M 2.381 Festlegung einer Strategie für die WLAN-Nutzung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Bevor in einer Organisation WLANs eingesetzt werden, muss festgelegt sein, welche generelle Strategie die Organisation im Hinblick auf die WLAN-Nutzung einnimmt. Insbesondere ist hierfür zu klären, in welchen Organisationseinheiten, für welche Anwendungen und zu welchem Zweck WLANs eingesetzt und welche Informationen hierüber kommuniziert werden dürfen. Dabei sollte auch festgelegt werden, in welchen räumlichen Bereichen WLANs aufgebaut werden sollen (sinnvoll kann dies also beispielsweise in Umgebungen sein, in denen sich die Benutzer häufig innerhalb bestimmter Bereiche bewegen) und in welchen Bereichen auf keinen Fall WLANs vorhanden sein dürfen (bis hin zur aktiven Abschirmung).

WLAN-Komponenten können beispielsweise eingesetzt werden, um

Funknetze können mit oder ohne Kopplung an andere Netze aufgebaut werden, was ebenfalls die Gefährdungslage deutlich beeinflusst und damit auch die zu ergreifenden Sicherheitsmaßnahmen. Je nach geplantem Einsatzzweck und Einsatzumgebung können die erforderlichen Sicherheitsmaßnahmen erheblich differieren. Dies muss in jedem Fall bei der Formulierung der Sicherheitsrichtlinien und Regelungen für die WLAN-Nutzung berücksichtigt werden. Die Entscheidung sollte zusammen mit den Entscheidungsgründen dokumentiert werden.

Beim Aufbau eines drahtlosen Netzes ist ein erheblicher Planungsaufwand notwendig, um die für einen professionellen Einsatz erforderliche Stabilität, Übertragungsqualität und Sicherheit zu erreichen (siehe auch M 2.383 Auswahl eines geeigneten WLAN-Standards und M 5.140 Aufbau eines Distribution Systems).

Die IT-Verantwortlichen sowie das IT-Sicherheitsmanagement einer Institution sollten sich darüber im klaren sein, dass bei drahtlosen Kommunikationssystemen, insbesondere bei WLANs, viele technische Aspekte schnell weiterentwickelt und modifiziert werden. Dies bedeutet für die IT-Verantwortlichen und das IT-Sicherheitsmanagement zum einen, dass für einen sicheren Betrieb von WLANs generell ein höherer Aufwand notwendig ist und zum anderen, dass die IT-Sicherheitsmaßnahmen in kürzeren Abständen als bei anderen Systemen auf ihre Wirksamkeit getestet und an Veränderungen angepasst werden müssen.

Um drahtlose Netze und die damit verbundenen IT-Systeme sicher betreiben zu können, sind die folgenden Punkte wesentlich:

Nutzung von WLAN-Komponenten

Viele von Endbenutzern verwendete IT-Systeme wie Laptops oder PDAs enthalten WLAN-Funktionalitäten, die bei der Auslieferung meistens nicht deaktiviert sind. Es sollte sichergestellt sein, dass hierüber keine "wilde" WLAN-Nutzung erfolgt, sondern es muss klar geregelt sein, ob diese WLAN-Funktionalitäten genutzt werden dürfen, und wenn ja, unter welchen Rahmenbedingungen.

Ergänzende Kontrollfragen: