Bundesamt für Sicherheit in der Informationstechnik

M 4.296 Einsatz einer geeigneten WLAN-Management-Lösung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Damit bei allen WLAN-Komponenten eine aus Sicherheitssicht optimale Konfiguration gewährleistet ist, sollten diese sorgfältig administriert werden. Da die Administration bei großen WLANs aufwendig und komplex sein kann, ist der Einsatz von WLAN-Systemmanagement-Tools sinnvoll. Diese sollten möglichst auch in vorhandene IT- und Netzmanagement-Tools integriert werden können.

Generell ist die Realisierung einer Management-Lösung zu empfehlen, die neben einer Überwachung des WLAN auch eine Online-Dokumentation ermöglichen kann. Je nach Leistungsumfang sollte es folgende Möglichkeiten bieten:

  • Dokumentation der Firmware-Stände der Access Points
  • Dokumentation der Firmware-Stände und Treiber der WLAN-Adapter der WLAN-Clients
  • Dokumentation der Sicherheitskonfigurationen
  • Dokumentation von ortsspezifischen Konfigurationen
  • Historienverwaltung von Konfigurationsänderungen

Damit die Administratoren einen Überblick über alle stationären und mobilen Systeme und Anwendungen erhalten, und dies möglichst einfach, sollte eine Systemmanagement-Lösung mobile Endgeräte und deren Anwendungen automatisch inventarisieren können. Jedes Endgerät sollte von der Management-Software in die Konfigurations- und Kontrollprozesse einbezogen werden, sobald es am Netz angemeldet wird. Die Nutzung dieser Funktionen richtet sich nach den Festlegungen im Betriebshandbuch.

Das Management-System sollte darüber hinaus über eine Alarm- und Fehlerbehandlung verfügen. Hierbei sollten folgende Aufgaben durch die Administratoren durchgeführt werden können:

  • Auswertung und Bewertung von Alarmen, z. B. eine Häufung von fehlgeschlagenen Authentisierungsversuchen an einem Access Point
  • Auswertung von Statistiken zur Fehlersuche
  • Auslösung von Maßnahmen bei einem vermuteten Sicherheitsvorfall
  • Anpassung von Schwellwerten zur Alarmauslösung an eine geänderte WLAN-Nutzung

Es sollte ein geeignetes Netzmanagement-Protokoll ausgewählt werden, beispielsweise SNMPv3 (siehe auch M 2.144 Verwendung von SNMP als Netzmanagement-Protokoll ).

Die aufgezeichneten Protokolldaten sollten regelmäßig, spätestens einmal monatlich, ausgewertet werden. Der Umfang der Protokollierung ist mit der Personalvertretung und dem Datenschutzbeauftragten abzustimmen. Die WLAN-Management-Software bzw. die allgemeine Netz-Management-Lösung sollte Filtermöglichkeiten bieten, um die Protokolldaten besser auswerten zu können.

Prüffragen:

  • Werden in der WLAN -Management-Lösung die Firmware-Stände der eingesetzten WLAN -Komponenten (Access Points, WLAN -Clients, etc. ) nachgehalten?

  • Werden in der WLAN -Management-Lösung neben den vorgenommenen Konfigurationen auch deren Änderungen dokumentiert?

  • Existiert eine Regelung zur Einbeziehung von bestehenden und neuen WLAN-Endgeräten zur Durchsetzung von Konfigurations- und Kontrollprozessen?

  • Stehen durch das Management-System Alarmierungsmöglichkeiten und Fehlerbehandlungen zur Verfügung?

  • Erfolgt eine regelmäßige Auswertung der durchgeführten Protokolldaten?

  • Wird der Umfang der Protokollierung mit der Personalvertretung und dem Datenschutzbeauftragten abgestimmt?

Stand: 13. EL Stand 2013