Daniel Fischer, Dirk Stelzer, Peter Steiert: Untersuchung des Einsatzes von WLAN- Sicherheitsmaßnahmen. In: Patrick Horster (Hrsg.): D.A.

Transkript

1 Daniel Fischer, Dirk Stelzer, Peter Steiert: Untersuchung des Einsatzes von WLAN- Sicherheitsmaßnahmen. In: Patrick Horster (Hrsg.): D.A.CH Security Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven. Klagenfurt 2006, S

2 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen Daniel Fischer 1 Dirk Stelzer 2 Peter Steiert 3 1,2 TU Ilmenau {daniel.fischer dirk.stelzer}@tu-ilmenau.de 3 NetSys.IT GbR psteiert@netsys-it.de Zusammenfassung Der Beitrag beschreibt die Durchführung und ausgewählte Ergebnisse einer empirischen Untersuchung zum Einsatz von Sicherheitsmaßnahmen für WLAN in deutschen Unternehmen und Behörden. Die Untersuchung wurde in Kooperation mit dem Wirtschaftsnetz Thüringen, dem Wirtschafts- und Innovationsportal Thüringen und dem TeleTrusT Deutschland e.v. durchgeführt. Die Untersuchung macht Aussagen über den Einsatz von WLAN-spezifischen Sicherheitsmaßnahmen, über die Gründe des eventuellen Nichteinsatzes sowie über vorhandene Zusammenhänge zwischen unternehmensspezifischen Merkmalen und dem Einsatz einzelner Sicherheitsmaßnahmen. 1 Einführung In den letzten Jahren hat der Einsatz mobiler Technologien sowohl in Unternehmen und Behörden als auch im Heimbereich stark zugenommen. 1 Eine zentrale Technologie in diesem Bereich sind funkbasierte Netze, so genannte Wireless Local Area Networks (WLAN). 2 Sie ermöglichen eine flexiblere Nutzung und Vernetzung von Endgeräten. Die erhöhte Mobilität und Flexibilität geht aber häufig mit einer mangelhaften Sicherheit der WLAN- Infrastrukturen einher. 100 % 80 % 60 % 40 % 20 % 0 % 35,5 38,4 35,4 34,1 64,5 61,6 64,6 65,9 London New York San Francisco Frankfurt Ungesicherte WLAN-Netze Gesicherte WLAN-Netze Abb. 1: Gesicherte und ungesicherte WLAN-Infrastrukturen in Großstädten [RSA05, S. 7] 1 Verschiedene Publikationen [BSI03a; BSI03b; Dete04; StLe04] berichten über ein kontinuierliches Marktwachstum bei mobilen Kommunikationsgeräten sowie öffentlich eingerichteten Zugriffspunkten. 2 In dieser Arbeit betrachten wir ausschließlich Funknetze der weit verbreiteten IEEE Protokollfamilie. P. Horster (Hrsg.) D-A-CH Security 2006 syssec (2006)

3 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 2 Eine aktuelle Studie von RSA-Security belegt beispielsweise, dass etwa 35% aller WLAN- Infrastrukturen von Unternehmen in den Großstädten London, New York, San Francisco und Frankfurt ohne Einsatz von Sicherheitsmaßnahmen betrieben werden und demzufolge völlig ungeschützt sind [RSA05]. Auch andere Untersuchungen kommen zu vergleichbaren und oftmals zu noch schlechteren Ergebnissen [BüGö03; Delb03; RSA04; RSA05]. Als Ursachen werden verschiedene Gründe genannt. Dazu zählen insbesondere die fehlende Berücksichtigung von WLANs im Sicherheitsmanagement, die Unkenntnis von Anwendern bzw. Betreibern über potentielle Bedrohungen und Sicherheitsmaßnahmen, der zu sorglose Umgang mit der WLAN-Technologie, aber auch die geringe Berücksichtigung von Sicherheitsaspekten bei der Entwicklung der WLAN-Standards. Obwohl es eine Vielzahl von Sicherheitsmaßnahmen für WLAN-Infrastrukturen gibt, werden diese offenbar häufig nicht bzw. nur unangemessen eingesetzt. Bisherige Untersuchungen, welche den Einsatz von WLAN-spezifischen Sicherheitsmaßnahmen analysieren, beschränken sich meist auf wenige ausgewählte [BüGö03; Delb03; RSA05]. Im Folgenden werden einige Ergebnisse einer empirischen Untersuchung zum Einsatz von Sicherheitsmaßnahmen für WLAN in deutschen Unternehmen und Behörden beschrieben. Dabei gehen wir vor allem auf folgende Fragen ein: Wie häufig kommen welche Sicherheitsmaßnahmen zum Schutz der WLAN- Infrastrukturen zum Einsatz? Warum werden einige Sicherheitsmaßnahmen eingesetzt, andere hingegen nicht? Gibt es Zusammenhänge zwischen unternehmensspezifischen Merkmalen und der Verwendung einzelner Sicherheitsmaßnahmen? 2 WLAN-spezifische Sicherheitsmaßnahmen Grundlage für die empirische Untersuchung ist ein von den Autoren entwickelter Katalog von Sicherheitsmaßnahmen zum Schutz von WLAN-Infrastrukturen. Unter einer Sicherheitsmaßnahme wird jede mögliche Maßnahme verstanden, die zur Erhöhung der Sicherheit in einem System - hier: in einer WLAN-Infrastruktur - führen kann [Stel93, S. 40]. Es gibt eine Vielzahl von Klassifikationen 3 für Sicherheitsmaßnahmen. Neben eher allgemeinen Klassifikationen für Sicherheitsmaßnahmen, wie z. B. im IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 4, dem Ebenenmodell der Sicherheit der Informationsverarbeitung von Stelzer 5 oder der Recommendation X.800 der International Telecommunication Union (ITU) 6, existieren auch Klassifikationen für WLAN-spezifische Sicherheitsmaßnahmen. So strukturiert beispielsweise das BSI in einer ersten Informationsschrift zu 3 Klassifikationen sind Ordnungsvorhaben mit dem Ziel, Untersuchungsgegenstände mit gleichen Merkmalen durch Bildung von Klassen übersichtlich zu gruppieren [DIN32705, S. 7 ff.]. Durch die gebildeten Klassen kann die Analyse von Zusammenhängen auf typische Vertreter einer Klasse beschränkt werden. 4 Das IT-Grundschutzhandbuch des BSI unterscheidet für die Bereiche Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge [BSI04, S. 13]. 5 Im Ebenenmodell der Sicherheit der Informationsverarbeitung unterscheidet Stelzer in Anlehnung an [Mart73] physische, logische, organisatorisch-soziale sowie rechtlich-wirtschaftliche [Stel93, S. 26 ff.]. 6 In Bezug auf das OSI-Referenzmodell erfolgt in der Recommendation X.800 International Telecommunication Union (ITU) eine Unterscheidung der Sicherheitsmaßnahmen in für die gegenseitige Authentifizierung, für die Zugriffskontrolle, für die Vertraulichkeit der Daten, für die Datenintegrität und für die Datenannahme (Non-Repudiation) [ITU91].

4 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 3 WLAN-Infrastrukturen Sicherheitsmaßnahmen in die Klassen Konfiguration und Administration der Funkkomponenten, zusätzliche technische und organisatorische [BSI03b]. Martin verwendet für seine Klassifikation im WLAN-Umfeld neben der Unterscheidung von organisatorischen und technischen Sicherheitsmaßnahmen zusätzlich das Merkmal der Umsetzungshäufigkeit und differenziert weiter in einmalige und wiederkehrende [Mart04, S. 2, 6]. Darüber hinaus gibt es weitere Klassifikationsansätze und Auflistungen, insbesondere ist hier die Technische Richtlinie sicheres WLAN des BSI [BSI05] zu nennen. Es fällt auf, dass in den meisten Klassifikationen organisatorische und technische Sicherheitsmaßnahmen unterschieden werden. Außerdem werden häufig Einsatzzeitpunkt und -häufigkeit zur Klassenbildung verwendet. Wir ordnen die Sicherheitsmaßnahmen mit Hilfe folgender Klassen: Organisatorische vor der Inbetriebnahme Organisatorische während des Betriebs Hardware-technische Software-technische Für die Zusammenstellung relevanter Sicherheitsmaßnahmen für WLAN haben wir folgende Quellen verwendet: Informationen des BSI zur WLAN-Sicherheit [BSI03a], Sicherheitsspezifikationen der Standardfamilie IEEE für WLANs [IEEE05], die Standards ISO/IEC 17799:2005 [ISO05a] und ISO/IEC 27001:2005 [ISO05b] sowie weitere Dokumentationen, Rahmenwerke und Publikationen, wie z. B. [FMS01], [Kopp04]. Unser katalog umfasst ca. 50 Sicherheitsmaßnahmen. Die Auswahl beruht im Wesentlichen auf persönlichen Einschätzungen und Expertendiskussionen, welche wir vor und während der Zusammenstellung durchgeführt haben. Tab. 1 zeigt einen kurzen Ausschnitt des Kataloges 7. Tab. 1: Auszug aus dem Katalog der WLAN-spezifischen Sicherheitsmaßnahmen ID Klasse Maßnahme/Beschreibung Organisatorische vor der Inbetriebnahme Sicherheitskonzept für WLAN-Infrastruktur erstellen 2 Anforderungen an Sicherheitsziele festlegen Inbetriebnahme (Rollout) planen 5 Einsatzorte exakt festlegen und abgrenzen Organisatorische während des Betriebs 16 Einhaltung der Datenschutzbestimmungen überprüfen 17 Regelmäßige Kontrolle und Überwachung des WLAN durch Netzwerkscans und Auswertung von Logdateien Hardware-technische 23 WLAN-Systemkomponenten und -Services nur bei Gebrauch einschalten bzw. zeitgesteuerten Zugriff aktivieren Software-technische Konfiguration und Administration der Endgeräte 26 Werkseitige Grundeinstellungen an WLAN-Komponenten ändern 7 Der komplette katalog steht zum Download unter [Wlan05a] zur Verfügung.

5 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 4 3 Empirische Untersuchung und ausgewählte Ergebnisse 3.1 Vorbereitung und Durchführung Das Ziel der empirischen Untersuchung besteht darin, die zu Beginn dieses Beitrags genannten Fragen zu beantworten. Darüber hinaus haben wir weitere Hypothesen zum Einsatz von WLAN-spezifischen Sicherheitsmaßnahmen formuliert: Einsatz von Sicherheitsmaßnahmen in WLAN-Infrastrukturen 1. Die Befragungsteilnehmer setzen mehr technische als organisatorische Sicherheitsmaßnahmen ein. Gründe für den Einsatz / Nichteinsatz von Sicherheitsmaßnahmen 2. Über ein Drittel der Sicherungsmaßnahmen sind den Befragungsteilnehmern nicht bekannt. 3. Obwohl die Befragungsteilnehmer viele Sicherungsmaßnahmen kennen, setzen sie über 20 Prozent der ihnen bekannten nicht ein. 4. Wenn bekannte Sicherungsmaßnahmen nicht eingesetzt werden, ist der am häufigsten genannte Grund dafür ein zu hoher Implementierungs- oder Betriebsaufwand. Zusammenhänge zwischen unternehmensspezifischen Merkmalen und Sicherheitsmaßnahmen 5. Die Größe eines Unternehmens bzw. einer Behörde hat Einfluss auf den Einsatz von Sicherheitsmaßnahmen. 6. Befragungsteilnehmer, die ein WLAN bereits seit mehr als einem Jahr betreiben, setzen mehr Sicherheitsmaßnahmen ein als Befragungsteilnehmer, die ihr WLAN erst seit weniger als einem Jahr betreiben. 7. Setzen Befragungsteilnehmer WLANs in sicherheitskritischen Bereichen, wie Geschäftsführung, Entwicklung, Personal- oder Finanzbereich ein, sind mehr Sicherheitsmaßnahmen realisiert als bei Befragungsteilnehmern, die WLANs nicht in diesen Bereichen einsetzen. Zur Beantwortung der Fragen sowie zur Bestätigung oder Widerlegung der Hypothesen können verschiedene Untersuchungsformen angewendet werden. Eine der am häufigsten angewendeten Erhebungsmethoden bei empirischen Untersuchungen ist die Befragung [ScHE99, S. 299]. Sie kann als mündliche Befragung, schriftliche Befragung, Telefoninterview aber auch als Online-Befragung durchgeführt werden. Um den zeitlichen und finanziellen Aufwand für die Datenerhebung und -auswertung möglichst gering zu halten, haben wir uns für eine Internet-basierte Befragung (Online-Befragung) entschieden. Im Vergleich zu den anderen Befragungsarten, können hier Daten von einer großen Teilnehmerzahl relativ zeitnah und mit überschaubarem Aufwand aufgenommen werden. Des Weiteren wird die Auswertung der Befragungsdaten erleichtert und beschleunigt, da die erfassten Daten direkt nach der Durchführung elektronisch zur Verfügung stehen.

6 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 5 Für die Online-Befragung haben wir einen Fragebogen 8 entwickelt [Krom02, S. 346]. Dieser besteht aus 33 Fragen und gliedert sich in drei Teile. Im ersten Teil werden allgemeine Informationen zu den teilnehmenden Unternehmen und Behörden sowie grundlegende Aussagen zur Bedeutung und organisatorischen Verankerung ihres IT-Sicherheitsmanagements ermittelt. Der zweite Teil enthält Fragen zu den WLAN-Infrastrukturen der Befragungsteilnehmer. Der letzte und umfangreichste Teil enthält die Fragen zu den Sicherheitsmaßnahmen. Er basiert auf dem Katalog der WLAN-spezifischen Sicherheitsmaßnahmen. Tab. 2 zeigt einen kurzen Auszug aus diesem letzten Fragebogenteil. Tab. 2: Auszug aus dem Fragebogenteil über die Sicherheitsmaßnahmen Maßnahme Welche der sind Ihnen bekannt? Welche der wurden bereits durchgeführt? Grund des Nichteinsatzes... 1:zu aufwendig 2:nicht zutreffend 3:keine Erhöhung d. Sicherheit Keine Angabe Werkseitige Grundeinstellungen an WLAN-Komponenten ändern (Passwort, WEP-Schlüssel) Ad-hoc-Vernetzung deaktivieren Für jede Sicherheitsmaßnahme wurde erfragt, ob sie dem Befragungsteilnehmer bekannt ist und ob sie im Unternehmen bzw. der Behörde eingesetzt wird. Für den Fall, dass die Sicherheitsmaßnahme bekannt ist, aber nicht eingesetzt wird, wurde nach den Gründen dafür gefragt. Zur Entwicklung des Fragebogens sowie zur Durchführung der Online-Befragung haben wir das Internet-basierte Werkzeug equestionnaire 9 verwendet. Den Befragungsteilnehmern wurde außerdem angeboten, eine Offline-Version des Fragebogens auszufüllen. Die Befragung wurde in Kooperation mit dem Wirtschaftsnetz Thüringen (WNT) 10, dem Wirtschafts- und Innovationsportal Thüringen (WIP) 11 und dem TeleTrusT Deutschland e.v. 12 durchgeführt. Nach verschiedenen Pretests des Fragebogens in Zusammenarbeit mit Experten unserer Kooperationspartner fand die Untersuchung im Zeitraum von November 2005 bis Januar 2006 statt. Zur Grundgesamtheit zählen wir alle Unternehmen und Behörden in Deutschland, die WLAN-Infrastrukturen einsetzen. Gesicherte Erkenntnisse über die Anzahl dieser Unternehmen und Behörden liegen uns nicht vor. Aus diesem Grund wählten wir eine Stichprobe aus, die einerseits eine relativ hohe Anzahl von WLAN-Installationen erwarten lies und andererseits auch Interesse für Sicherheitsproblematiken in diesem Umfeld hat. Wir konzentrierten uns bei der Auswahl potentieller Teilnehmer auf die Mitglieder unserer Partner WIP 13 und TeleTrusT 14. Insgesamt versendeten wir per an Unternehmen und Behörden Einladungen zur Teilnahme an der Befragung. 8 Der Fragebogen steht zum Download unter [Wlan05b] zur Verfügung. 9 Weitere Informationen zu diesem Werkzeug findet man unter 10 Weitere Informationen unter 11 Weitere Informationen unter 12 Weitere Informationen unter 13 Die Mitglieder des WIP sind Unternehmen und Behörden, die in Thüringen tätig sind. 14 Die Mitglieder des TeleTrusT e.v. sind Unternehmen und Behörden aus ganz Deutschland, die gemeinsam die Vertrauenswürdigkeit von Informations- und Kommunikationstechnik fördern.

7 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen Auswertung 277 der insgesamt angeschriebenen Unternehmen und Behörden nahmen bis zum an unserer Befragung teil (n A =277). Dies ergibt eine Rücklaufquote von 24%. 93% der Befragungsteilnehmer sind Unternehmen, 4% Behörden. 15. Die Unternehmen verteilen sich auf die Branchen Dienstleistungen (43%), Industrie (36%), Information und Kommunikation (12%), Handel (1%), Verkehr (1%) und Tourismus (1%). Aufgrund der Stichprobenauswahl kommen 84% der Befragungsteilnehmer aus Thüringen, 3% aus Nordrhein- Westfalen und je 2% aus Baden-Württemberg, Bayern und Berlin. Die restlichen 7% verteilen sich auf die Bundesländer Bremen, Hessen, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt, Sachsen und Schleswig-Holstein. Bezüglich der Größe der Unternehmen und Behörden ist festzustellen, dass 41% Kleinstinstitutionen (<10 Mitarbeiter), 30% kleine Institutionen (10-50 Mitarbeiter), 17% mittlere Institutionen ( Mitarbeiter) und 10% große Institutionen (>250 Mitarbeiter) sind. Die Frage nach dem Jahr der Gründung ergab, dass 65% der teilnehmenden Unternehmen und Behörden im Zeitraum zwischen 1990 und 1999 gegründet wurden. Weitere 18% der Institutionen existieren erst seit dem Jahr 2000 oder sind noch jünger. Mehr als die Hälfte der Fragebögen (55%) wurden von der Geschäftsführung ausgefüllt. Neben einem Anteil von 18% IT-Fachleuten füllten auch Mitarbeiter aus nicht IT-spezifischen Fachbereichen (21%) den Fragebogen aus. 73 der 277 Befragungsteilnehmer (26%) gaben an, dass sie eine WLAN-Infrastruktur betreiben. Interessant ist der deutliche Anstieg der WLAN-Nutzung in den vergangenen Jahren. Des Weiteren planen weitere 5% der Befragungsteilnehmer den Betrieb von WLAN- Infrastrukturen in der nahen Zukunft. Anzahl der WLAN-Nutzer in Prozent (n A =277) 35% 30% 25% 20% 15% 10% 5% 0% 1% 3% 3% 6% 12% 20% 26% Jahre Werden WLAN-Infrastrukturen im Unternehmen / in der Behörde eingesetzt? (n A =277) 69% 26% 5% ja nein, aber ist in Planung nein Abb. 2: Verbreitung von WLAN-Infrastrukturen Von den Befragungsteilnehmern, die WLAN-Infrastrukturen betreiben, füllten 36 die Fragen zu den WLAN-spezifischen Sicherheitsmaßnahmen aus. Die folgende Auswertung bezieht sich auf diese komplett ausgefüllten Fragebögen (n B =36). Diese kleinere Gruppe ist im Hinblick auf die Verhältnisse zwischen Unternehmen und Behörden sowie den Angaben zu den Größen und dem Alter der Institutionen mit der Gruppe aller Befragungsteilnehmer (n A =277) vergleichbar. Unterschiede gibt es in Bezug auf die Branchenverteilung (45% Dienstleistungen, 22% Information und Kommunikation, 19% Industrie, 3% Tourismus), die geografische Verteilung (75% Thüringen, 10% Nordrhein-Westfalen, 3% Baden-Württemberg, 3% Bayern, 15 Die Befragungsteilnehmer konnten auch Antworten offen lassen. Aus diesem Grund ergeben die Summierungen oft nicht 100%.

8 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 7 3% Berlin, 3% Rheinland-Pfalz, 3% Niedersachsen) und die Tätigkeiten/Positionen der Befragungsteilnehmer (35% Geschäftsführung, 42% IT-Fachpersonal, 17% Nicht-IT-Personal). Einsatz von Sicherheitsmaßnahmen in WLAN-Infrastrukturen Zur Beantwortung der Frage nach der Häufigkeit des Einsatzes von Sicherheitsmaßnahmen zeigt Tab. 3 die zehn am häufigsten eingesetzten. Darüber hinaus ergab die Auswertung aller eingesetzten Sicherheitsmaßnahmen, dass mehr organisatorische (53%) als technische (36%) eingesetzt werden. Damit ist Hypothese 1 widerlegt. Zwar sind die beiden in Tab. 3 am häufigsten genannten Sicherheitsmaßnahmen software-technische, jedoch finden sich unter den TOP-10 bereits insgesamt mehr organisatorische als technische Sicherheitsmaßnahmen. Tab. 3: TOP-10-Liste der eingesetzten Sicherheitsmaßnahmen ID Maßnahme/Beschreibung Klasse 26 Werkseitige Grundeinstellungen an WLAN- Komponenten ändern Software-techn. Maßnahme 28 Eigenen Netzwerkname vergeben (kryptische SSID) Software-techn. Maßnahme 6 Umgebungsfaktoren beachten (Störquellen, bauliche Org. Maßnahme Gegebenheiten) vor Inbetriebnahme 13 Administration der Access Points nicht über Org. Maßnahme WLAN-Schnittstelle vollziehen vor Inbetriebnahme 14 Zugangspasswörter von WLAN und LAN unabhängig Org. Maßnahme voneinander festlegen vor Inbetriebnahme 1 Notwendigkeit, Ziele und Anwendungszweck der Org. Maßnahme WLAN-Infrastruktur begründen vor Inbetriebnahme 22 Geeignete WLAN-Technik (Signaltechnik OFDM/ Hardware-techn. DSSS) und Standard (IEEE g, etc.) wählen Maßnahme 18 Physischer Zugriff zu Access Points nur autorisiertem Org. Maßnahme Personal ermöglichen während des Betriebs 44 Installation einer Personal Firewall auf den mobilen Software-techn. Endgeräten Maßnahme 2 Anforderungen an Sicherheitsziele festlegen Org. Maßnahme vor Inbetriebnahme Gründe für den Einsatz / Nichteinsatz von Sicherheitsmaßnahmen Häufigkeit des Einsatzes in % (n B =36) 83 % Viele der im Fragebogen genannten Sicherheitsmaßnahmen sind den Befragungsteilnehmern unbekannt. Unsere Auswertung ergab, dass die Befragungsteilnehmer im Durchschnitt nur 56% der im Fragebogen genannten Sicherheitsmaßnahmen kennen. Damit ist Hypothese 2 bestätigt. Im Vergleich der vier Klassen von Sicherheitsmaßnahmen haben die Befragungsteilnehmer insbesondere bei Hard- und Software-technischen Sicherheitsmaßnahmen (58% und 52%) große Wissensdefizite. 69 % 69 % 67 % 67 % 67 % 64 % 61 % 58 % 58 %

9 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 8 Org. vor der Inbetriebnahme 58% 54% Org. während des Betriebs Hardware-technische 24% 53% 58% 64% bekannt eingesetzt Software-technische 38% 52% 0% 10% 20% 30% 40% 50% 60% 70% Bekannte / eingesetzte Sicherheitsmaßnahmen in Prozent (n B =36) Abb. 3: Bekannte vs. eingesetzte Sicherheitsmaßnahmen Obwohl die Befragungsteilnehmer 56% der im Fragebogen genannten Sicherungsmaßnahmen kennen, setzen sie im Durchschnitt nur 78% der ihnen bekannten ein. 22% der Sicherheitsmaßnahmen bleiben ungenutzt. Dies bestätigt Hypothese 3. Besonders starke Unterschiede zwischen den bekannten und den tatsächlich eingesetzten Sicherheitsmaßnahmen sind bei den Hard- und Software-technischen festzustellen. Es muss also außer der Unkenntnis von weitere Gründe dafür geben, dass diese nicht eingesetzt werden. Aus diesem Grund fragten wir nach einer Begründung, sobald ein Befragungsteilnehmer eine ihm bekannte Sicherheitsmaßnahme nicht einsetzt. Mit 23% der Antworten wurde von den Befragungsteilnehmern am häufigsten angegeben, dass sie auf die jeweilige Sicherheitsmaßnahme verzichten, weil diese in ihren WLAN-Infrastrukturen nicht einsetzbar und damit für sie nicht relevant ist. Wiederum 10% begründeten den Nichteinsatz mit einem zu hohen Implementierungs- oder Betriebsaufwand. In weiteren 8% der Begründungen wurde angeben, dass man der Sicherheitsmaßnahme keine Erhöhung der Sicherheit zutraut. Damit ist Hypothese 4, die als häufigsten Grund den zu hohen Implementierungsoder Betriebsaufwand unterstellt, nicht pauschal für alle Sicherheitsmaßnahmen zu bestätigen. In einem weiteren Schritt analysierten wir die Begründungen für einzelne Sicherheitsmaßnahmen. Hierbei lässt sich feststellen, dass es durchaus Sicherheitsmaßnahmen gibt, für welche die Hypothese 4 vollständig zutrifft: 33% 28% 11% zu aufwendig Regelmäßige Kontrolle und Wartung der clientseitigen Einstellungen 29% 12% 6% nicht relevant 28% 17% 11% keine Erhöhung der Sicherheit andere Gründe WLAN-Tapete zur Abschirmung nutzen 25% 14% 14% 0% 10% 20% 30% 40% 50% 60% 70% 80% Bekannte / eingesetzte Sicherheitsmaßnahmen in Prozent (n B =36) Abb. 4: Hoher Implementierungs- oder Betriebsaufwand als häufigster Grund für den Nichteinsatz von Sicherheitsmaßnahmen

10 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 9 Zusammenhänge zwischen unternehmensspezifischen Merkmalen und Sicherheitsmaßnahmen Wir haben mögliche Zusammenhänge zwischen der Größe einer Institution und dem Einsatz von Sicherheitsmaßnahmen untersucht. Großen Unternehmen und Behörden wird häufig ein höheres IT-Know-how unterstellt. Demzufolge erwarteten wir, dass kleineren Unternehmen und Behörden eher weniger Sicherheitsmaßnahmen bekannt sind und sie Sicherheitsmaßnahmen auch weniger häufig einsetzen. Abb. 5 zeigt, dass dieser Zusammenhang nicht bestätigt werden kann. Die Wissenstände in kleineren und größeren Institutionen weisen nur geringfügige Unterschiede auf. Zwar kennen Befragungsteilnehmer in größeren Unternehmen und Behörden etwas mehr Sicherheitsmaßnahmen, doch setzen sie im Vergleich zu kleineren Unternehmen und Behörden weniger Sicherheitsmaßnahmen ein. Große Institutionen (> 250 Mitarbeiter) 41% 58% Mittlere Institutionen ( Mitarbeiter) 36% 63% bekannt eingesetzt Kleine Institutionen (10-50 Mitarbeiter) 47% 44% Kleinstinstitutionen (<10 Mitarbeiter) 49% 56% 0% 10% 20% 30% 40% 50% 60% 70% Bekannte / eingesetzte Sicherheitsmaßnahmen in Prozent (n B =36) Abb. 5: Bekannte und eingesetzte Sicherheitsmaßnahmen in Abhängigkeit von der Größe der Unternehmen und Behörden Bei der Analyse des Einsatzes einzelner Sicherheitsmaßnahmen konnten wir jedoch signifikante Abhängigkeiten von der Größe der Institution ermitteln und damit Hypothese 5 bestätigen. Abb. 6 zeigt vier Beispiele für derartige Sicherheitsmaßnahmen. Überlappungsfreie Kanalbelegung 40% 57% Große Institutionen (> 250 Mitarbeiter) Zugangspasswörter von WLAN und LAN unabhängig voneinander festlegen 43% 80% Mittlere Institutionen ( Mitarbeiter) Eigenen Netzwerknamen vergeben Werkseitige Grundeinstellungen an WLAN- Komponenten ändern 43% 71% 87% 93% Kleine Institutionen (10-50 Mitarbeiter) Kleinstinstitutionen (<10 Mitarbeiter) 0% 20% 40% 60% 80% 100% Einsatzhäufigkeit der Sicherheitsmaßnahmen in Prozent (n B =36) Abb. 6: Beispielhafte Sicherheitsmaßnahmen, deren Einsatz stark mit der Größe der Unternehmen und Behörden variiert

11 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 10 Hypothese 6 unterstellt, dass in WLAN-Infrastrukturen, die seit mehr als einem Jahr betrieben werden, mehr Sicherheitsmaßnahmen als in neueren WLAN-Infrastrukturen eingesetzt werden. Hierbei wird angenommen, dass bei einem längeren Einsatz mehr Erfahrungen mit den WLAN-Infrastrukturen und Sicherheitsmaßnahmen gewonnen werden. In Abb. 7 ist erkennbar, dass dieser Zusammenhang nicht nachweisbar ist. Mit 52% der im Fragebogen genannten Sicherheitsmaßnahmen setzen die Befragungsteilnehmer mit über zwei Jahren Erfahrung sehr viele ein. Auf den gleichen Wert kommen allerdings auch die Befragungsteilnehmer, die ihre WLAN-Infrastrukturen seit einem Jahr betreiben. Unternehmen und Behörden, welche den WLAN-Betrieb erst vor weniger als einem Jahr aufgenommen haben, führen noch 43% der durch. Damit ist Hypothese 6 widerlegt. WLAN-Betrieb < 1 Jahr WLAN-Betrieb 1 Jahr Ø 43% Ø 52% Ø über alle Org. vor der Inbetriebnahme Org. während des Betriebs WLAN-Betrieb 2 Jahre WLAN-Betrieb > 2 Jahre Ø 27% Ø 52% Hardware-techn. Software-techn. 0% 10% 20% 30% 40% 50% 60% 70% 80% Eingesetzte Sicherheitsmaßnahmen in Prozent (n B =36) Abb. 7: Eingesetzte Sicherheitsmaßnahmen und Dauer des WLAN-Betriebs Hypothese 7 besagt, dass in WLAN-Infrastrukturen in sicherheitskritischen Bereichen meist mehr Sicherheitsmaßnahmen eingesetzt werden als in WLAN-Infrastrukturen, die als weniger sicherheitskritisch eingeschätzt werden. Zu den sicherheitskritischen Bereichen eines Unternehmens oder einer Behörde zählen wir die Geschäftsführung, die Entwicklung sowie den Personal- und Finanzbereich. Dort werden im Vergleich zu anderen Bereichen, wie Beschaffung, Marketing/Vertrieb, Produktion, Kundenservice oder IT, in der Regel wesentlich sensiblere Daten zu schützen sein. Aus diesem Grund sollten WLAN-Infrastrukturen in den sicherheitskritischeren Bereichen durch den intensiveren Einsatz von Sicherheitsmaßnahmen geschützt sein. WLAN-Infrastrukturen in sicherheitskritischen Bereichen WLAN-Infrastrukturen in weniger sicherheitskritischen Bereichen Ø 42% Ø 45% 0% 10% 20% 30% 40% 50% 60% 70% Eingesetzte Sicherheitsmaßnahmen in Prozent (n B =36) Ø über alle Org. vor der Inbetriebnahme Org. während des Betriebs Hardware-techn. Software-techn. Abb. 8: Eingesetzte Sicherheitsmaßnahmen in Abhängigkeit von Unternehmensbereichen

12 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 11 Abb. 8 zeigt, dass zwischen den beiden unterschiedenen Bereichen hinsichtlich der eingesetzten Sicherheitsmaßnahmen kaum nennenswerte Unterscheidungen zu ermitteln sind. Einzig bei den Hardware-technischen Sicherheitsmaßnahmen liegt eine größere Differenz vor. Allerdings gaben hier die Befragungsteilnehmer an, dass sie in den weniger sicherheitskritischen Bereichen mehr Hardware-technische Sicherheitsmaßnahmen einsetzen. Dies widerlegt Hypothese 7. 4 Zusammenfassung und Ausblick Der Beitrag beschreibt die Durchführung sowie ausgewählte Ergebnisse einer empirischen Untersuchung zum Einsatz von Sicherheitsmaßnahmen für WLAN-Infrastrukturen in deutschen Unternehmen und Behörden. Ausgangspunkt für die empirische Untersuchung ist ein von uns entwickelter Katalog WLAN-spezifischer Sicherheitsmaßnahmen, der in einen Fragebogen für eine Online-Befragung überführt wurde. Die Internet-basierte Befragung wurde von November 2005 bis Januar 2006 durchgeführt. An der Untersuchung nahmen 277 Unternehmen und Behörden teil. Davon beantworteten 36 Befragungsteilnehmer den Fragebogen vollständig. Die Auswertung ergab unter anderem folgende Ergebnisse: Die Befragungsteilnehmer setzen mehr organisatorische (53%) als technische Sicherheitsmaßnahmen (36%) ein. 44% der im Fragebogen genannten Sicherheitsmaßnahmen sind den Befragungsteilnehmern nicht bekannt. Im Durchschnitt setzen die Befragungsteilnehmer nur 78% der ihnen bekannten Sicherheitsmaßnahmen ein, 22% bleiben ungenutzt. In punkto Kenntnisstand über und Einsatz von Sicherheitsmaßnahmen stehen kleinere Unternehmen und Behörden den größeren in nichts nach. Befragungsteilnehmer, die längere Erfahrung mit WLAN-Infrastrukturen haben, setzen im Vergleich zu Befragungsteilnehmern mit weniger Erfahrung nicht mehr Sicherheitsmaßnahmen ein. WLANs in sicherheitskritischen Bereichen sind nicht durch mehr Sicherheitsmaßnahmen geschützt als WLANs in weniger kritischen Bereichen. Angesichts der von uns gewählten Stichprobe (starker Fokus auf Thüringer Unternehmen, keine zufällige Auswahl der Teilnehmer) sowie der geringen Anzahl komplett ausgefüllter Fragebögen hat die Untersuchung lediglich explorativen Charakter. Allgemeingültige Aussagen lassen sich nicht ableiten. Dennoch schätzen wir die von uns ermittelten Ergebnisse als erste konkrete Hinweise über die Einsatzhäufigkeit, den Bekanntheitsgrad sowie die Zusammenhänge zwischen unternehmensspezifischen Merkmalen und einzelnen Sicherheitsmaßnahmen ein. Wir planen, unsere Untersuchung mit einer größeren Stichprobe mit zufällig ausgewählten Unternehmen und Behörden zu wiederholen. Denkbar ist auch eine regelmäßige Wiederholung der Untersuchung. Dies würde es uns erlauben, Veränderungen bei der Sicherung von WLANs im Zeitablauf sowie beim Einsatz von einzelnen Sicherheitsmaßnahmen zu analysieren.

13 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 12 Literatur [BSI03a] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Kommunikationsund Informationstechnik : Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit. netze_kommunikation.pdf (Mai 2003) Abruf: [BSI03b] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Sicherheit im Funk-LAN. (2003) Abruf: [BSI04] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT- Grundschutzhandbuch: Handbuch für die sichere Anwendung der Informationstechnik. 6. Auflage, Bundesanzeiger (2004). [BSI05] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Technische Richtlinie sicheres WLAN. SecuMedia Verlag (2005). [BüGö03] H.-G. Büttner, Dirk Gödde: Wireless LAN Studie zur Sicherheit von drahtlosen Netzwerken in deutschen Firmen. Ernst & Young IT-Security GmbH (Hrsg.). WLAN.pdf (2003) Abruf: [Delb03] D. Delbrouck: Rund 60 Prozent der Münchener WLANs sind unsicher. (2003) Abruf: [Dete04] Detecon International GmbH (Hrsg.): Key Notes. Security in mobilen Netzen. VydGhlbmJhY2gucGRm (März 2004) Abruf: [DIN32705] Deutsches Institut für Normung (Hrsg.): Klassifikationssysteme: Erstellung und Weiterentwicklung von Klassifikationssystemen. DIN (1987). [IEEE05] Institute of Electrical and Electronics Engineers: Wireless LANs Standards (802.11) Documentation Homepage. man.html#wirelesslans (2005) Abruf: [ISO05a] International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005: Information technology, Security techniques, Code of practice for information security management. Detail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (2005) Abruf: [ISO05b] International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005: Information technology, Security techniques, Information security management systems Requirements. guedetail?csnumber=42103&ics1=35&ics2=40&ics3= (2005) Abruf: [ITU91] International Telecommunication Union: X.800, Security Architecture for Open Systems Interconnection for CCITT Applications (1991).

14 Untersuchung des Einsatzes von WLAN-Sicherheitsmaßnahmen 13 [Kopp04] H. Kopp: Leitfaden - Einsatz von WLAN in Unternehmen. Eine Praxishilfe für kleine und mittlere Unternehmen (KMU). Electronic Commerce Center Mecklenburg-Vorpommern. OM_wlan2004.pdf (2004) Abruf: [Krom02] H. Kromrey: Empirische Sozialforschung: Modelle und Methoden der standardisierten Datenerhebung und Datenauswertung. 10. Auflage, Leske & Budrich (2002). [Mart73] J. Martin: Security, Accuracy and Privacy in Computer Systems. Prentice-Hall (1973). [Mart04] B. Martin: Checkliste WLAN. Stabsstelle IKT des Bundes, Bundeskanzleramt Österreich (Hrsg.). N_v10.pdf (2004) Abruf: [RSA04] RSA-Security Inc. (Hrsg.): The Wireless Security Survey of Frankfurt. pdf (Mai 2004) Abruf: [RSA05] RSA-Security Inc. (Hrsg.): The Wireless Security Survey of Frankfurt. pdf (März 2005) Abruf: [Saut04] F. Sautner: IT-Security-Studie InformationWeek (Hrsg.). (2004) Abruf: [ScHE99] R. Schnell, P. B. Hill, E. Esser: Methoden der empirischen Sozialforschung. 6. Auflage, Oldenburg (1999). [Stel93] D. Stelzer: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes Beratungssystem für die Risikoanalyse. Dt. Universitätsverlag (1993). [StLe04] G. Stanossek, J. Lenz-Hawliczek: WLAN-Studie Berlin. de/senwiarbfrau/projektzukunft/mat/studien/studie_wlan_2004.pdf, (Juli/August 2004) Abruf: [Wlan05a] WLAN-SEC: Fragebogen. (2005) Abruf: [Wlan05b] WLAN-SEC: katalog. (2005) Abruf: