Bundesamt für Sicherheit in der Informationstechnik

M 2.387 Installation, Konfiguration und Betreuung eines WLANs durch Dritte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Wenn ein WLAN durch einen externen Auftragnehmer installiert, konfiguriert oder betreut werden soll, so sind bei einem WLAN, neben den Empfehlungen in Baustein B 1.11 Outsourcing , die im Folgenden beschriebenen Punkte zu beachten:

  • Es ist stets zu prüfen, ob eine WLAN-Installation nicht selbst durchgeführt werden kann oder ob dies auch durch die eigenen Mitarbeiter geleistet werden kann. Eine Machbarkeits- und eine Kostenprüfung sollte hierfür durchgeführt werden.
  • Die Sicherheitsstrategie und auch die Sicherheitsrichtlinie sollte stets selbst erstellt werden und nicht durch Dritte. Dadurch wird verhindert, dass sich in der Institution niemand mehr ausführlich mit den Sicherheitsaspekten von WLANs auseinandersetzt und somit eventuell notwendige Sicherheitsmaßnahmen vergessen werden. Beratungen und Hilfestellungen durch Dritte in Anspruch zu nehmen ist aber dann sinnvoll, wenn keine internen Ressourcen dafür vorhanden sind.
  • Bei der Vergabe einer WLAN-Installation ist ein detailliertes Pflichtenheft zu erstellen. Darin sind alle Mindestanforderungen an die WLAN-Komponenten und alle mit dem WLAN verbundenen Netzteile usw. genau zu definieren. Das Pflichtenheft sollte vertragliche Grundlage bei der Vergabe an einen externen Auftragnehmer sein und später als Prüfgrundlage bei der Abnahme dienen.
  • Dem Auftragnehmer ist die Sicherheitsstrategie und die Sicherheitsrichtlinie für den Einsatz eines WLANs vorzulegen. Er muss vertraglich dazu verpflichtet werden, diese einzuhalten und umzusetzen. Dies ist bei der Umsetzung der vertraglich vereinbarten Leistungen regelmäßig zu überprüfen, um frühzeitig eventuelle Probleme zu erkennen. Die Sicherheitsstrategie und die Sicherheitsrichtlinie sollten fester Bestandteil des Pflichtenheftes sein.
  • Der Auftragnehmer sollte weitreichende und am besten langjährige Erfahrungen im Aufbau und in der Absicherung eines WLANs haben. Entsprechende Referenzen sind vorzulegen und zumindest stichprobenweise zu prüfen.
  • Der Auftragnehmer muss vertraglich dazu verpflichtet werden, die Konfiguration des WLANs und der WLAN-Komponenten, sowie Passwörter, Verbindungsschlüssel und Zugangskennungen und -mechanismen nicht an unbefugte Personen weiterzugeben. Ebenso sollte der Auftragnehmer dazu verpflichtet werden, die durch die Arbeit am übrigen Netz eventuell bekannt gewordenen Informationen und Daten nicht zwischenzuspeichern oder an unbefugte Personen weiterzugeben.
  • Vor der Installation eines WLANs durch den Auftragnehmer sind entsprechende Teststellungen durchzuführen. Dabei sollten alle geplanten Sicherheitseinstellungen ausführlich getestet werden. In dieser Phase ist ein eventuell an das WLAN angeschlossene LAN besonders gefährdet und es sollte eine entsprechende Absicherung erfolgen.
  • Während der Installation eines WLANs durch den Auftragnehmer sollte darauf geachtet werden, dass keine Hintertüren in das WLAN durch den Auftragnehmer eingebaut werden. Alle Einstellungen und Konfigurationen sind durch den Auftragnehmer genau zu dokumentieren und mit Abschluss der Installation an den Auftraggeber vollständig zu übergeben.
  • Nach Abschluss der Installation sollte anhand des Leistungsverzeichnisses eine Abnahme durchgeführt werden. Darüber hinaus können die im Pflichtenheft nach der Vergabe erstellten Ausführungsunterlagen als Prüfungsgrundlage dienen, da hierin beispielsweise Verfahren für Abnahmemessungen spezifiziert sein können.
  • Die Abnahme der WLAN-Installation sollte mit Hilfe eines unabhängigen Experten erfolgen, um auch die technischen Details genau überprüfen zu lassen.
  • Sofern auch ein Wireless IDS beschafft wurde, müssen entsprechende Testszenarien, die im Vorfeld der Ausschreibung festgelegt wurden, durchgeführt werden. Hier bietet es sich an, das WLAN zunächst in einem Probebetrieb zu fahren. Dabei sollte auch verifiziert werden, ob der gesamte Überwachungsbereich auch über die WLAN-Sensoren erfasst wird. Des Weiteren sollten verschiedene Störfälle simuliert werden.
  • Als wesentlicher Schwerpunkt sollte bei der Abnahme zudem die Dokumentation auf Vollständigkeit und eventuelle Inkonsistenzen geprüft werden.
  • Sollte das WLAN auch nach der Installation durch einen externen Auftragnehmer betreut werden, so muss der Auftragnehmer auch hier vertraglich verpflichtet werden, alle hierbei bekannt gewordenen Informationen, wie Passwörter, sensible Daten, Konfigurationseinstellungen usw., nicht an unbefugte Personen weiterzugeben. Ebenso sollte ein Notfallvorsorgeplan mit dem Auftragnehmer erstellt werden. Hierbei sollte für jedes möglicherweise im WLAN auftretende Problem der Schweregrad, die Reaktionszeit, die jeweiligen Arbeitsschritte und wer im Notfall informiert werden muss genau definiert werden.

Prüffragen:

  • Ist dem Auftragnehmer die Sicherheitsstrategie und die Sicherheitsrichtlinie für den WLAN-Einsatz vorgelegt worden?

  • Wurde mit dem Auftragnehmer ein Notfallvorsorgeplan für Probleme im WLAN erstellt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK