Bundesamt für Sicherheit in der Informationstechnik

M 2.381 Festlegung einer Strategie für die WLAN-Nutzung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Bevor in einer Organisation WLANs eingesetzt werden, muss festgelegt sein, welche generelle Strategie die Organisation im Hinblick auf die WLAN-Nutzung einnimmt. Insbesondere ist hierfür zu klären, in welchen Organisationseinheiten, für welche Anwendungen und zu welchem Zweck WLANs eingesetzt und welche Informationen hierüber kommuniziert werden dürfen. Dabei sollte auch festgelegt werden, in welchen räumlichen Bereichen WLANs aufgebaut werden sollen (sinnvoll kann dies also beispielsweise in Umgebungen sein, in denen sich die Benutzer häufig innerhalb bestimmter Bereiche bewegen) und in welchen Bereichen auf keinen Fall WLANs vorhanden sein dürfen (bis hin zur aktiven Abschirmung).

WLAN-Komponenten können beispielsweise eingesetzt werden, um

  • eine Institution, eine einzelne Abteilung oder einen Produktionsbereich flächendeckend mit einem Funknetz zu versorgen,
  • den Einsatz von mobilen Komponenten in einzelnen Räumen zu ermöglichen, also z. B. in Besprechungsräumen,
  • ein WLAN für die Nutzung durch fremde Teilnehmer kommerziell anzubieten (Hotspots).

Funknetze können mit oder ohne Kopplung an andere Netze aufgebaut werden, was ebenfalls die Gefährdungslage deutlich beeinflusst und damit auch die zu ergreifenden Sicherheitsmaßnahmen. Je nach geplantem Einsatzzweck und Einsatzumgebung können die erforderlichen Sicherheitsmaßnahmen erheblich differieren. Dies muss in jedem Fall bei der Formulierung der Sicherheitsrichtlinien und Regelungen für die WLAN-Nutzung berücksichtigt werden. Die Entscheidung sollte zusammen mit den Entscheidungsgründen dokumentiert werden.

Beim Aufbau eines drahtlosen Netzes ist ein erheblicher Planungsaufwand notwendig, um die für einen professionellen Einsatz erforderliche Stabilität, Übertragungsqualität und Sicherheit zu erreichen (siehe auch M 2.383 Auswahl eines geeigneten WLAN-Standards und M 5.140 Aufbau eines Distribution Systems ).

Die IT-Verantwortlichen sowie das Sicherheitsmanagement einer Institution sollten sich darüber im klaren sein, dass bei drahtlosen Kommunikationssystemen, insbesondere bei WLANs, viele technische Aspekte schnell weiterentwickelt und modifiziert werden. Dies bedeutet für die IT-Verantwortlichen und das Sicherheitsmanagement zum einen, dass für einen sicheren Betrieb von WLANs generell ein höherer Aufwand notwendig ist und zum anderen, dass die Sicherheitsmaßnahmen in kürzeren Abständen als bei anderen Systemen auf ihre Wirksamkeit getestet und an Veränderungen angepasst werden müssen.

Um drahtlose Netze und die damit verbundenen IT-Systeme sicher betreiben zu können, sind die folgenden Punkte wesentlich:

  • Die Arbeitsweise und Technik der eingesetzten drahtlosen Kommunikationssysteme müssen von den für den Betrieb Verantwortlichen vollständig verstanden werden.
  • Die Sicherheit der eingesetzten Technik sollte regelmäßig evaluiert werden. Ebenso sollten regelmäßig die Sicherheitseinstellungen der benutzten IT-Systeme (z. B. Access Points, Laptops, PDAs) untersucht werden.
  • Die WLAN-Nutzung muss in der Sicherheitsrichtlinie der Institution verankert sein, jede Änderung der WLAN-Nutzung muss mit dem Sicherheitsmanagement abgestimmt werden.
  • Um die übertragenen Daten auch zuverlässig zu sichern, müssen Vorgaben ausgearbeitet werden, die sich unter anderem mit der Auswahl adäquater Verschlüsselungs- und Authentikationsverfahren, deren Konfiguration und Schlüsselmanagement beschäftigen.
  • Es ist zu definieren, welche WLAN-Standards, z. B. IEEE 802.11g, von den WLAN-Komponenten mindestens unterstützt werden sollten, um ein sicheres Zusammenspiel der einzelnen Komponenten zu gewährleisten und die erforderlichen Sicherheitsmechanismen flächendeckend nutzen zu können.

Nutzung von WLAN-Komponenten

Viele von Endbenutzern verwendete IT-Systeme wie Laptops oder PDAs enthalten WLAN-Funktionalitäten, die bei der Auslieferung meistens nicht deaktiviert sind. Es sollte sichergestellt sein, dass hierüber keine "wilde" WLAN-Nutzung erfolgt, sondern es muss klar geregelt sein, ob diese WLAN-Funktionalitäten genutzt werden dürfen, und wenn ja, unter welchen Rahmenbedingungen.

Prüffragen:

  • Ist festgelegt, für welche Organisationseinheiten, für welche räumlichen Bereich und für welche Anwendungen die WLAN -Nutzung zugelassen ist?

  • Ist in der Sicherheitsrichtlinie der Organisation der Einsatz von WLAN geregelt?

  • Werden die Sicherheitsanforderungen an die eingesetzten WLAN s regelmäßig durch Sicherheitsuntersuchungen überprüft?

  • Werden Änderungen in der WLAN -Infrastruktur und/oder den Nutzungsbedingungen mit dem IT -Sicherheitsmanagement abgestimmt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK