriebssystemebene ebenfalls zur Tunnelung genutzt werden, falls diese die Systeme des Übergabepunktes nicht ausreichend gehärtet wurden.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK