Bundesamt für Sicherheit in der Informationstechnik

M 6.102 Verhaltensregeln bei WLAN-Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Falls sich das WLAN in nicht vorgesehener Weise verhält (z. B. WLAN ist längere Zeit nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein), kann dies durch einen Sicherheitsvorfall verursacht worden sein. Dieser kann durch einen Angreifer, Fehlkonfigurationen oder Systemfehler herbeigeführt worden sein.

Dann sollten die Benutzer folgende Punkte beachten:

  • Sie sollten ihre Arbeitsergebnisse sichern, den WLAN-Zugriff beenden und die WLAN-Schnittstelle ihres Clients deaktivieren.
  • Sollten Fehlermeldungen erscheinen oder sich der Client nicht normal verhalten haben, so sollten diese durch die Benutzer genau dokumentiert werden. Ebenso sollte dokumentiert werden, was der Benutzer getan hat bevor bzw. während der Sicherheitsvorfall eingetreten ist. Dadurch kann der Grund für den Vorfall durch die Administratoren eventuell schneller eingegrenzt und schneller Gegenmaßnahmen eingeleitet werden.
  • Die Administratoren müssen über eine geeignete Eskalationsstufe (z. B. User Help Desk) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, dass der Administrator durch den Benachrichtigungsprozess in seiner Arbeit nicht wesentlich behindert wird.

Die Administratoren sollten bei einem Sicherheitsvorfall passende Gegenmaßnahmen einleiten. Mögliche Aktionen sind z. B.:

  • Abschaltung von Access Points
  • Sperren der Kommunikation am Übergabepunkt zwischen Distribution System und LAN / Internet
  • Herunterfahren von Servern (Web-Server oder Steuerungsserver im Produktionsumfeld oder ähnliches)
  • Deaktivierung der WLAN-Schnittstelle des WLAN-Clients
  • Überprüfung der Konfigurationen der Access Points
  • Sicherung aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sicherung aller relevanten Protokolldateien
  • gegebenenfalls Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten )
  • Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Falls Access Points gestohlen worden sind, müssen gezielte Sicherheitsmaßnahmen ergriffen werden, wie z. B.:

  • Änderung aller eingesetzten kryptographischen Schlüssel, also z. B. der PSKs im Falle der Verwendung von WPA-PSK bzw. WPA2-PSK
  • Konfigurationsänderung auf RADIUS-Servern zum Ausschluss des entwendeten Access Point (IP, Name, RADIUS-Client, Shared Secret, IPSec)

Die möglichen Konsequenzen sicherheitskritischer Ereignisse müssen untersucht werden. Letztlich sind alle erforderlichen Maßnahmen zu ergreifen, um eine missbräuchliche Verwendung von entwendeten Geräten zum Zugriff auf das Netz der Institution auszuschließen. Falls ein WLAN-Client entwendet worden ist, müssen bei der Verwendung einer zertifikatsbasierten Authentisierung auch die Client-Zertifikate gesperrt werden.

Prüffragen:

  • Sind entsprechende Eskalationsstufen bei Sicherheitsvorfällen definiert?

  • Sind die verantwortlichen Mitarbeiter für die Behandlung von WLAN -Sicherheitsvorfällen bestimmt?

  • Sind Verhaltensregeln und Maßnahmen bei Sicherheitsvorfällen im WLAN -Bereich definiert?

Stand: 13. EL Stand 2013