Bundesamt für Sicherheit in der Informationstechnik

G 2.118 Unzureichende Regelungen zum WLAN-Einsatz

Bei einem Access Point sind in der Regel in der Standard-Einstellung keine Sicherheitsmechanismen aktiviert. Werden WLAN -Komponenten wegen fehlender Vorgaben ungesichert in den Produktivbetrieb übernommen, stellt dies eine massive Gefährdung für das WLAN und daran angeschlossene IT -Systeme dar. Das ist vergleichbar mit der Gefährdung durch einen ungesicherten Internet-Anschluss. Sofern also ein Mitarbeiter, aufgrund fehlender Regelungen zum WLAN-Einsatz, einen ungenehmigten bzw. ungesicherten Access Point an ein internes Netz einer Institution anschließt, untergräbt er praktisch sämtliche im LAN ergriffenen Sicherheitsmaßnahmen, wie z. B. die Firewall zum Schutz gegen unberechtigte externe Zugriffe aus dem Internet.

Unklare Zuständigkeiten

Falls Zuständigkeiten nicht klar geregelt sind, kann es z. B. aufgrund fehlender Regelungen zur Administration der WLAN-Infrastruktur zu Fehlkonfigurationen der WLAN-Komponenten kommen. Bei fehlenden Vorgaben zum Konfigurationsmanagement kann es durch nur einen nicht gemäß vorgegebenem Standard-Profil konfigurierten Access Point oder WLAN-Client zu einer Kompromittierung des gesamten Netzes der Institution kommen.

Bei unzureichender Abstimmung der unterschiedlichen Zuständigkeiten innerhalb einer Institution sowie mit externen Dienstleistern kann es in der Praxis immer wieder zu Problemen kommen. Bezogen auf das WLAN ergeben sich Gefährdungen insbesondere dann, wenn für die Betreuung der physikalischen (passiven) Infrastruktur, der aktiven Netztechnik und der Sicherheitssysteme unterschiedliche Gruppen zuständig sind, die organisatorisch weit voneinander entfernt liegen und erst von einer entsprechend hohen Führungsebene koordiniert werden.

Probleme können sich auch ergeben, wenn keine einheitliche Regeln zur Dokumentation von Systemänderungen, wie beispielsweise Austausch von WLAN-Komponenten, Änderungen an Konfigurationen, Austausch der WLAN-Schlüsselinformationen, definiert sind.

Keine Regelungen für die Überwachung

Wurden auch zur Überwachung der WLAN-Infrastruktur keine Festlegungen getroffen und die entsprechenden finanziellen und personellen Ressourcen nicht bereitgestellt, werden Angriffe auf das WLAN eventuell nicht rechtzeitig erkannt. Hierzu zählen beispielsweise:

  • Ohne regelmäßige Kontrollen wird unter Umständen übersehen, dass fremde Access Points (inklusive privater Access Points) an das Distribution System bzw. unmittelbar an das LAN angeschlossen wurden.
  • Wenn die WLAN-Protokolle nicht regelmäßig ausgewertet werden, werden Sicherheitsvorfälle nicht rechtzeitig erkannt. So kann eine plötzliche Häufung fehlgeschlagener Anmeldevorgänge am Access Point auf Angriffsversuche hindeuten.

Werden dringend erforderliche Updates der Virenschutzsoftware oder sicherheitsrelevanter Patches nicht zeitgerecht eingespielt, kann es zur Kompromittierung einer WLAN-Komponente kommen. Besonders gefährdet sind hier WLAN-Komponenten mit direktem Zugriff auf das Internet oder bei der Verwendung in öffentlichen WLANs. Je nach Art der Schadsoftware kann diese beim nächsten Verbinden mit dem Heimat-WLAN zur Kompromittierung der gesamten WLAN-Infrastruktur und darüber hinaus führen.

Fehlende Regelungen zur Reaktion auf Sicherheitsvorfälle im WLAN

Sofern es für den Betrieb eines WLANs keine Überlegungen gibt, wie im Notfall auf Vorfälle reagiert werden soll, kann dies dazu führen, dass es lange dauert, bis Sicherheitsprobleme erkannt und bereinigt werden. In der Zwischenzeit könnte es beispielsweise zu Datenabfluss oder zu Wurmattacken kommen. Sogar wenn Attacken bemerkt werden, werden eventuell aber Gegenmaßnahmen nicht zeitnah (innerhalb von Minuten) eingeleitet, wenn nicht auf entsprechend vorbereitete Maßnahmenkataloge, geregelte Abläufe und Befugnisse zu notwendigen Eingriffen zurückgegriffen werden kann.

Beispiel:

  • Ein Unternehmen hatte Zugangsinformationen zu einem internen WLAN im Internet veröffentlicht, um mobilen Mitarbeitern den Zugriff von unterwegs zu vereinfachen. Jeder, der diese Informationen kennt, kann sich somit gegenüber dem WLAN authentisieren und erlangt Zugang zu eventuell schutzbedürftigen Daten. Obwohl das WLAN selber nur Informationen mit geringem Schutzbedarf enthielt, konnte über die Anbindung an ein LAN auf Produktivsysteme zugegriffen werden. Die dadurch erlangten Daten, beispielsweise geheime Konstruktionszeichnungen von einem Prototypen, wurden teilweise im Internet veröffentlicht. Andere wurden an einen Mitbewerber weitergegeben. Dieser hätte somit feststellen können, welche Neuentwicklungen geplant sind und schneller durch Eigenentwicklungen darauf reagieren können. Glücklicherweise hat er aber hierüber die Polizei informiert.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK