Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement, Administrator

Für den Einsatz von WLAN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Diese WLAN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die WLAN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden.

Eine WLAN-Sicherheitsrichtlinie sollte unter anderem folgende Punkte umfassen:

Benutzerrichtlinie für WLAN

Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene WLAN-Benutzerrichtlinie zu erstellen. In einer solchen Benutzerrichtlinie sollten dann kurz die Besonderheiten bei der WLAN-Nutzung beschrieben werden, wie z. B.

Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass

Außerdem sollte die Benutzerrichtlinie ein klares Verbot enthalten, ungenehmigt Access Points anzuschließen. Des Weiteren sollte die Richtlinie insbesondere im Hinblick auf die Nutzung von klassifizierten Informationen, beispielsweise Verschlusssachen, Angaben dazu enthalten, welche Daten im WLAN genutzt und übertragen werden dürfen und welche nicht. Benutzer sollten für WLAN-Gefährdungen sowie für Inhalte und Auswirkungen der WLAN-Richtlinie sensibilisiert werden.

Richtlinie für Administratoren eines WLANs

Daneben sollte eine WLAN-spezifische Richtlinie für Administratoren erstellt werden, die auch als Grundlage für die Schulung der Administratoren dienen kann. Darin sollte festgelegt sein, wer für die Administration der unterschiedlichen WLAN-Komponenten zuständig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt, und wann welche Informationen zwischen den Zuständigen fließen müssen. So ist es durchaus üblich, dass für den Betrieb der aktiven Komponenten (Distribution System und Access Points) eine andere Organisationseinheit zuständig ist als für die Betreuung der WLAN-Clients oder für das Identitäts- und Berechtigungsmanagement.

Die WLAN-Richtlinie für Administratoren sollte des Weiteren die wesentlichen Kernaspekte zum Betrieb einer WLAN-Infrastruktur umfassen, wie z. B.

Auch wenn innerhalb einer Institution keine WLANs offiziell installiert sind, sollte trotzdem regelmäßig vom IT-Sicherheitsmanagement veranlasst werden, dass nach ungenehmigt installierten WLAN-Komponenten gescannt wird.

Alle WLAN-Anwender, egal ob Benutzer oder Administratoren, sollten mit ihrer Unterschrift bestätigen, dass sie den Inhalt der WLAN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Ohne diese schriftliche Bestätigung sollte niemand das WLANs nutzen dürfen. Die unterschriebenen Erklärungen sind an einem geeigneten Ort, beispielsweise in der Personalakte, aufzubewahren.

Ergänzende Kontrollfragen: