M 2.385 Geeignete Auswahl von WLAN-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Zur Auswahl von WLAN-Geräten ist zunächst zu hinterfragen, ob diese in die WLAN-Sicherheitsstrategie hineinpassen. WLAN-Komponenten gibt es in verschiedensten Varianten und Geräteklassen. Diese unterscheiden sich nicht nur in ihrem Leistungsumfang, sondern auch in den Sicherheitsmechanismen und im Bedienkomfort. Zudem stellen sie unterschiedliche Voraussetzungen an Hard- und Software-Komponenten im Einsatzumfeld.

Bei der Vielzahl verschiedener WLAN-Komponenten sind Kompatibilitäts-probleme naheliegend. Wichtige Kriterien für die Auswahl von WLAN-Komponenten sind daher Sicherheit und Kompatibilität.

Wenn beschlossen wurde, innerhalb einer Institution ein WLAN aufzubauen, sollte eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung sollten dann die zu beschaffenden Produkten ausgewählt werden. Die Praxis zeigt, dass es aufgrund verschiedener Einsatzanforderungen durchaus sinnvoll sein kann, mehrere Gerätetypen für die Beschaffung auszuwählen. Die Gerätevielfalt sollte aber zur Vereinfachung des Supports eingeschränkt werden. Ein wichtiges Kriterium bei der Beschaffung von WLAN-Komponenten ist die Kompatibilität zu bereits vorhandenen Geräten.

Bei der Beschaffung sollte auch Datendurchsatz und Reichweite hinterfragt werden. Mit externen Antennen kann bei WLAN-Komponenten zusätzlich die Reichweite verbessert werden. Allerdings ist hier sicherzustellen, dass durch die größere Reichweite ein WLAN nicht in Bereiche abstrahlt, in denen es nicht genutzt werden soll oder darf.

Bei der Beschaffung von Access Points sollte unter anderem überprüft werden,

Es sollte unbedingt getestet werden, ob die implementierten kryptographischen Verfahren nicht nur gleich benannt sind, wie bei anderen eingesetzten WLAN-Komponenten, sondern auch korrekt zusammenarbeiten.

Die korrekte Konfiguration der Access Points ist ein wesentlicher Sicherheitsaspekt. Bei einigen Access Points ist eine Konfiguration drahtlos direkt über das WLAN möglich, was von den Herstellern als komfortabel angepriesen wird. Dies birgt aber auch Sicherheitsprobleme, daher sollte darauf verzichtet werden, wenn eine solche Funktionalität aber vorhanden ist, sollte sie zumindest abschaltbar sein (und im Betrieb grundsätzlich abgeschaltet sein). Viele Access Points bieten zur bequemen Konfiguration auch die Möglichkeit, diese über eine serielle oder USB-Schnittstelle an eine Managementkonsole anzuschließen. Über HTTP oder Telnet können diese dann über das Intranet oder Internet administriert werden. Hierfür ist eine vernünftige Absicherung des Fernzugriffes notwendig, beispielsweise die Absicherung der Kommunikation über SSL oder SSH. Fernzugriffe über das Internet sollten generell kritisch hinterfragt werden.

Der Administrationszugriff auf WLAN-Komponenten sollte nur autorisierten Personen möglich sein. Daher sollte hinterfragt werden, wie dieser abgesichert ist. Wenn dies über Passwörter erfolgt, müssen diese möglichst komplex gewählt werden (siehe M 2.11 Regelung des Passwortgebrauchs). Besser ist es, für Administrationszugriffe starke Authentisierungsmethoden einzusetzen (siehe auch M 4.133 Geeignete Auswahl von Authentikationsmechanismen).

Die Umsetzung der erforderlichen Sicherheitsregeln an Access Points ist häufig sehr aufwändig. Dazu gehören neben dem Schlüsselmanagement vor allem die notwendigen Einstellungen von verschiedenen Parametern und Optionen. Für einige Access Points gibt es daher mittlerweile Lösungen, um diese innerhalb einer Institution über einen zentralen Server zu steuern. Leider sind dies bisher noch proprietäre Lösungen und werden nur von den WLAN-Komponenten des jeweiligen Herstellers unterstützt.

Da es vor allem bei Netzkoppelelementen aufwendig sein kann, bis der Netzverwalter die korrekte Konfiguration herausgefunden hat, sollte es möglich sein, diese zu speichern.

Die Online-Hilfe und Dokumentation von WLAN-Komponenten sollten sprachlich so formuliert sein, dass zukünftige Benutzer bzw. Administratoren die technischen Beschreibungen nachvollziehen können.

Zusammenwirken mit der zugehörigen Infrastruktur

Im Rahmen der Beschaffung sollten auch das korrekte Zusammenwirken aller WLAN-Komponenten mit der zugehörigen Infrastruktur geprüft werden. Hierzu zählen beispielsweise:

Bei der Beschaffung einer größeren WLAN-Installation sind vor der endgültigen Beschaffung entsprechende Teststellungen durchzuführen. Mit Hilfe eines Prüfkatalogs kann die Erfüllung der technischen Anforderungen evaluiert werden. Diese Prüfungen erleichtern eine spätere Durchführung der WLAN-Installation und deren Abnahme.

Ergänzende Kontrollfragen: