Sicherer Einsatz von WLAN in öffentlichen Einrichtungen Projektarbeit aus 2012

Transkript

1 Sicherer Einsatz von WLAN in öffentlichen Einrichtungen Projektarbeit aus 2012 Frank Weidemann, KomFIT Dirk Hoffmann, DOKUMENTA AG Dr. Thomas Probst, ULD SH

2 Auftrag Die Geschäftsstelle des KomFIT wurde mit der Anfertigung eines Konzeptes beauftragt, welches die rechtlichen, organisatorischen und technischen Voraussetzungen für den Betrieb eines sicheren und gut administrierbaren drahtlosen Netzwerks (WLAN) beinhaltet. Zugriff von Verwaltungsbeschäftigten mit dienstlichen Geräten auf LAN und Internet Zugriff von Ehrenamtlern mit von der Verwaltung zur Verfügung gestellten Geräten auf LAN und Internet Zugriff von Ehrenamtlern mit privaten Geräten auf gesonderte Bereiche im LAN und auf das Internet Zugriff von Externen auf das Internet

3

4 Problemaufriss der WLAN-Nutzung: Anforderungen Lösungsmöglichkeiten organisatorische Aspekte technische Aspekte hier nicht betrachtet: WLAN in Schulen dazu: eigene Regelungen des Bildungsministeriums und des IQSH hier nicht betrachtet: Öffentliche Hot-Spots von Gemeinden

5 Anforderung: Zugriff per WLAN von Verwaltungsbeschäftigten mit dienstlichen Geräten auf LAN und Internet von Ehrenamtlern mit Verwaltungsgeräten auf LAN und Internet von Ehrenamtlern mit privaten Geräten auf LAN (ggf. gesonderte Bereiche) und Internet von Externen (z. B. Gästen) auf das Internet

6 Problemkreis I: Kommunikationsstrecke Früher: Kabel Jetzt: drahtlos Kontrollverlust in Bezug auf die Kommunikationsstrecke (z.b. keine physikalische Sicherheit der Kabel) Grafiken: openclipart.org

7 Problemkreis II: Kommunikationspartner Früher: Netzzugang per Netzdose und Kabel Jetzt: drahtloser Netzzugang Kontrollverlust in Bezug auf die Kommunikationspartner (auch Dritte könn(t)en sich anschließen) Grafiken: openclipart.org

8 Problemkreis III: Geräte Früher: Zugriff mit Geräten der Organisation (Behörde, Schule, Firma, ) Jetzt: Zugriff auch mit Geräten von Gästen, Ehrenamtsinhabern [und Mitarbeitern] (BYOD) => Kontrollverlust in Bezug auf Geräte Grafiken: openclipart.org

9 Problemkreis IV: Dritte Nicht-Mitarbeiter (Gäste, Ehrenämtler, ) sollen/können u.u. nicht so behandelt werden wie Mitarbeiter Aspekt 1: Zulassung private Geräte? => Problemkreis III Aspekt 2: wilde Internetnutzung, weil (vermeintlich) unkontrolliert? => Problemkreis V

10 Problemkreis V: Internet Bekannt: Einschränkung und Kontrolle des Internetzugriffs von Mitarbeitern Neu: Internetzugriff von Nicht-Mitarbeitern (Gästen, Ehrenamtsinhaber) Haftet ein Anschlussinhaber bei Missbrauch? Wenn ja, in welchem Umfang? Unterschiedliche Aspekte: als Täter? Schadensersatz? Unterlassungsansprüche? Zurechnung der Taten regulärer Nutzer? Meist ja! Für das, was nicht-reguläre Nutzer tun? Unter Umständen: Störerhaftung bei nicht sorgfältiger Absicherung (=> Unterlassungsanspruch, Umfang unklar).

11 Lösungen: I Kommunikationsstrecke: Verschlüsselung WEP, WPA2, II Kommunikationspartner: Authentisierung der Geräte IEEE 802.1X, Radius, III Geräte Dritter: Authentisierung, Innere Sicherheit Netztrennung, Firewalling, Kommunikationsbeschränkungen der Geräte untereinander IV Dritte: Zugangsbeschränkungen, Nutzungsvereinbarungen V Anmeldepflicht, Geräteauthentisierung, Vereinbarungen Internet: Filterungen, Dienstvereinbarungen, Protokollierungen, Protokollkontrolle

12 IV: Zugangsbeschränkungen und Nutzungsvereinbarungen Zugangsbeschränkung durch Anmeldeverfahren für Geräte einmalig oder dauerhaft? einmaliger Zugang: Mit Hilfe von Vouchern mit zeitlicher Befristung (z. B. 3 h ) dauerhafter Zugang: Authentisierung mittels IEEE 802.1X/RADIUS, z.b. passwort- oder zertifikatsbasiert zeitbasierte Einschränkung der Anmeldung: nur während der Arbeitszeiten, Sitzungszeiten, des Besuchs (=> im RADIUS-Server, z. B. Network Policy Server) Zugriffsbeschränkungen durch geeignete Netzsegmente (u. B. für Interne, Ehrenämtler, Gäste). Beispiel: Für Ratsmitglieder ist ggf. kein LAN-Zugriff erforderlich und ein internetbasierter Zugang zum Ratsinformationssystem ausreichend.

13 IV: Nutzungsvereinbarungen: Verbot der Durchführung strafbarer Taten, des Abrufs und der unbefugten Bereitstellung urheberechtlich geschützter Inhalte Zugriff nur auf erforderliche Daten im erforderlichen Umfang gestattet keine Weitergabe von Zugangsdaten, Zertifikaten etc. Hinweis auf Filterung und ggf. Protokollierung bei privaten Geräten: Nutzung von Virenschutzsoftware, Installation von Sicherheitspatches

14 V: Internetzugang Probleme: keine Haftungsprivileg für die Verwaltung nach 8 TMG als Access-Provider bei interner Nutzung Haftungsprivileg für externe Nutzung strittig (Bundesregierung: ja, März 2013) Haftung bei Missbrauch durch Nutzer (Umfang und Details strittig) ggf. Unterlassungsansprüche (=>Abmahnkosten) Verwaltung: keine private Nutzung gestatten, da andernfalls zur Wahrung des Fernmeldegeheimnisses ( 88 Abs. 3 TKG) verpflichtet dann: Filterung und Protokollierung möglich

15 Filterung: problematische Inhalte mittels Firewall von der Übertragung ausnehmen technisch relativ einfach: URLs (ebay.*, youtube.*) technisch schwieriger: Inhalte ( Games, Entertainment ): Wer bestimmt das? organisatorisch schwierig: ggf. benötigen einzelne Mitarbeiterinnen und Mitarbeit Zugriff => Differenzierung erforderlich kein 100%-Schutz

16 Protokollierung im Bereich Verwaltung: zur technischen Sicherheit und Kontrolle eines Privatnutzungsverbots ist zur Leistungs- und Verhaltenskontrolle technisch geeignet => Mitbestimmungspflicht Hinweise zu Dienst-/Betriebsvereinbarungen: Protokollauswertung beschränken Eskalationsmodell (Statistik; personenbezogene Auswertung nur bei Häufung von fragwürdigen Aktivitäten) 4-Augen-Prinzip bei personenbezogener Auswertung (Personalvertretung, DSB) Protokollspeicherdauer beschränken (Festlegung erforderlich; keine Vorratsdatenspeicherung für alle Fälle ) Beispiel 59 er Vereinbarung des Landes: Speicherdauer 10 Tage

17 Protokollierung im Bereich Ehrenamt + Gäste: dürfte als Eingriff in das Fernmeldegeheimnis zu werten sein macht nur Sinn, wenn die Protokollereignisse auch den Nutzern zugeordnet werden können (=> Nutzerverwaltung wäre erforderlich) keine rechtliche Verpflichtung zur (vorbeugenden) Protokollierung ersichtlich

18

19 Was benötigen wir? Verschlüsselung des Netzverkehrs Nutzerauthentifizierung (RADIUS) Maschinenauthentifizierung (Zertifikate) Sicherheitscheck unbekannter Geräte Jugendmedienschutz Protokollierungsvarianten Zeitliche Zugriffsbegrenzung Malwareprüfung

20 Voraussetzungen Domänencontroller (mindestens MS Windows Server 2003) DNS- und DHCP-Server Zertifizierungsstelle (CA) RADIUS-Server Windows Server 2003: IAS (Internet Authentification Server) Windows Server 2008 (R2): (Network Policy Server) 802.1x-kompatiblen Wireless LAN Controller / Wireless Access Point VLAN fähige Switch Infrastruktur (PoE) Firewall / Webfilter / Virenscanner

21 Netzwerk VLAN-fähige Switche WLAN Controller / AP (WPA x) -> Authentifizierung über RADIUS

22 Webfilterung auf der Firewall

23 Protokollierung / Anonymisierung

24 Vielen Dank für Ihr Interesse DOKUMENTA AG Dirk Hoffmann 040 /