Bundesamt für Sicherheit in der Informationstechnik

M 4.295 Sichere Konfiguration der WLAN-Clients

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Damit WLANs sicher betrieben werden können, müssen auch alle damit gekoppelten Clients sicher konfiguriert sein. Geeignete Sicherheitsempfehlungen für Clients sind in den Bausteinen der Schicht 3 IT-Systeme beschrieben. Zusätzlich sollten folgende WLAN-spezifischen Sicherheitsmaßnahmen ergriffen werden:

  • Voreingestellte SSIDs, kryptographische Schlüssel und Passwörter müssen direkt nach Inbetriebnahme geändert werden. Passwörter sollten so gewählt werden, dass sie nur schwer zu erraten sind.
  • Der Ad-hoc-Modus sollte abgeschaltet werden, damit Clients nur über einen Access Point miteinander kommunizieren können, nicht direkt untereinander.
  • Schutzbedürftige Daten auf mobilen Endgeräten sollten verschlüsselt werden. Hierfür gibt es eine Vielzahl hardware- oder softwarebasierender Produkte, die es erlauben, einzelne Dateien, bestimmte Bereiche oder die ganze Festplatte zu verschlüsseln, so dass nur diejenigen, die über eine Zugriffsberechtigung verfügen, die Daten entschlüsseln können.
  • Die WLAN-Schnittstellen von Clients sollten generell deaktiviert sein, solange diese nicht tatsächlich genutzt werden. Vor allem sollte dies immer dann erfolgen, wenn die Clients in einem kabelgebundenen LAN angemeldet sind. Der Zugriff von einem Client auf das hausinterne LAN über die üblichen internen Anbindungen sollte also nur dann möglich sein, wenn keine WLAN-Aktivitäten erfolgen. Ansonsten bietet dies Angreifern die Möglichkeit, über die WLAN-Schnittstelle auf eventuell ins Hausnetz bestehende (und authentisierte) Verbindungen zuzugreifen.
  • Beim Aufbau von VPN-Verbindungen sollte diverse Sicherheitsvoraussetzungen auf Client-Seite erfüllt sein. So sollte es nicht möglich sein, neben einer VPN-Verbindung andere Kommunikationsschnittstellen parallel zu nutzen, damit nicht über unsichere Kanäle die als sicher betrachtete VPN-Anbindungen ausgehöhlt wird. Außerdem ist es empfehlenswert, gewisse Mindest-Sicherheitsmaßnahmen bei den Clients nicht nur vorauszusetzen, sondern sie besser auch noch zu überprüfen, bevor ein Zugriff über VPN gestattet wird. Dafür empfehlen sich Tools, die die Einhaltung der Sicherheitsrichtlinien auf den Clients überprüfen, bevor der Server weitere Kommunikation erlaubt.
  • Es muss regelmäßig überprüft werden, ob alle sicherheitsrelevanten Updates und Patches eingespielt worden sind. Das Einspielen eines größeren Software-Updates auf WLAN-Clients über das WLAN kann problematisch sein, da die Bandbreite im WLAN im Vergleich zum kabelbasierten LAN deutlich geringer ist. Die Installation eines Updates dauert damit nicht nur erheblich länger, sondern auch andere Nutzer des WLANs können spürbar behindert werden, da WLAN ein Shared Medium ist. Wenn möglich, sollte daher ein Client für die Installation eines größeren Software-Update an ein kabelbasiertes LAN angeschlossen werden. Ergänzend kann die Übertragung von Software Updates auf der Luftschnittstelle niedriger priorisiert werden, sofern die hierdurch verlängerte Installationszeit praktikabel ist. Auf diese Weise werden andere WLAN-Anwendung nicht mehr signifikant durch das Software-Update gestört.

Es sollte regelmäßig kontrolliert werden, dass sicherheitsrelevante Einstellungen nicht geändert worden sind.

Es muss klar geregelt werden, ob und unter welchen Rahmenbedingungen WLAN-Clients an fremden Netzen angemeldet werden dürfen (siehe M 4.251 Arbeiten mit fremden IT-Systemen ), vor allem wenn diese Zugriff auf die Produktivumgebung haben oder auf diesen vertrauliche Informationen gespeichert sind.

WLAN-Clients sollten grundsätzlich nicht in unsicheren Umgebungen, wie z. B. öffentliche Hotspots oder nur durch WEP gesicherte WLANs, betrieben werden. WLAN-Clients, die Daten hohen Schutzbedarfs verarbeiten, dürfen nur in WLANs eingesetzt werden, die vollständig unter eigener Kontrolle betrieben werden und entsprechend sicher konfiguriert wurden. Die Nutzung in anderen WLANs ist zu untersagen.

Alle Benutzer von WLAN-Komponenten sollten über potentielle Risiken und Probleme bei der Nutzung sowie über den Nutzen, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen informiert sein. Alle Benutzer müssen die Sicherheitsrichtlinie zur WLAN-Nutzung kennen (siehe M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung ). Niemand sollte auf ein internes WLAN zugreifen dürfen, der nicht vorher den in der WLAN-Sicherheitsrichtlinie festgehaltenen Nutzungsbedingungen schriftlich zugestimmt hat.

Prüffragen:

  • Ist der Ad-hoc-Modus an den WLAN -Clients generell abgeschaltet?

  • Werden schutzbedürftige Daten auf mobilen Endgeräten verschlüsselt?

  • Werden die WLAN -Schnittstellen nur dann aktiviert, wenn sie tatsächlich benötigt werden?

  • Ist sichergestellt, dass bei bestehender VPN -Verbindung keine anderen Kommunikationsschnittstellen parallel genutzt werden können?

  • Werden die WLAN -Clients regelmäßig mit allen sicherheitsrelevanten Updates und Patches versorgt?

  • Erfolgt eine regelmäßige Prüfung, dass alle sicherheitsrelevanten Einstellungen an den WLAN -Clients nicht geändert worden sind?

  • Existiert eine Regelung zur Anbindung von WLAN -Clients an fremde Access Points und Netze?

  • Bei hohem Schutzbedarf an Vertraulichkeit: Existiert eine Regelung zur ausschließlichen Anbindung von WLAN -Clients an Access Points und Netze, die unter der vollen Kontrolle der Organisation stehen?

Stand: 13. EL Stand 2013