M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement, Administrator
Für den Einsatz von WLAN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Diese WLAN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die WLAN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden.
Eine WLAN-Sicherheitsrichtlinie sollte unter anderem folgende Punkte umfassen:
- Es sollte beschrieben sein, wer in der Institution WLAN-Komponenten installieren, konfigurieren und benutzen darf. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. B.
- welche Informationen über WLAN-Komponenten weitergegeben werden dürfen,
- wo die WLAN-Komponenten benutzt und wo Access Points aufgestellt werden dürfen,
- an welche anderen internen oder externen Netze das WLAN gekoppelt werden darf.
- Für alle WLAN-Komponenten sollten Sicherheitsmaßnahmen und eine Standard-Konfiguration festgelegt werden.
- Bei einem Verdacht auf Sicherheitsprobleme muss ein Sicherheitsverantwortlicher hierüber informiert werden, damit dieser weitere Schritte unternehmen kann (siehe auch B 1.8 Behandlung von Sicherheitsvorfällen).
- Administratoren, aber auch Benutzer von WLAN-Komponenten sollten über die Gefährdungen durch WLAN-Komponenten und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. geschult werden.
- Die korrekte Umsetzung der in der WLAN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden.
Benutzerrichtlinie für WLAN
Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene WLAN-Benutzerrichtlinie zu erstellen. In einer solchen Benutzerrichtlinie sollten dann kurz die Besonderheiten bei der WLAN-Nutzung beschrieben werden, wie z. B.
- an welche anderen internen und externen Netze der WLAN-Client gekoppelt werden darf,
- unter welchen Rahmenbedingungen sie sich an einem internen oder externen WLAN anmelden dürfen,
- ob und wie Hotspots genutzt werden dürfen,
- dass der Ad-hoc-Modus abzuschalten ist, damit kein anderer Client direkt auf den WLAN-Client zugreifen kann,
- welche Schritte bei (vermuteter) Kompromittierung des WLAN-Clients zu unternehmen sind, vor allem, wer zu benachrichtigen ist,
Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass
- keine sicherheitsrelevanten Konfigurationen verändert werden dürfen,
- stets ein Virenscanner aktiviert sein muss,
- eine vorhandene Personal Firewall nicht abgeschaltet werden darf (siehe auch M 5.91 Einsatz von Personal Firewalls für Internet-PCs),
- dass alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind,
- für die Nutzung externer WLANs nur spezielle Benutzerkonten mit restriktiver Rechtevergabe verwendet werden sollten.
Außerdem sollte die Benutzerrichtlinie ein klares Verbot enthalten, ungenehmigt Access Points anzuschließen. Des Weiteren sollte die Richtlinie insbesondere im Hinblick auf die Nutzung von klassifizierten Informationen, beispielsweise Verschlusssachen, Angaben dazu enthalten, welche Daten im WLAN genutzt und übertragen werden dürfen und welche nicht. Benutzer sollten für WLAN-Gefährdungen sowie für Inhalte und Auswirkungen der WLAN-Richtlinie sensibilisiert werden.
Richtlinie für Administratoren eines WLANs
Daneben sollte eine WLAN-spezifische Richtlinie für Administratoren erstellt werden, die auch als Grundlage für die Schulung der Administratoren dienen kann. Darin sollte festgelegt sein, wer für die Administration der unterschiedlichen WLAN-Komponenten zuständig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt, und wann welche Informationen zwischen den Zuständigen fließen müssen. So ist es durchaus üblich, dass für den Betrieb der aktiven Komponenten (Distribution System und Access Points) eine andere Organisationseinheit zuständig ist als für die Betreuung der WLAN-Clients oder für das Identitäts- und Berechtigungsmanagement.
Die WLAN-Richtlinie für Administratoren sollte des Weiteren die wesentlichen Kernaspekte zum Betrieb einer WLAN-Infrastruktur umfassen, wie z. B.
- Festlegung einer sicheren WLAN-Konfiguration und Definition von sicheren Standard-Konfigurationen
- Nutzung eines WLAN-Management-Systems
- Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement
- Regelmäßige Auswertung von Protokolldateien, zumindest von Access Points
- Durchführung von WLAN-Messungen: Die Konfiguration und die Netzabdeckung von Access Points und Clients sollte regelmäßig mittels WLAN-Analysator und Netz-Sniffer kontrolliert werden. Hierbei sollte insbesondere auch nach nicht genehmigten WLAN-Clients und Access Points innerhalb der Organisationsgrenzen gesucht werden.
- Inbetriebnahme von Ersatzsystemen
- Maßnahmen bei Kompromittierung des WLANs
Auch wenn innerhalb einer Institution keine WLANs offiziell installiert sind, sollte trotzdem regelmäßig vom IT-Sicherheitsmanagement veranlasst werden, dass nach ungenehmigt installierten WLAN-Komponenten gescannt wird.
Alle WLAN-Anwender, egal ob Benutzer oder Administratoren, sollten mit ihrer Unterschrift bestätigen, dass sie den Inhalt der WLAN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Ohne diese schriftliche Bestätigung sollte niemand das WLANs nutzen dürfen. Die unterschriebenen Erklärungen sind an einem geeigneten Ort, beispielsweise in der Personalakte, aufzubewahren.
Ergänzende Kontrollfragen:
- Existiert eine aktuelle Sicherheitsrichtlinie für die WLAN-Nutzung?
- Wie wird die Einhaltung der Sicherheitsrichtlinie für die WLAN-Nutzung überprüft?
- Besitzt jeder WLAN-Benutzer ein Exemplar der WLAN-Richtlinie oder ein Merkblatt mit einem Überblick der wichtigsten Sicherheitsmechanismen?
- Ist die Sicherheitsrichtlinie für die WLAN-Nutzung Inhalt der Schulungen zu IT-Sicherheitsmaßnahmen?