BSI - Technische Richtlinie

Transkript

1 BSI - Technische Richtlinie Bezeichnung: Sicheres WLAN (TR-S-WLAN) Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Anwendungsbereich: Kürzel: BSI-TR Teil 2 Version: 1.0 Veröffentlichung: 10/2005 Access Point Client Server Angreifer LAN

2 Technische Richtlinie Sicheres WLAN Autoren An der Erstellung dieser Technischen Richtlinie waren beteiligt: ComConsult Beratung und Planung GmbH Dr. Simon Hoff Dr. Joachim Wetzlar BSI Bundesamt für Sicherheit in der Informationstechnik Dr. Wilhelm Pütz Berthold Ternes Danksagung Wir bedanken uns bei allen, die Vorversionen dieses Textes gelesen und uns wertvolle Hinweise und Korrekturen geliefert haben: Dr. Alfred Arnold, Olaf Schilperoort LANCOM Systems GmbH Falk Bachmann, Michael Raschke EDS Operations Services GmbH Reyk Flöter vantronix secure systems GmbH Wilhelm Fries, Roman Meyer, Norbert Vogel, Oliver Walter Benutzergruppe Netzwerke Tobias Glemser Tele-Consulting GmbH Matthias Hofherr GeNUA Gesellschaft fuer Netzwerk- und Unix-Administration mbh Andree Kabisch, Kerst van Raden emnetcon Netzwerk Consulting GmbH Michael Muth DVZ Mecklenburg-Vorpommern Christoph Plur Cisco Systems GmbH Patrick Postel ipisec Ltd. Herbert Saupp Bundeskriminalamt Markus Schaffrin eco Electronic Commerce Forum Verband der deutschen Internetwirtschaft e.v. Eicke Schomann Funk Software Europe, Inc. Dr. Günther Welsch Deutsche Telekom AG Michael Wirth Microsoft Deutschland GmbH Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: +49 (0) lwc@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Vorwort Bereits heute nimmt Wireless LAN als Zugangstechnik zu IT-Systemen einen festen Platz ein. Doch bei aller Freude über fehlende Kabel und steigende Mobilität, wie steht es um die Sicherheit von WLAN? Die Datenübertragung muss über die gesamte Funkstrecke und darüber hinaus ausreichend abgesichert sein: gegen Abhör- und Störbarkeit genauso wie gegen unerlaubte Zugänge. Mit der Vielfalt der Anwendungsmöglichkeiten sind jedoch die Sicherheitsinfrastrukturen enorm komplex geworden. Um WLAN-Nutzer hierbei zu unterstützen, hat das BSI die Technische Richtlinie Sicheres WLAN initiiert. Ziel der Richtlinie ist es, Wireless LAN Systeme und deren Einsatz in IT-Infrastrukturen sicherer zu machen. Die Richtlinie enthält deshalb konkrete Empfehlungen zur Planung, Beschaffung, Installation und Konfiguration von sicheren WLANs egal ob in der Wirtschaft oder der Behörde. Anhand unterschiedlich großer WLANs werden verschiedene Einsatzszenarien beschrieben: WLAN im Büro, am Hotspot oder als drahtlose Kopplung zwischen kabelbasierten lokalen Netzen. Die Empfehlungen richten sich an Planer, Beschaffer, Betreiber und Nutzer von WLAN-Systemen. Zusätzlich werden Sicherheitsfunktionalitäten von WLAN-Produkten definiert und Verfahren zur Prüfung angegeben das nutzt Herstellern und Prüfinstanzen. Ich bin mir sicher: Die Richtlinie hilft dabei WLAN-Sicherheit zu verstehen und umzusetzen. Damit alle Nutzer auch zukünftig von den Vorteilen dieser Technologie profitieren können. Bonn, im September 2005 Dr. Udo Helmbrecht, Präsident des BSI Bundesamt für Sicherheit in der Informationstechnik 3

4 Technische Richtlinie Sicheres WLAN Inhalt Dokumenteninformation Vorbemerkungen IT-Strukturanalyse für den WLAN-Einsatz Methodik Systematik Betrachtete Schutzbedarfskategorien Berücksichtigung des Lebenszyklus Betrachtete Szenarien und Aufbau der Einzelkonzepte Zielstellung und Grundsatz der Konzipierung Gesetzliche Vorschriften und IT-Sicherheit Schutzbedarfsdefinition und -feststellung Vorgaben des IT-Grundschutzhandbuchs Behandlung von Verschlusssachen Bedrohungsanalyse und Gefährdungskatalog Allgemeine Bedrohungsanalyse Schwachstellen und Gefährdungen im WLAN Funknetz und Access Points Höhere Gewalt Organisatorische oder konzeptionelle Mängel Menschliche Fehlhandlungen Technisches Versagen oder systembedingte Schwachstellen Vorsätzliche Handlungen WLAN-Clients Menschliche Fehlhandlungen Technisches Versagen oder systembedingte Schwachstellen Vorsätzliche Handlungen Distribution System Organisatorische oder konzeptionelle Mängel Vorsätzliche Handlungen Sicherheits-Infrastruktur Organisatorische oder konzeptionelle Mängel WLAN-Management Allgemeine Maßnahmenempfehlungen Planung Organisatorische Planungsaufgaben Technische Planungsaufgaben Maßnahmen auf Funkebene Maßnahmen zum Distribution System und für Access Points Maßnahmen für WLAN-Clients Auswahl Installation und Konfiguration Maßnahmen für Access Points Maßnahmen für WLAN-Clients Bundesamt für Sicherheit in der Informationstechnik

5 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Maßnahmen für das Distribution System Maßnahmen für die Sicherheitsinfrastruktur Organisatorische Maßnahmen Administration und Betrieb Organisatorische Betriebsmaßnahmen Technische Betriebsmaßnahmen Maßnahmen für Access Points Maßnahmen für WLAN-Clients Maßnahmen zum WLAN-Management Sicherheitsrevision Migration Außerbetriebnahme Erweiterung des kabelgebundenen LAN Konzeptvorgaben für eine homogene Client- Umgebung Vorgehensweise Behandlung organisatorischer Aspekte: Nutzung des Musterkonzepts Betrachtete (Beispiel-)Szenarien Anmerkungen zur Schutzbedarfsfeststellung Konzeptvorgaben für eine kleine WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Lösungsvariante 1 für Szenario 1: VPN Lösungsvariante 2 für Szenario 1: Nutzung von WPA2-Enterprise und EAP-TLS Rahmenbedingungen für Szenario 2 Hohe Verfügbarkeit Zusatzmaßnahmen für Szenario 2 Hohe Verfügbarkeit Geschlossene Modellierung des IT-Verbunds Kleine WLAN-Installation Konzeptvorgaben für eine große WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management...88 Bundesamt für Sicherheit in der Informationstechnik 5

6 Technische Richtlinie Sicheres WLAN Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Zusatzmaßnahmen für Szenario Rahmenbedingungen für Szenario 2 Hohe Verfügbarkeit Zusatzmaßnahmen für Szenario 2 Hohe Verfügbarkeit Rahmenbedingungen für Szenario 3 Echtzeit -Anforderungen Zusatzmaßnahmen für Szenario 3 Echtzeit -Anforderungen Geschlossene Modellierung des IT-Verbunds große WLAN-Installation Konzeptvorgaben für ein SOHO-WLAN Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung des Access Point Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Erstellung eines IT-Sicherheitskonzepts Erweiterung des kabelgebundenen LAN Konzeptvorgaben für eine heterogene Client Umgebung Vorgehensweise Behandlung organisatorischer Aspekte: Nutzung des Musterkonzepts Betrachtete (Beispiel-)Szenarien Anmerkungen zur Schutzbedarfsfeststellung Besondere Rahmenbedingungen Güte der WLAN-Absicherung Zu betrachtende Praxisfälle Prinzipelle Ansätze zur Trennung von WLAN-Nutzern Konzeptvorgaben für eine kleine WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Erweiterung des Grundkonzepts für hohen Schutzbedarf Geschlossene Modellierung des IT-Verbunds Kleine WLAN-Installation Sonderfall: Firmeninterner Hotspot Absicherung der Luftschnittstelle Bundesamt für Sicherheit in der Informationstechnik

7 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Hotspot-Architektur Konzeptvorgaben für eine große WLAN-Installation Anforderungsanalyse Nutzergruppen mit unterschiedlichen Sicherheitsanforderungen Kein einheitliches Sicherheitsniveau bzw. Migrationsbetrieb Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Zusatzmaßnahmen für Szenario Szenario 2 Hohe Verfügbarkeit Szenario 3 Echtzeit -Anforderungen Geschlossene Modellierung des IT-Verbunds große WLAN-Installation Konzeptvorgaben für ein SOHO-WLAN Anforderungsanalyse Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung des Access Point Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Sicherheitskonzept für die WLAN-Nutzung im Hotspot Anforderungsanalyse Abfrage von s Transparente LAN-Anbindung Grundkonzept für mittleren Schutzbedarf Rahmenbedingungen Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Bundesamt für Sicherheit in der Informationstechnik 7

8 Technische Richtlinie Sicheres WLAN Technische Maßnahmen Inhalte einer Benutzerrichtlinie zur Hotspot-Nutzung Auswahl eines Hotspot-Providers Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkung zum WLAN-Management Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen und Ermittlung der relevanten Gefährdungen Lösungsvariante 1: Verbot der Hotspot-Nutzung Lösungsvariante 2: Einschränkung der Hotspot-Nutzung Geschlossene Darstellung notwendiger Maßnahmen Sicherheitskonzept für die WLAN-Nutzung im Ad-hoc-Modus Anforderungsanalyse Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der WLAN-Clients Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen und Ermittlung der relevante Gefährdungen Lösungsvariante 1: Software zur Dateiverschlüsselung Lösungsvariante 2: Nutzungsverbot Zusammenfassung Sicherheitskonzept für eine LAN-Kopplung Anforderungsanalyse Behandlung organisatorischer Aspekte Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Wireless Bridges Absicherung der LAN-Anbindung Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Rahmenbedingungen Lösungsvariante 1: VPN Lösungsvariante 2: Nutzung von WPA2-Enterprise und EAP-TLS Szenario 2: Hohe Verfügbarkeit Rahmenbedingungen Zusatzmaßnahmen Modellierung der LAN-Kopplung Zusammenfassung Anhang Details zum Bundesdatenschutzgesetz Beispiel für die Definition von Schutzbedarfskategorien im WLAN Kreuzreferenztabelle Bundesamt für Sicherheit in der Informationstechnik

9 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 13.4 Mustervorlage für ein WLAN-Sicherheitskonzept Checkliste für ein SOHO-WLAN Glossar Literatur Abkürzungen Index Abbildungsverzeichnis Tabellenverzeichnis Bundesamt für Sicherheit in der Informationstechnik 9

10 Technische Richtlinie Sicheres WLAN Dokumenteninformation Version Datum Name Beschreibung Juli 2005 Dr. Simon Hoff Erste veröffentlichte Version 10 Bundesamt für Sicherheit in der Informationstechnik

11 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 1 Vorbemerkungen Drahtlose Funknetze nach dem Standard IEEE (sogenannte Wireless LAN, kurz: WLAN) werden mittlerweile in vielen Bereichen der Wirtschaft, im privaten Bereich und in Behörden eingesetzt. Viele Behörden planen den Einsatz, schrecken aber aufgrund des vermeintlich unüberschaubaren Aufwands zur Absicherung des WLAN (siehe hierzu Teil 1 dieser Technischen Richtlinie Sicheres WLAN; Darstellung und Bewertung der Sicherheitsmechanismen [TR-S-W1]) vor der Realisierung zurück. Aus diesem Grund werden in Teil 2 der Technischen Richtlinie Sicheres WLAN die Vorgaben an ein WLAN-Sicherheitskonzept beschrieben. Auf dieser Grundlage kann die Beschaffung entsprechender WLAN-Komponenten erfolgen. Des Weiteren werden die organisatorischen Rahmenbedingungen für einen sicheren WLAN-Betrieb aufgezeigt. Die Konzipierung orientiert sich an den Vorgaben des IT-Grundschutzhandbuchs [GSHB] zur Erstellung eines IT-Sicherheitskonzepts sowie an der Veröffentlichung Risikoanalyse auf Basis von IT- Grundschutz des BSI [BSI04a]. Daraus wird folgende Struktur abgeleitet: IT-Strukturanalyse für den WLAN-Einsatz - Methodik Gesetzgebung und IT-Sicherheit Schutzbedarfsdefinition / -feststellung Bedrohungsanalyse und Gefährdungskatalog Allgemeine Maßnahmenempfehlungen für eine WLAN-Infrastruktur Diese Grundsatzkapitel spiegeln den globalen Charakter eines IT-Grundschutzhandbuch-Bausteins für den WLAN-Einsatz wieder und bilden die Grundlage für die spezifischen WLAN-Konzepte, die im Rahmen dieser Technischen Richtlinie entwickelt werden. Dabei werden die folgenden Anwendungsszenarien betrachtet, die sich als die wesentlichen Nutzungsformen herausgebildet haben: Einsatz von WLAN zur Erweiterung des kabelgebundenen LAN, unterschieden nach homogener Client-Umgebung inhomogener bzw. heterogener Client-Umgebung Remote Access auf das Behörden- / Firmennetz über Hotspots (öffentliche WLAN-Zugänge) Nutzung von WLAN als Ad-hoc-Netzwerk zur direkten Kommunikation zwischen Clients Verwendung von WLAN-Technik zur gebäude- und grundstücksübergreifenden LAN-Kopplung Wie in der Strukturierung schon angedeutet, muss für das Anwendungsszenario Erweiterung des kabelgebundenen LAN eine differenzierte Betrachtung erfolgen: Ein wesentliches Element eines IT-Sicherheitskonzepts besteht darin, eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung zu erreichen, um dadurch die mögliche Angriffsfläche zu reduzieren und die Sicherheitsanstrengungen ohne Unterscheidung verschiedenster Schwachstellen konzentrieren zu können. Aus diesem Grund geht das Sicherheitskonzept für das Szenario Erweiterung des kabelgebundenen LANs zunächst von einer idealen, homogenen WLAN-Client-Umgebung aus. Eine homogene Client-Umgebung ist dadurch charakterisiert, dass die eingesetzten Client-Systeme es gestatten, die WLAN-Kommunikation mit einheitlichen Mechanismen abzusichern. In einer solchen Umgebung fällt es vergleichsweise leicht, ein hohes Sicherheitsniveau zu erreichen. Dies kann beispielsweise durch den Einsatz der in IEEE i spezifizierten Mittel geschehen. Leider sind in der Praxis noch viele Geräte anzutreffen, die lediglich WEP unterstützen und derzeit nicht auf einen höherwertigen Mechanismus aufgerüstet werden können. Solche Geräte können Altlasten sein, wie z. B. Barcode Scanner unter DOS. Allerdings findet man aktuell auch bei manchen neuen Produkten, wie z B. bei WLAN Handsets für die Sprachkommunikation via VoIP, noch keine Geräte, die etwa IEEE i unterstützen. Aus einer Sicherheitsperspektive ist die Verwendung solcher Geräte generell nicht zu empfehlen. Bundesamt für Sicherheit in der Informationstechnik 11

12 Technische Richtlinie Sicheres WLAN Trotzdem muss oft der Mischbetrieb von modernen Geräten und Altlasten (sogenannte heterogene Client-Umgebung) in einem WLAN-Sicherheitskonzept berücksichtigt werden. Daher wird in diesem Dokument gesondert auf die für die Praxis besonders wichtige Behandlung heterogener Client- Umgebungen eingegangen. Das Sicherheitskonzept für das Szenario Erweiterung des kabelgebundenen LAN wird jeweils für folgende drei typische Größenordnungen von WLAN-Installationen entwickelt: Kleine WLAN-Installation (maximal 10 Access Points, ca. 100 WLAN-Clients) Große WLAN-Installation (ca. 100 Access Points, ca WLAN-Clients) SOHO 1 -WLAN (1 Access Point, ca. 3 WLAN-Clients) An diesen drei Größenordnungen lassen sich wesentliche strategische und konzeptionelle Ansätze so vorführen, dass auch Zwischengrößen gezielt gestaltet werden können. Bei dieser Gestaltung ist es dann auf Grundlage der dargestellten und erläuterten Ansätze möglich, bedarfsorientiert, d. h. am konkreten Sicherheitsbedarf der Umgebung ausgerichtet eine geeignete Gesamtlösung zu wählen. Hierdurch lassen sich angemessenes Sicherheitsniveau und Wirtschaftlichkeit ohne Zielkonflikt realisieren. Auf Grund dieser Strategie wird das Dokument wie in Abbildung 1 dargestellt aufgebaut. Technische Richtlinie Sicheres WLAN - Teil 2 IT -Strukturanalyse für den WLAN - Einsatz - Methodik Gesetzliche Vorschriften und IT-Sicherheit Schutzbedarfsdefinition und -feststellung Bedrohungsanalyse und Gefährdungskatalog Allgemeine Maßnahmenempfehlungen Erweiterung des kabelgebundenen LAN - Konzeptvorgaben für eine homogene Clientumgebung kleines WLAN großes WLAN SOHO -WLAN Erweiterung des kabelgebundenen LAN - Konzeptvorgaben für eine heterogene Clientumgebung kleines WLAN großes WLAN SOHO -WLAN Remote Access auf das Unternehmens -LAN per Hotspot Konzeptvorgaben für einen WLAN-Client Nutzung des Ad -hoc- Modus - Konzeptvorgaben für einen WLAN-Client Konzeptvorgaben für eine LAN -Kopplung Abbildung 1: Aufbau von Teil 2 der Technischen Richtlinie Sicheres WLAN 1 SOHO = Small Office Home Office 12 Bundesamt für Sicherheit in der Informationstechnik

13 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Die Konzepte für kleine und große WLAN-Installationen zur Erweiterung des kabelgebundenen LAN und für die LAN-Kopplung wenden sich primär an IT-Sicherheitsbeauftragte, IT-Planer und Administratoren. Für den Nutzer im SOHO-Bereich werden spezifische Konzeptvorgaben erarbeitet. Im Anhang zum Dokument befindet sich eine Mustervorlage und für den SOHO-Bereich eine Checkliste, die dazu dienen, ein WLAN-Sicherheitskonzept für den gewünschten Anwendungsfall zu erstellen. Für eilige Leser sei hier auf die Darstellung der Methodik in Kapitel 2 sowie die Zusammenfassung in Kapitel 12 verwiesen. Bundesamt für Sicherheit in der Informationstechnik 13

14 Technische Richtlinie Sicheres WLAN 14 Bundesamt für Sicherheit in der Informationstechnik

15 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 2 IT-Strukturanalyse für den WLAN-Einsatz Methodik 2.1 Systematik Die Entwicklung der Konzeptvorgaben orientiert sich an der im IT-Grundschutzhandbuch des BSI beschriebene Vorgehensweise (siehe Kapitel 2 in [GSHB]). Grundlage bildet hierbei eine IT-Strukturanalyse, deren Ergebnis in einem so genannten bereinigten Netzplan dargestellt wird. In diesem Netzplan werden Systemgruppen als Sammelobjekte dargestellt. Für die Erstellung allgemeiner Vorgaben zu einem WLAN-Sicherheitskonzept, aus denen dann ein auf die Ergebnisse der Anforderungsanalyse zugeschnittenes Konzept entwickelt wird, erfolgt deshalb zunächst die Darstellung eines prototypischen Netzplans. Dieser besitzt zunächst einen sehr geringen Detaillierungsgrad, da ausschließlich eine Fokussierung auf die für eine WLAN-Infrastruktur spezifischen Objekttypen erfolgt. Diese sind: WLAN-Client Access Point Distribution System Sicherheits-Infrastruktur WLAN Management Entsprechend orientieren sich alle Einzelkapitel, in denen die WLAN-Infrastruktur betrachtet wird, an der in Abbildung 2 dargestellten Systematik. WLAN Management Sicherheits - Infrastruktur AAA-Server Firewall / VPN-Gateway Intrusion Detection Distribution System Access Points Luftschnittstelle Client-Bereich Abbildung 2: Komponenten einer WLAN-Infrastruktur Für die geschlossene Betrachtung eines WLAN-IT-Verbunds ist es notwendig, nicht nur die unmittelbar das WLAN aufspannenden Komponenten zu berücksichtigen, sondern auch die Systeme, die eine gesicherte Kommunikation innerhalb des WLAN erst ermöglichen. Insbesondere ist die Konzipierung der Sicherheits-Infrastruktur, die als Bestandteile einen AAA-Server ( Authentication, Authorization and Accounting, kurz: AAA), eine Firewall, ein VPN-Gateway sowie ein Intrusion Detection System enthalten kann, von dem umzusetzenden Sicherheitsniveau abhängig. Hierzu wird in den Detailkon- Bundesamt für Sicherheit in der Informationstechnik 15

16 Technische Richtlinie Sicheres WLAN zepten auf Basis der Ergebnisse des Teils 1 der Technischen Richtlinie Sicheres WLAN eine Restrisikoanalyse durchgeführt. Unter diesen Aspekten ergibt sich ein prototypischer Netzplan, wie in Abbildung 3 dargestellt. Serverraum AAA-System Management- Server Verteilerraum Übergabepunkt LAN Distribution System Büro-, Flur- oder Hallenbereich Funkzelle Admin-Büro Access Point WLAN-Client Administrator PC Abbildung 3: Allgemeiner, bereinigter Netzplan Neben der reinen WLAN-Infrastruktur sind in dem in Abbildung 3 dargestellten Netzplan weitere Aspekte des IT-Grundschutzhandbuchs für die Entwicklung eines geschlossenen IT-Sicherheitskonzepts skizziert. So finden neben den WLAN-Komponenten auch die Räumlichkeiten Berücksichtigung, in denen sich die WLAN-Komponenten befinden. Weiterhin sind die Rahmenbedingungen für den Betrieb der WLAN-Infrastruktur dargestellt (Administrations-PC). 2.2 Betrachtete Schutzbedarfskategorien Bevor mit der Modellierung des IT-Verbunds für die betrachteten Szenarien begonnen werden kann, muss zunächst eine Schutzbedarfsfeststellung durchgeführt werden. Dies erfolgt innerhalb eines all- 16 Bundesamt für Sicherheit in der Informationstechnik

17 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts gemeinen Kapitels, das während der Detailkonzipierung als Ausgangspunkt dienen kann. Dabei unterscheidet die Schutzbedarfsdefinition die zwei Sicherheitsklassen bzw. Schutzbedarfskategorien niedrig bis mittel und hoch. Die Schutzbedarfskategorie sehr hoch ist nicht Gegenstand dieser technischen Richtlinie. Allerdings werden auch Verweise für die Vorgehensweise bei Verschlusssachen (VS) der Einstufung VS NUR FÜR DEN DIENSTGEBRAUCH integriert. Dem Kapitel Schutzbedarfsdefinition /-feststellung werden auch WLAN-relevante Betrachtungen zum Thema IT- Sicherheit und Gesetzgebung vorangestellt. Bei einer geschlossenen IT-Sicherheitsbetrachtung ist es notwendig, für die schutzbedürftigen Komponenten eine Bedrohungsanalyse durchzuführen. Auf Grundlage der in Abbildung 2 dargestellten Systematik und des bereinigten Netzplans wird hierzu die Gefährdungslage in einer WLAN- Infrastruktur diskutiert. 2.3 Berücksichtigung des Lebenszyklus Basierend auf den Ergebnissen der Schutzbedarfsdefinition und -feststellung sowie der Bedrohungsanalyse werden allgemeine Sicherheitsmaßnahmen für den sicheren Betrieb einer WLAN-Installation beschrieben. Dies erfolgt unter Berücksichtigung des Lebenszyklus-Modells, das folgende Stadien beinhaltet: Planung Produktauswahl Installation und Konfiguration Administration und Betrieb Sicherheitsrevision (Sicherheitsaudit und -review) Migration Außerbetriebnahme Den Abschluss dieses Maßnahmenkataloges bildet eine Kreuzreferenzliste, in der aufgeführt ist, welche Maßnahmen welchen Gefahren entgegenwirken, die in der Bedrohungsanalyse aufgeführt wurden. 2.4 Betrachtete Szenarien und Aufbau der Einzelkonzepte Auf Grundlage dieser allgemeinen Festlegungen kann die Entwicklung von unterschiedlichen WLAN- Sicherheitskonzepten erfolgen. Hierfür sind die in Abbildung 1 dargestellten WLAN-Anwendungsszenarien vorgesehen: Erweiterung des kabelgebundenen LAN Fernzugriff (Remote Access Service, RAS) auf das Behörden- / Firmennetz über so genannte Hotspots (öffentliche WLAN-Zugänge) mit dem Ziel der Abfrage von s des Zugriffs auf Serverdaten Nutzung als Ad-hoc-Netzwerk LAN-Kopplung Dabei ist für jedes Sicherheitskonzept folgende Gliederung vorgesehen: Anforderungsanalyse Realisierungsvarianten unter Berücksichtigung des Schutzbedarfs Bundesamt für Sicherheit in der Informationstechnik 17

18 Technische Richtlinie Sicheres WLAN Restrisikoanalyse Maßnahmenempfehlungen gemäß IT-Grundschutzmodellierung Anforderungsanalyse In der Anforderungsanalyse wird beschrieben, in welcher Art und Weise die WLAN-Techniken genutzt werden sollen. Im Anwendungsszenario Erweiterung des kabelgebundenen LAN wird zunächst vom Idealfall einer homogenen Client-Umgebung ausgegangen. In einem ergänzenden Kapitel werden dann Aspekte zum Betrieb einer heterogenen Client-Umgebung diskutiert. Für das zweite Anwendungsszenario Hotspot-Nutzung für den Fernzugriff auf das Behörden-/ Unternehmens-LAN werden zunächst die unterschiedlichen Möglichkeiten des RAS-Zugriffs skizziert, um dann die jeweiligen Anforderungen an den WLAN-Client zu beschreiben. Für die Szenarien Ad-hoc-Netz und LAN-Kopplung werden kurz die betrachteten Nutzungsumgebungen beschrieben und die technischen Rahmenbedingungen zur Nutzung dieser WLAN- Lösung erläutert. Realisierungsvarianten unter Berücksichtigung des Schutzbedarfs Basierend auf den Ergebnissen in [TR-S-W1] werden unterschiedliche Realisierungsvarianten zur WLAN-Absicherung beschrieben, wobei Aussagen zum erreichbaren Sicherheitsniveau getroffen werden. Bewertungsmaßstab sind die beiden Schutzbedarfskategorien niedrig bis mittel und hoch. Restrisikoanalyse Unter Berücksichtigung der Aussagen der allgemeinen Bedrohungsanalyse wird für die entwickelten WLAN-Architekturen eine Restrisikoanalyse durchgeführt, sofern ein hohes Sicherheitsniveau zu realisieren ist. Für Grundschutzanforderungen (Schutzbedarfskategorien niedrig bis mittel ) wird auf die Empfehlungen verwiesen, die im IT-Grundschutzhandbuch und im Grundsatzkapitel Allgemeine Maßnahmenempfehlungen (siehe Kapitel 6) enthalten sind. Maßnahmenempfehlungen Basierend auf dem allgemeinen Maßnahmenkatalog in Kapitel 6 werden für jedes Einsatzszenario die relevanten Maßnahmen weiter spezifiziert. Unter Berücksichtigung des zu erreichenden Schutzniveaus werden sowohl Standard-IT-Sicherheitsmaßnahmen als auch optionale Maßnahmen zur Realisierung eines hohen Schutzniveaus entwickelt, wobei für die optionalen Maßnahmen Aussagen zum Aufwand Nutzen-Verhältnis getroffen werden. Dies kann auch die Grundlage für eine Risiko-Abwägung durch die Leitungsebene (Behördenleitung bzw. Unternehmensleitung) bilden, wenn die finanziellen Aufwendungen für eine Sicherheitsmaßnahme die Möglichkeiten der Behörde bzw. des Unternehmens überschreiten. Zur Unterstützung einer geschlossenen Modellierung eines WLAN-Verbunds liegt dem Konzept im Anhang eine Mustervorlage sowie eine Checkliste bei. Insbesondere kann auch die Dokumentation organisatorischer Maßnahmen auf Basis der Mustervorlage erfolgen. 2.5 Zielstellung und Grundsatz der Konzipierung Alle Musterkonzeptvorgaben sind geprägt von dem Grundsatz, dass bei allen Maßnahmen zur Sicherheit ein ausgewogenes Verhältnis zwischen Aufwand und Nutzen realisiert werden muss. Dies geschieht immer vor dem Hintergrund der wirtschaftlichen Leistungs- und Wettbewerbsfähigkeit des Unternehmens oder der Behörde. Hierzu wird zwar wie oben dargestellt die Methodik des IT- Grundschutzhandbuchs angewendet, es ist aber darauf hinzuweisen, dass beim Einsatz von WLAN eine wesentliche Rahmenbedingung des IT-Grundschutzhandbuchs nicht mehr erfüllt ist: Das IT- 18 Bundesamt für Sicherheit in der Informationstechnik

19 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Grundschutzhandbuch geht davon aus, dass ein Grundschutz für den physikalischen Zugriff auf IT- Systeme im Access-Bereich (in dem der Anschluss der Clients an das Netz stattfindet) durch einen entsprechend restriktiven Zugangsschutz zum Gebäude, zu Räumen mit IT-Infrastruktur und letztendlich zu den Anschlussdosen für das Netzwerk realisiert werden kann. Diese Maßnahmen sind für Funknetze nicht mehr ausreichend, da die Zugriffsmöglichkeiten auf diese nicht mehr ausschließlich auf definierte Zugangspunkte wie Anschlussdosen konzentriert werden können und in der Regel sogar nicht an der Gebäudegrenze enden 2. Aus diesem Grund gilt für alle in den Konzepten vorgeschlagenen Empfehlungen folgender Grundsatz: Ein Netzwerkanschluss, an den ein Access Point angeschlossen wird (WLAN Port), ist grundsätzlich anders zu behandeln als ein Netzwerkanschluss, an den ein Endgerät per Netzwerkkabel angeschlossen wird (LAN Port). 2 Infrastrukturelle Maßnahmen zur Unterbindung der Funkausbreitung an der Gebäudegrenze sind nur mit sehr großem Aufwand zu realisieren. Bundesamt für Sicherheit in der Informationstechnik 19

20 Technische Richtlinie Sicheres WLAN 20 Bundesamt für Sicherheit in der Informationstechnik

21 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 3 Gesetzliche Vorschriften und IT-Sicherheit Gemäß IT-Grundschutzhandbuch [GSHB] bezieht sich der Schutzbedarf jeweils auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Grundlagen für alle Sicherheitsmaßnahmen in einem WLAN bilden somit der Schutzbedarf der über das WLAN übertragenen und erreichbaren Informationen (Daten, Sprache, Bilder) sowie die Verfügbarkeitsanforderungen an die WLAN-Installation. Bei der Bestimmung des Schutzbedarfs lässt sich grob zwischen praktischen und rechtlichen Fragestellungen unterscheiden: Welchen Wert stellen die Daten im Hinblick auf Verlust oder unberechtigte Kenntnisnahme für die Behörde bzw. das Unternehmen dar? Welchen Wert stellt die WLAN-Installation im Hinblick auf Zerstörung für die Behörde bzw. das Unternehmen dar? Welche Konsequenzen (Verluste) entstehen für die Geschäftsfähigkeit der Behörde bzw. des Unternehmens? Welche rechtlichen Konsequenzen ergeben sich für die Behörde bzw. das Unternehmen, wenn gegen gesetzliche Vorschriften verstoßen wird? Der erste Fragenkomplex kann nur durch die Unternehmens- bzw. Behördenleitung beantwortet werden. Eine pauschale Festlegung ist an dieser Stelle allerdings kaum möglich, da diese von der individuellen Risikobereitschaft der Behörden- bzw. Unternehmensleitung abhängt. Diese hat zu entscheiden, welche monetären und personellen Mittel zur Risikominimierung eingesetzt werden. Dabei sollten die generellen Festlegungen zum angestrebten IT-Sicherheitsniveau in einer IT-Sicherheitsleitlinie (IT-Security-Policy) durch die Unternehmensleitung definiert worden sein (siehe M Erstellung einer IT-Sicherheitsleitlinie im IT-Grundschutzhandbuch [GSHB]). Etwas anders verhält es sich mit den gesetzlichen Vorschriften, die festlegen, welche Risiken mindestens auszuschließen sind bzw. in welchem Umfang sie mindestens zu bekämpfen sind: Hierbei sind natürlich je nach Unternehmenssparte unterschiedliche Gesetze zum Schutz der Daten und der eingesetzten IT-Systeme relevant. Dies soll beispielhaft anhand der Anforderungen zum Schutz personenbezogener Daten erläutert werden, deren Verarbeitung bei fast allen Behörden und Unternehmen anzutreffen ist. Hier greifen die Regelungen des Bundesdatenschutzgesetzes (BDSG), sowie andere, je nach Anwendungsgebiet einschlägiger Rechtsvorschriften, z. B.: die Sozialgesetzbücher (SGB I, SGB VIII, SGB X und SGB XI) das Telekommunikationsgesetz (TKG) das Teledienstegesetz (TDG) das Gesetz über den Datenschutz bei Telediensten (Teledienstedatenschutzgesetz - TDDSG). Eine detaillierte Aufstellung zum Datenschutz in den einzelnen Gesetzen ist beispielsweise unter [DaRe] zu finden. Im Prinzip sind alle diese Gesetze durch den Verbotsgrundsatz geprägt, nach dem alles verboten ist, was nicht im Rahmen der Gesetze ausdrücklich erlaubt ist. Im BDSG wird auf diesen Grundsatz insbesondere in 3a Datenvermeidung und Datensparsamkeit sowie 5 Datengeheimnis hingewiesen. Für das produzierende Gewerbe spielen zusätzlich Aspekte der Arbeitssicherheit und des Arbeitsschutzes sowie der Produkthaftung eine Rolle. Außerdem gelten für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe Sonderregelungen im Strafgesetzbuch, welche die Veröffentlichung vertraulicher Angaben von Patienten, Mandanten bzw. Klienten ohne deren Einwilligung betreffen. Bundesamt für Sicherheit in der Informationstechnik 21

22 Technische Richtlinie Sicheres WLAN Banken sind im Rahmen der Festlegungen zu Basel II angehalten, bei der Kreditvergabe die IT- Risiken eines Kreditnehmers zu berücksichtigen (siehe hierzu auch Kapitel 4 in [BSI03a]). Da die Vielzahl der mittlerweile erlassenen Gesetze und Verordnungen zum Datenschutz für den IT- Verantwortlichen schwer zu überblicken ist, werden nun kurz die Anforderungen an den Schutz personenbezogener Daten auf Grundlage des Bundesdatenschutzgesetzes (BDSG) exemplarisch vorgestellt. Das BDSG gilt durch den verstärken Einsatz der IT praktisch für alle Behörden und Unternehmen. Des Weiteren haben sich die später hinzugekommenen Rechtsvorschriften am BDSG orientiert, verweisen auf dieses oder zitieren aus ihm 3. Die Nutzung von WLAN kann nun auf Grund der in Teil 1 der Technischen Richtlinie Sicheres WLAN durchgeführten Bewertung vorhandener oder eben nicht vorhandener Sicherheitsmechanismen zum Schutz der Luftschnittstelle für die Übertragung und Verarbeitung personenbezogener Daten problematisch sein. Dies wird insbesondere bei einem Blick in die Anlage 4 zum Gesetz offensichtlich, in der entsprechende Anforderungen an die innerbehördliche bzw. innerbetriebliche Organisation bei der Verarbeitung personenbezogener Daten gestellt werden. Diese Anforderungen werden deshalb im Hinblick auf die Nutzung des WLAN zur Verarbeitung personenbezogener Daten betrachtet und kommentiert. Zutrittskontrolle Diese Anforderung betrifft vor allem den Zutritt zu Räumen mit Servern bzw. Zugangspunkten zum Anschluss an die verkabelte Infrastruktur. Sie ist damit auf WLAN nicht anwendbar, da diese nicht rein physikalisch vor Zugriffen geschützt werden können. Zugangskontrolle Stellt ein Access Point den Zugang zu einem Server her, der personenbezogene Daten verarbeitet, müssen Sicherheitsmaßnahmen ergriffen werden, die diesen Zugang nur befugten Personen ermöglichen. Die Übertragung von entsprechenden Authentifizierungs-Informationen muss innerhalb einer WLAN- Installation entsprechend geschützt erfolgen. Zugriffskontrolle Diese Anforderung kann im WLAN im Wesentlichen auf die WLAN-Clients sowie die Serversysteme angewendet werden, auf denen personenbezogene Daten gespeichert werden. Sie ist also nur bedingt WLAN-spezifisch, da hier generell die Anforderung nach der Erstellung eines detaillierten, ggf. mandantenfähigen Zugriffsberechtigungskonzepts steht. Weitergabekontrolle Der Aspekt der Weitergabekontrolle bildet die zentrale Anforderung des BDSG an WLAN- Installationen, da hiernach bei der Übertragung der personenbezogenen Daten ein Lesen, Kopieren, Verändern oder Entfernen durch Unbefugte zu unterbinden ist. Eingabekontrolle Hierbei handelt es sich um eine Anforderung, die in der Regel auf Applikations- bzw. Datenbankebene umgesetzt wird, sodass sie für eine WLAN-Installation nicht relevant ist. 3 So ist in SGB X 78b beispielsweise nur der Begriff personenbezogene Daten durch Sozialdaten ersetzt, der restliche Wortlaut aus BDSG 3a aber übernommen worden. 4 Der genaue Wortlaut der Anlage zu 9 des BDSG ist im Anhang 13.1 abgedruckt. Dort finden sich auch Details zu einer Typisierung von personenbezogenen Daten sowie zu möglichen Schadensersatzforderungen und Bußgeldvorschriften. 22 Bundesamt für Sicherheit in der Informationstechnik

23 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Auftragskontrolle Die Auftragskontrolle betrifft vor allem organisatorische Aspekte, wenn die Verarbeitung personenbezogener Daten fremdvergeben wird (also durch einen Dienstleister erfolgt) und ist somit für die WLAN-Konzeption nicht zu betrachten. Verfügbarkeitskontrolle Diese Anforderung hat direkte Auswirkungen auf die durch das WLAN bereitzustellenden Sicherheitsmechanismen, da die übertragenen personenbezogenen Daten gegen zufällige Zerstörung oder Verlust zu schützen sind. Sofern bei der Untersuchung eines Schadensvorfalls der Nachweis erbracht werden kann, dass keine Maßnahmen zum Datenschutz ergriffen wurden, kann dies als grobe Fahrlässigkeit gewertet werden. Allein auf Grund der Vorgaben des BDSG ergibt sich die Notwendigkeit, nicht nur die Sicherheit einer WLAN-Installation sorgfältig zu planen, sondern generell den Einsatz von IT einer kritischen Bewertung der damit verarbeiteten Daten zu unterziehen. Bundesamt für Sicherheit in der Informationstechnik 23

24 Technische Richtlinie Sicheres WLAN 24 Bundesamt für Sicherheit in der Informationstechnik

25 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 4 Schutzbedarfsdefinition und -feststellung Wie schon in Kapitel 3 ausgeführt, ist eine pauschale Festlegung des Schutzbedarfs für die über ein WLAN übertragenen und erreichbaren Daten nicht möglich. Dies hängt zum einen von den individuell zu berücksichtigenden gesetzlichen Vorgaben für den Schutz der Daten ab, zum anderen spielt die individuelle Risikobereitschaft sowie die wirtschaftliche Leistungsfähigkeit der Behörde bzw. des Unternehmens eine wesentliche Rolle. 4.1 Vorgaben des IT-Grundschutzhandbuchs Eine allgemeine Definition der Schutzbedarfskategorien ist im IT-Grundschutzhandbuch in Kapitel 2.2 enthalten und wird im Folgenden zitiert. Das IT-Grundschutzhandbuch schreibt insgesamt drei unterschiedliche Kategorien vor: Schutzbedarfskategorien niedrig bis mittel Die Schadensauswirkungen sind begrenzt und überschaubar. hoch Die Schadensauswirkungen können beträchtlich sein. sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle 1: Definition der Schutzbedarfskategorien gemäß IT-Grundschutzhandbuch In Kapitel 2.2 des IT-Grundschutzhandbuchs ist folgende Erläuterung zu möglichen Schadenszenarien enthalten, die je Schutzbedarfskategorie zu diskutieren sind: Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit für eine IT- Anwendung einschließlich ihrer Daten entstehen können, lassen sich typischerweise folgenden Schadensszenarien zuordnen: Verstoß gegen Gesetze/Vorschriften/Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Außenwirkung und finanzielle Auswirkungen. Häufig treffen dabei für einen Schaden mehrere Schadenskategorien zu. So kann beispielsweise der Ausfall einer IT-Anwendung die Aufgabenerfüllung beeinträchtigen, was direkte finanzielle Einbußen nach sich zieht und gleichzeitig auch zu einem Imageverlust führt. Für das zu entwickelnde WLAN-Konzept werden hier nur die Schutzbedarfskategorien niedrig bis mittel und hoch betrachtet. Für die erste Sichtung der Einflussgrößen für die Schutzbedarfskategorien niedrig bis mittel und hoch bewährt sich eine tabellarische Darstellung, für die in Abschnitt 13.2 ein Beispiel mit Bezug zur WLAN-Nutzung und unter Berücksichtigung der allgemeinen Aussagen im Kapitel 3 aufgeführt ist. Bundesamt für Sicherheit in der Informationstechnik 25

26 Technische Richtlinie Sicheres WLAN 4.2 Behandlung von Verschlusssachen Bei der Verarbeitung von Verschlusssachen (VS) der Kategorie VS-NUR FÜR DEN DIENST GEBRAUCH gelten die Festlegungen der durch das Bundesministerium des Inneren erlassenen Verschlusssachenanweisung (VSA). Darin ist festgelegt, dass die Übertragung dieser Daten nach Möglichkeit nur mit einem vom Bundesamt für Sicherheit in der Informationstechnik zugelassenen Kryptosystem 5 erfolgen sollte. Da noch keines der im aktuellen WLAN-Standard genutzten Kryptosysteme eine solche BSI-Zulassung 6 besitzt, unterliegt die Übertragung von VS auf Basis von WLAN- Sicherheitsmechanismen einer Ausnahmeregelung. Zwar sind in der Anlage 7 zur VSA entsprechende Ausnahmeregelungen aufgeführt, üblicherweise muss allerdings der Geheimschutzbeauftragte der Behörde oder des Unternehmens eine Entscheidung treffen, unter welchen Bedingungen die Übertragung von Daten der Kategorie VS-NUR FÜR DEN DIENSTGEBRAUCH über eine WLAN-Installation erfolgen darf. 5 Hierzu zählen z. B. auf Anwendungsebene die Software CHIASMUS (vgl. oder die zugelassene VPN-Lösung SINA (vgl. 6 Allgemeine Informationen zur Zulassung enthält die BSI-Internet-Seite 26 Bundesamt für Sicherheit in der Informationstechnik

27 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts 5 Bedrohungsanalyse und Gefährdungskatalog Die Bedrohungen der drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität unterscheiden sich im Funknetz prinzipiell nicht von denen im kabelgebundenen Netz. Aus diesem Grund wird zunächst eine allgemeine Bedrohungsanalyse durchgeführt. Daran schließt sich die Beschreibung WLAN-spezifischer Gefährdungen an, wobei eine Berücksichtigung aller an der WLAN-Infrastruktur beteiligten Komponenten stattfindet. 5.1 Allgemeine Bedrohungsanalyse Die Daten und die IT-Infrastruktur sind unabhängig vom Übertragungsmedium folgenden Bedrohungen ausgesetzt: Verlust der Vertraulichkeit bei unberechtigten externen und internen Zugriffen z. B. durch das Einschleusen von Spionagesoftware (z. B. Trojanischen Pferden ) Social Engineering physikalischen Zugriff auf Server oder Netzwerk-Infrastruktur-Komponenten die Kooperation mit Insidern Verlust der Verfügbarkeit z. B. durch menschliches Versagen oder höhere Gewalt nicht vorgesehene externe oder interne Zugriffe, die zur logischen oder physikalischen Beeinträchtigung bzw. Zerstörung der IT-Infrastruktur oder von Daten genutzt werden technisches Versagen Verlust der Integrität z. B. durch unberechtigte externe oder interne Zugriffe, die zu Änderungen an Daten oder (System-) Einstellungen genutzt werden technisches Versagen menschliches Versagen Durch die Nutzung von Funk als Übertragungsmedium ergeben sich gegenüber einer kabelgebundenen Infrastruktur andere oder weitergehende Schwachstellen und Gefährdungen. 5.2 Schwachstellen und Gefährdungen im WLAN Der folgende Gefährdungskatalog beschreibt im Sinne eines Bausteins des IT-Grundschutzhandbuchs (siehe [GSHB]) Gefährdungen, denen eine WLAN-Infrastruktur ausgesetzt ist. Basierend auf den Einzelkomponenten der WLAN-Infrastruktur gemäß Abbildung 3 in Kapitel 2 wird für jede Einzelkomponente ein eigener Gefährdungskatalog erstellt. Sofern für eine Einzelkomponente schon ein IT Grundschutzhandbuch-Baustein vorhanden ist, wird lediglich auf den entsprechenden Gefährdungskatalog verwiesen. Ggf. werden WLAN-spezifische Ergänzungen vorgenommen. Damit ergibt sich für den Gefährdungskatalog folgende in Abbildung 4 dargestellte Unterteilung: Bundesamt für Sicherheit in der Informationstechnik 27

28 Technische Richtlinie Sicheres WLAN Gefährdungen des WLAN Management Gefährdungen der Sicherheits -Infrastruktur Gefährdungen des Distribution System Gefährdungen der Access Points Gefährdungen im Client-Bereich Gefährdungen auf der Luftschnittstelle Abbildung 4: Strukturierung des Gefährdungskataloges Je WLAN-Infrastruktur-Komponente wird eine Einteilung der Schwachstellen und Gefährdungen nach folgenden Gefährdungskategorien gemäß IT-Grundschutzhandbuch vorgenommen: höhere Gewalt organisatorische oder konzeptionelle Mängel menschliche Fehlhandlungen technisches Versagen oder systembedingte Schwachstellen vorsätzliche Handlungen. Auf die Wiederholung von Standard-Gefährdungen aus den Gefährdungskatalogen im IT- Grundschutzhandbuch wie beispielsweise G 1.1 Personalausfall oder G 1.2 Ausfall des IT-Systems wird an dieser Stelle verzichtet, da zur Vermeidung dieser allgemeinen Gefährdungen schon im Rahmen eines allgemeinen IT-Sicherheitskonzepts Regelungen getroffen worden sein müssen. Sofern aber diese sehr allgemein formulierten Standard-Gefährdungen im Hinblick auf WLANspezifische Gegebenheiten präzisiert werden können, erfolgt die Beschreibung einer solchen WLANspezifischen Gefährdung. Auf die im IT-Grundschutzhandbuch im Gefährdungskatalog enthaltene Standard-Gefährdung wird durch die Angabe der entsprechenden Gefährdungsnummer [= G n.m] hingewiesen Funknetz und Access Points Zunächst werden für die Luftschnittstelle und die Access Points entsprechende Gefährdungen beschrieben Höhere Gewalt Neben den klassischen Gefährdungen wie Blitz, Feuer, Wasser oder Verunfallung von Personen, ergeben sich im WLAN die im Folgenden aufgeführten primär nicht beeinflussbaren Gefährdungen. 28 Bundesamt für Sicherheit in der Informationstechnik

29 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts G-WLAN-1 Ausfall des Funknetzes [= G 1.2 Ausfall des IT-Systems] Neben der Störung des Funknetzes durch Fremdsysteme kann es wie in einem kabelgebundenen LAN z. B. durch Überspannungen zum Ausfall der Access Points (oder des Distribution System) kommen. Außeninstallationen von WLAN- Komponenten (z. B. Antennen) zur Versorgung von Außenbereichen sind von Gefährdungen durch Blitz und Witterungseinflüsse besonders betroffen Organisatorische oder konzeptionelle Mängel Die folgenden Gefährdungen beleuchten anschaulich, welche erheblichen Auswirkungen konzeptionelle Mängel für den sicheren und zuverlässigen Betrieb einer WLAN-Installation haben können. G-WLAN-2 Mangelhafte Planung des WLAN-Einsatzes [= G 2.1 Fehlende oder unzureichende Regelungen] Gefahren, die sich im WLAN-Bereich aus einer mangelhaften Planung ergeben können, sind beispielsweise: Abfluss von sensitiven Daten, da keine oder nur unzureichende Sicherheitsmaßnahmen implementiert wurden Performance-Einbußen durch nicht beachtete andere WLAN-Installationen oder andere Funk-Systeme, die in das Gelände der Behörde bzw. des Unternehmens hineinstrahlen Performance-Einbußen durch nicht berücksichtigte Gebäudedämpfung oder absorbierende Ausbaumaterialien (z. B. Stahlschränke, Nasszellen, Versorgungsleitungen, Stahlbetonbauweise) Performance-Einbußen durch Gleichkanalstörungen aus einer benachbarten Funkzelle des eigenen WLAN Performance-Einbußen durch Funklöcher Unzureichende Übertragungskapazitäten, welche die Nutzung von bandbreitenintensiven Anwendungen einschränken oder sogar verhindern Verlängerter Ausfall durch unzureichend abgestimmte Wartungsverträge Kompromittierung der WLAN-Infrastruktur bei nicht abgestimmtem Zusammenwirken unterschiedlicher Sicherheitsmechanismen (z. B. durch Mängel bei der Planung zur Trennung von Benutzergruppen) Sicherheitsmängel oder mindere Verfügbarkeit wegen Fehlkonfigurationen, verursacht durch ein mangelhaftes oder nicht vorhandenes Change Management und Configuration Management Ausfall eines WLAN durch Blitzeinschlag oder Witterungseinflüsse bei WLAN-Komponenten im Außenbereich (z. B. Antennen) und einer ungeeignet gewählten Montageposition und mangelhaft geplantem Blitz- und Witterungsschutz G-WLAN-3 Fehlende Regelungen zum WLAN-Einsatz [= G 2.1 Fehlende oder unzureichende Regelungen] Wie in [TR-S-W1] dargestellt, stellt ein Access Point in der Default-Einstellung (also ohne aktivierte Sicherheitsmechanismen) eine massive Gefährdung für das LAN dar, die sogar mit der Gefährdung durch einen ungesicherten Internet- Anschluss vergleichbar ist. Sofern also ein Mitarbeiter aufgrund fehlender Re- Bundesamt für Sicherheit in der Informationstechnik 29