Bundesamt für Sicherheit in der Informationstechnik

M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Für den Einsatz von WLAN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Diese WLAN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die WLAN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden.

Eine WLAN-Sicherheitsrichtlinie sollte unter anderem folgende Punkte umfassen:

  • Es sollte beschrieben sein, wer in der Institution WLAN-Komponenten installieren, konfigurieren und benutzen darf. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. B.
    • welche Informationen über WLAN-Komponenten weitergegeben werden dürfen,
    • wo die WLAN-Komponenten benutzt und wo Access Points aufgestellt werden dürfen,
    • an welche anderen internen oder externen Netze das WLAN gekoppelt werden darf.
  • Für alle WLAN-Komponenten sollten Sicherheitsmaßnahmen und eine Standard-Konfiguration festgelegt werden.
  • Administratoren, aber auch Benutzer von WLAN-Komponenten sollten über die Gefährdungen durch WLAN-Komponenten und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. geschult werden.
  • Die korrekte Umsetzung der in der WLAN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden.

Benutzerrichtlinie für WLAN

Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene WLAN-Benutzerrichtlinie zu erstellen. In einer solchen Benutzerrichtlinie sollten dann kurz die Besonderheiten bei der WLAN-Nutzung beschrieben werden, wie z. B.

  • an welche anderen internen und externen Netze der WLAN-Client gekoppelt werden darf,
  • unter welchen Rahmenbedingungen sie sich an einem internen oder externen WLAN anmelden dürfen,
  • ob und wie Hotspots genutzt werden dürfen,
  • dass der Ad-hoc-Modus abzuschalten ist, damit kein anderer Client direkt auf den WLAN-Client zugreifen kann,
  • welche Schritte bei (vermuteter) Kompromittierung des WLAN-Clients zu unternehmen sind, vor allem, wer zu benachrichtigen ist.

Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass

  • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen,
  • stets ein Virenscanner aktiviert sein muss,
  • eine vorhandene Personal Firewall nicht abgeschaltet werden darf (siehe auch M 5.91 Einsatz von Personal Firewalls für Clients ),
  • dass alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind,
  • für die Nutzung externer WLANs nur spezielle Benutzerkonten mit restriktiver Rechtevergabe verwendet werden sollten.

Außerdem sollte die Benutzerrichtlinie ein klares Verbot enthalten, ungenehmigt Access Points anzuschließen. Des Weiteren sollte die Richtlinie insbesondere im Hinblick auf die Nutzung von klassifizierten Informationen, beispielsweise Verschlusssachen, Angaben dazu enthalten, welche Daten im WLAN genutzt und übertragen werden dürfen und welche nicht. Benutzer sollten für WLAN-Gefährdungen sowie für Inhalte und Auswirkungen der WLAN-Richtlinie sensibilisiert werden.

Richtlinie für Administratoren eines WLANs

Daneben sollte eine WLAN-spezifische Richtlinie für Administratoren erstellt werden, die auch als Grundlage für die Schulung der Administratoren dienen kann. Darin sollte festgelegt sein, wer für die Administration der unterschiedlichen WLAN-Komponenten zuständig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt, und wann welche Informationen zwischen den Zuständigen fließen müssen. So ist es durchaus üblich, dass für den Betrieb der aktiven Komponenten (Distribution System und Access Points) eine andere Organisationseinheit zuständig ist als für die Betreuung der WLAN-Clients oder für das Identitäts- und Berechtigungsmanagement.

Die WLAN-Richtlinie für Administratoren sollte des Weiteren die wesentlichen Kernaspekte zum Betrieb einer WLAN-Infrastruktur umfassen, wie z. B.

  • Festlegung einer sicheren WLAN-Konfiguration und Definition von sicheren Standard-Konfigurationen
  • Nutzung eines WLAN-Management-Systems
  • Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement
  • Regelmäßige Auswertung von Protokolldateien, zumindest von Access Points
  • Durchführung von WLAN-Messungen: Die Konfiguration und die Netzabdeckung von Access Points und Clients sollte regelmäßig mittels WLAN-Analysator und Netz-Sniffer kontrolliert werden. Hierbei sollte insbesondere auch nach nicht genehmigten WLAN-Clients und Access Points innerhalb der Organisationsgrenzen gesucht werden.
  • Inbetriebnahme von Ersatzsystemen
  • Maßnahmen bei Kompromittierung des WLANs

Auch wenn innerhalb einer Institution keine WLANs offiziell installiert sind, sollte trotzdem regelmäßig vom Sicherheitsmanagement veranlasst werden, dass nach ungenehmigt installierten WLAN-Komponenten gescannt wird.

Alle WLAN-Anwender, egal ob Benutzer oder Administratoren, sollten mit ihrer Unterschrift bestätigen, dass sie den Inhalt der WLAN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Ohne diese schriftliche Bestätigung sollte niemand das WLANs nutzen dürfen. Die unterschriebenen Erklärungen sind an einem geeigneten Ort, beispielsweise in der Personalakte, aufzubewahren.

Prüffragen:

  • Ist festgelegt, an welchen internen oder externen Netzen das WLAN gekoppelt werden darf?

  • Ist ein Prozess mit Handlungsanweisungen bei Sicherheitsproblemen im WLAN -Bereich definiert?

  • Sind Administratoren und Benutzer über die Sicherheitsrisiken und die zu beachtenden Sicherheitsmaßnahmen im Bereich WLAN informiert?

  • Ist festgelegt, wer für die Administration der WLAN -Komponenten zuständig ist?

  • Erfolgt eine regelmäßige Auswertung der Protokolldateien?

  • Erfolgt eine regelmäßige Prüfung auf unautorisierte WLAN -Komponenten?

  • Wird die Kenntnisnahme von Anweisungen und Belehrungen durch die WLAN -Benutzer schriftlich bestätigt?

  • Existiert eine Benutzerrichtlinie zur Zugriffsregelung auf Hotspots?

  • Liegt eine Sicherheitsrichtlinie für den Einsatz von WLAN vor?

Stand: 13. EL Stand 2013