Bundesamt für Sicherheit in der Informationstechnik

M 2.390 Außerbetriebnahme von WLAN-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wenn WLAN-Komponenten außer Betrieb genommen werden, müssen alle sensiblen Informationen gelöscht werden. Hierbei müssen insbesondere die Authentikationsinformationen für den Zugang zum WLAN und anderer erreichbarer Ressourcen, die in der Sicherheitsinfrastruktur und anderen Systemen gespeichert sind, entfernt bzw. als ungültig deklariert werden. Dies bedeutet, dass beispielsweise kryptographische Schlüssel sicher gelöscht und Zertifikate für digitale Signaturen gesperrt werden müssen.

Außerbetriebnahme von WLAN-Clients

Als WLAN-Clients findet eine Vielzahl verschiedener Geräte Verwendung. Hierzu zählen unter anderem:

  • Laptops
  • PDAs, Smartphones und ähnliche Geräte mit WLAN-Unterstützung
  • WLAN-fähige Telefone, Drucker und Kameras

Die WLAN-Funktionalität ist typischerweise eine neben diversen anderen Funktionen bei diesen Endgeräten. Bei der Außerbetriebnahme dieser Endgeräte ist daher zu berücksichtigen, ob solche Geräte sicherheitskritische WLAN-Informationen beinhalten, die zu löschen, zu übertragen bzw. zu archivieren sind, z. B.:

  • Informationen über den Benutzer des Endgerätes
  • Zertifikate bzw. zugehörige private Schlüssel (für Benutzer oder Geräte)
  • Kennwörter für WLAN-Zugänge
  • Schlüsselmaterial von Authentikationsverfahren wie z. B. WPA-PSK-Schlüssel
  • PIM-Daten, also Kontaktinformationen, Termine usw.

Hierfür sind je nach Gerät und Speicherung geeignete Verfahren zur Vernichtung, Löschung oder Wiederverwendung zu nutzen. Bei Zertifikaten ist beispielsweise ein Eintrag in die entsprechende CRL vorzunehmen, um das Zertifikat zu widerrufen.

Falls ein WLAN-Client gestohlen wird, sind mindestens alle oben aufgeführten Informationen zu berücksichtigen, und es ist dafür zu sorgen, dass die Informationen nicht länger zum Zugriff auf WLANs der betroffenen Institution genutzt werden können.

Außerbetriebnahme von Access Points

Bei der Außerbetriebnahme von Access Points ist grundsätzlich das Gleiche zu beachten wie bei WLAN-Clients. Mindestens folgende sicherheitsrelevante Informationen sind, sofern zutreffend, zu löschen, zu übertragen bzw. zu archivieren:

  • Pre-Shared Keys (PSK) von WPA bzw. WPA2
  • RADIUS-Schlüssel (RADIUS Shared Secrets)
  • IPSec-Schlüssel (PSKs bzw. private Schlüssel zu Zertifikaten)
  • Benutzerdaten (insbesondere bei integrierten WLAN-Benutzerverwaltungen)
  • Konfigurationsinformationen wie z. B. IP-Adressen und Namen von RADIUS-Servern, Name des Access Points selbst, IP-Adresse, SSID

Hierfür sind je nach Gerät und Speicherung geeignete Verfahren zur Vernichtung, Löschung oder Wiederverwendung zu nutzen. Die entsprechenden Verfahren müssen rechtzeitig ausgewählt und getestet werden.

Oft enthalten Access Points weitere Daten (beispielsweise Konfigurationsdaten), die in einem nichtflüchtigen Speicher abgelegt sind, oder sind von außen beschriftet (beispielsweise mit dem Rechnernamen, SSID, IP-Adresse und weiteren technischen Informationen). Diese Informationen sollten nach Möglichkeit vor der Weitergabe des Gerätes entfernt werden, da ein Angreifer auch aus solchen Informationen eventuell Hinweise für mögliche Angriffe ziehen kann.

Es wird empfohlen, anhand der oben gegebenen Empfehlungen eine Checkliste zu erstellen, die bei der Außerbetriebnahme eines Systems abgearbeitet werden kann, damit kein Schritt vergessen wird.

Prüffragen:

  • Existieren Vorgaben für die Außerbetriebnahme von WLAN -Komponenten?

  • Ist sichergestellt, dass alle sensiblen Daten ( z. B. Zertifikate, Passwörter, Benutzerkonten, Beschriftungen, etc. ) auf den WLAN -Komponenten zuverlässig gelöscht werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK