Vertraulichkeit, Integrität und Verfügbarkeit – diese Schutzziele müssen für alle IT-Ressourcen gewährleistet werden. Praktisch klaffen aber in vielen Firmennetzen große Lücken. Verschärfend hebelt der Vormarsch der WLAN-Technologie in vielen Unternehmen die etablierten Sicherheitsniveaus aus. Dabei ist es nun besonders wichtig, die Standards der neuen Technik anzupassen.
Den meisten Verantwortlichen ist die Sicherheitsproblematik bei WLAN offenbar bewusst: 85 Prozent der Befragten geben an, dass der Datenverkehr in ihrem WLAN verschlüsselt wird, 15 Prozent verneinen die Frage. Allerdings wird oftmals (37 Prozent) die WEP-Verschlüsselung eingesetzt, die nur unter speziellen Voraussetzungen einen tatsächlichen Schutz der Vertraulichkeit bietet. Einen echten Schutz bietet der Einsatz von VPN (Virtual Private Networks) oder spezielle Verschlüsselungssoftware. Diese Methoden nutzen nur 48 Prozent der WLAN-Nutzer. Somit ist bei mehr als der Hälfte der Unternehmen die Vertraulichkeit des Datenverkehrs innerhalb des WLAN nicht ausreichend gewährleistet.
Ungeachtet der oft unzureichenden Qualität der Verschlüsselung, zeigt der starke Einsatz von Verschlüsselungsmethoden, dass die IT-Sicherheit in den Unternehmen einen immer höheren Stellenwert bekommt. Dies ist auch daran abzulesen, dass fast alle befragten Unternehmen über organisatorische und/oder technische Regelungen zur Aufrechterhaltung der Netzwerksicherheit verfügen.
Allerdings genügt es nicht, dass diese Regeln existieren – sie müssen auch kommuniziert, eingehalten und deren Einhaltung überprüft werden. In der Praxis ist immer wieder festzustellen, dass Regelungen im Hinblick auf die IT-Sicherheit oft
• entweder nicht in das unternehmensweite Regelwerk (wie z. B. in einer Unternehmenspolicy) eingebunden sind und eher dezentral entstehen
• oder dem Verfasser und Herausgeber nicht die organisatorische Verfügungsgewalt gegeben ist, diese Regelungen unternehmensweit als verpflichtend zu erklären.
Ein Indiz hierfür ist, dass nur 33 Prozent der Unternehmen, die ein WLAN einsetzen, das WLAN in ihren technischen bzw. organisatorischen Regelungen zur Aufrechterhaltung der Netzwerksicherheit berücksichtigen.
Noch deutlicher ist dies bei den Unternehmen, die vorhaben, ein WLAN einzusetzen: Hier planen nur 16 Prozent, das WLAN in einem strukturierten Netzwerksicherheits-Regelwerk zu berücksichtigen. Es gibt einen hohen Bedarf an organisatorischen und technischen Regelungen, dies belegen die Zahlen der Hackerangriffe auf die Unternehmen. 50 Prozent der von uns befragten Unternehmen wissen von einem bereits erfolgten Angriff – die Dunkelziffer ist nach unserer Erfahrung beträchtlich höher.
Wirkungsvoller Schutz
Wer sein Unternehmensnetzwerk wirkungsvoll gegen Angreifer von außen schützen will, sollte eine gesonderte Firewall zwischen WLAN und LAN schalten. Allerdings nutzen nur 34 Prozent der Unternehmen, die bereits ein WLAN einsetzten, eine solche Firewall. Bei den Unternehmen, die den Einsatz eines WLAN erst planen, geben mit 33 Prozent ähnlich wenige Unternehmen an, eine Firewall einsetzen zu wollen.
Potenziert wird diese Schwachstelle dadurch, dass die Netzwerksicherheit mehrheitlich nicht regelmäßig überprüft wird. Lediglich 18 Prozent (jährlich) bzw. 13 Prozent (halbjährlich) der befragten Unternehmen tun dies regelmäßig.
Zwar prüfen ca. zwei Drittel der Befragten die Netzwerksicherheit „nach Bedarf“, jedoch ist die Spanne für diesen Begriff weit. Der Bedarf kann nach einer Änderung der Netzwerkstruktur auftreten oder – im Extremfall – nach dem Bekanntwerden einer neuen Schwachstelle einer Netzwerkkomponente. Würde man im Einzelnen die Gefährdung und das Schadenspotenzial der Systeme und Daten berücksichtigen, so ließen sich sehr unterschiedliche Bedarfszahlen ableiten. Ob wirklich gefährdete Systeme entsprechend oft überprüft werden, lässt sich nur vermuten, aus der Erfahrung heraus erscheint es eher unwahrscheinlich.
Nichtsdestotrotz ist eine regelmäßige Überprüfung Grundvoraussetzung für eine angemessene Netzwerksicherheit. Dabei muss jede Anbindung, die von einem Angreifer genutzt werden kann, berücksichtigt werden. Hier zeigt sich bei den befragten Unternehmen, dass dies nicht von jedem Unternehmen so gehandhabt wird.
Immerhin 19 Prozent der Unternehmen, die bereits ein WLAN einsetzen, berücksichtigen das WLAN bei der Überprüfung der Netzwerksicherheit nicht. Das WLAN wird in diesen Fällen – obwohl faktisch Bestandteil des Netzwerkes – offenbar von den Unternehmen nicht entsprechend behandelt.
Besonders die Unternehmen, die erst den Einsatz eines WLAN planen, sehen eine Einbeziehung des WLAN in die Überprüfung nur teilweise, d. h. zu 49 Prozent fest vor. Diese Ergebnisse zeigen: Zwar verfügen die meisten Unternehmen über mehr oder weniger weitreichende Regelungen und Vorkehrungen, die das Unternehmensnetzwerk vor externen Angreifern schützen sollen. Aber nur bei einer Minderheit ist dieser Schutz tatsächlich wirkungsvoll und erstreckt sich auch auf das WLAN. Schon eine Sicherheitslücke kann einem Hacker ausreichen, um sich Eintritt in das Gesamtnetzwerk zu verschaffen. Daher sollte ein umfassendes, professionelles Sicherheitskonzept für Unternehmen eine Selbstverständlichkeit sein. Die vorliegende Studie zeigt, dass nur eine Minderheit sich der Gefahren beim Einsatz eines WLAN bewusst ist und entsprechend handelt.
Acht Tipps für ein sicheres WLAN
Mit einigen grundlegenden technischen Maßnahmen kann ein WLAN sicherer gemacht werden. Die Einzelmaßnahmen sind nicht nach ihrer Bedeutung gewertet. Grundsätzlich gilt: Im Unternehmen sollte ein WLAN nur nach einer ausführlichen Risikoanalyse eingesetzt werden, das drahtlose Netzwerk muss außerdem in ein ganzheitliches Sicherheitskonzept eingebunden sein.
1. Die Access Points sollten möglichst so platziert und installiert sein, dass der Funkverkehr nicht von Angreifern – z. B. außerhalb eines Firmengeländes – erfasst werden kann.
2. Die Access Points sollten physikalisch gegen unautorisierte Zugriffe geschützt sein.
3. Die Standardeinstellungen des Access Points (SSID, Passwörter, usw.) sollten unternehmensspezifisch geändert werden.
4. Das SSID-Broadcast sollte deaktiviert werden.
5. Für die Authentisierung sollte mindestens MAC-Filterung genutzt werden. MAC-Filterung kann entweder direkt auf dem Access Point oder auf einem nachgeschalteten Switch implementiert werden, falls der Access Point MAC-Filterung nicht unterstützt. Grundsätzlich ist eine MACFilterung auf dem Access Point sinnvoller. Die Verwendung spezieller Authentisierungsverfahren kann die Sicherheit deutlich erhöhen.
6. Bei einer Verbindung zu einem internen Netzwerk sollte ein entsprechend konzipiertes Firewallsystem zwischen den beiden Netzwerken implementiert werden.
7. Die erfolgten Zugriffe auf ein internes LAN sollten protokolliert werden, um nachträgliche Analysen – ggf. für forensische Zwecke – zu ermöglichen.
8. Ein Intrusion Detection Systems (IDS) sollte je nach Wichtigkeit der intern erreichbaren Systeme verwendet werden.
Die Kommunikation im WLAN sollte grundsätzlich mit einem sicheren Verfahren verschlüsselt werden. Das WEP-Verfahren ist dafür nur bei geringem Kommunikationsaufkommen und regelmäßigem Tausch der Verschlüsselungsdaten geeignet. Bei hohem Datenaufkommen oder nicht sichergestellter Änderung der Verschlüsselungsdaten – der eher üblichen Situation in Unternehmen – hilft WEP nicht. Hier ist die Verwendung von Virtual Private Networks (VPN) zu empfehlen.
WEP – keine ausreichende Verschlüsselung
Die Abkürzung WEP steht für Wireless Equivalent Privacy. WEP ist das standardisierte Verschlüsselungsverfahren von WLAN. Ein geheimer Schlüssel wird dabei mit Initialisierungsdaten durch einen Algorithmus verschlüsselt. Das Ergebnis wird anschließend mit den eigentlichen Nutzdaten verknüpft, so dass diese nicht mehr lesbar sind. Die WEP Verschlüsselung ist nur unter besonderen Umständen sicher – bei geringen Datenmengen und wenn gleichzeitig die Schlüssel regelmäßig ausgetauscht werden. Doch dies ist für die meisten Unternehmen ein zu großer Aufwand, selbst bei einer kleinen Anzahl von Clients. Mit vielen Clients ist dieses Vorgehen in einem vernünftigen Rahmen nicht mehr realisierbar. Insgesamt ist ein systematisches Schlüsselmanagement bei WEP nur sehr schwer erreichbar.
