Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3.5<br />
kehrungen trifft. Es fehlt der Schutz des Kabels. Der Parkplatz vor der Firma<br />
könnte der Ausgangspunkt eines Angriffs auf das WLAN der Firma sein, für<br />
den bei unzureichenden Sicherheitseinstellungen eine Funknetzwerkkarte<br />
für das Notebook und eine Richtantenne, <strong>mit</strong> der die Empfangsmöglichkeiten<br />
noch erhöht werden können, ausreichend sind. Die Datenströme können<br />
einfach empfangen, aufgezeichnet, manipuliert und verfälscht zurück- oder<br />
weitergesendet werden.<br />
Mit den datenschutzrechtlichen Risiken hat sich die Internationale<br />
Arbeitsgruppe Datenschutz in der Telekommunikation auf ihrer Frühjahrssitzung<br />
am 14./15. April 2004 in Buenos Aires befasst und ein entsprechendes<br />
Arbeitspapier verabschiedet 51 .<br />
Folgende erste Schritte zur Absicherung eines WLANs sollten vom Administrator<br />
unternommen werden. Sie erfordern weder zusätzliche Programme<br />
noch Kosten und sind sehr einfach und leicht umzusetzen:<br />
– Da die Geräte bei der Auslieferung <strong>mit</strong> Standard-Parametern wie z. B.<br />
einem „Administrator Passwort“ ausgeliefert werden, müssen diese<br />
unverzüglich verändert werden. Anderenfalls wird das Eindringen in<br />
ein fremdes Netz einem Hacker sehr erleichtert, da er meist anhand der<br />
MAC-Adresse des Access Points den Hersteller herausfinden und sich<br />
so<strong>mit</strong> die entsprechenden Handbücher <strong>mit</strong> den Standardpasswörtern<br />
aus dem Internet ziehen kann.<br />
– Mit der Service Set Identity Description (SSID = Netzwerkname) sind<br />
gleich zwei Möglichkeiten zur Steigerung der Sicherheit möglich:<br />
Erstens sollte die SSID umbenannt und so gewählt werden, dass keine<br />
Rückschlüsse auf die Organisation möglich sind. Wird beispielsweise<br />
der Behördenname verwendet, so kann ein Hacker un<strong>mit</strong>telbar erkennen,<br />
ob in diesem Netz für ihn Daten von Interesse transportiert<br />
werden.<br />
Zweitens sollte die Bekanntgabe der SSID deaktiviert werden. Mit dem<br />
Ausschalten der Broadcast-SSID kann das Wireless LAN <strong>mit</strong> relativ<br />
einfachen Mitteln vor „fremden“ Rechnern verborgen werden, es wird<br />
sozusagen unsichtbar. Angreifer müssen den Namen des Netzes wissen,<br />
da<strong>mit</strong> es angegriffen werden kann. Dieser Schritt kann ohne Mehrkosten<br />
durch die örtliche Systemverwaltung vollzogen werden.<br />
– Aktivierung der Wireless Equivalent Privacy (WEP)-Verschlüsselung.<br />
Dies soll verhindern, dass ein Abhören der Funksignale möglich ist.<br />
Dieses Verschlüsselungsverfahren gilt jedoch nicht als hinreichend<br />
sicher, weil erhebliche Fehler in dem WEP-Algorithmus festgestellt<br />
wurden. Es sollte daher immer eine LAN-weite zusätzliche Verschlüsselung,<br />
beispielsweise IPSec, zum Einsatz kommen.<br />
51 Arbeitspapier zu potenziellen Risiken drahtloser Netzwerke, vgl. <strong>Anlage</strong>nband, a.a.O., S. 74<br />
44<br />
Jahresbericht BlnBDI 2004<br />
– Die ACL-Zugangskontrollliste dient der Eingabe der eindeutigen<br />
MAC-Adresse der Funknetzwerkkarten am Access Point. Dadurch wird<br />
die Kommunikation <strong>mit</strong> anderen – nicht eingetragenen – Funknetzwerkkarten<br />
unterbunden. Dies stellt eine sehr einfache Möglichkeit dar,<br />
<strong>mit</strong> Hilfe der Adressfilterung der MAC-Adressen unberechtigte Funknetzclients<br />
abzuwehren.<br />
– Durch die Bildung von Subnetzen können Bereiche <strong>mit</strong> einfachen Mitteln<br />
getrennt werden, so dass sensible Teilnetze von anderen Netzen<br />
geschützt werden können.<br />
– Nicht benötigte Komponenten sollten deaktiviert sein.<br />
– Die Administration des Access Points sollte ausschließlich über die<br />
drahtgebundene Verbindung erfolgen, da sonst die drahtlose Verbindung<br />
abgehört werden könnte.<br />
Weiterführende Sicherheitsmaßnahmen<br />
Die Verarbeitung von personenbezogenen Daten in einem Wireless-LAN,<br />
das dem Standard 802.11b entspricht, ist ohne den Einsatz zusätzlicher<br />
Sicherheitsmaßnahmen nicht zulässig – es sei denn, die Daten weisen nur<br />
einen geringen Schutzbedarf auf.<br />
Zur Gewährleistung der Vertraulichkeit, Integrität und Authentizität der<br />
übertragenen Daten sind weiterreichende Maßnahmen erforderlich. Die folgende<br />
Aufzählung soll kurz aufzeigen, wie eine weitere Reduzierung der<br />
Risiken durch technische Maßnahmen erreicht werden kann:<br />
– Die Trennung von Internet, Intranet und WLAN durch eine Firewall<br />
sollte obligatorisch sein. Da<strong>mit</strong> werden unberechtigte Zugriffe auf ein<br />
Netz oder Netzsegment blockiert. Zwar könnten die übertragenen<br />
Daten abgehört werden, aber das interne Netz bleibt hinter der Firewall<br />
geschützt.<br />
– Die automatisierte Zuteilung von IP-Adressen (<strong>mit</strong>tels DHCP-Server)<br />
sollte unterbunden werden, da ansonsten ein Angreifer – automatisch –<br />
eine gültige IP-Adresse zugeteilt bekommt. Bei der nicht automatisierten<br />
Vergabe der IP-Adressen muss der Hacker zuerst den IP-Adressraum<br />
herausbekommen. Weiterhin sollte darauf geachtet werden, dass<br />
der Adressraum nicht zu groß bemessen ist.<br />
– Für die Absicherung des Datenstroms auf der Funknetzstrecke sollte<br />
ein VPN- (Virtuell Private Network-) Tunnel aufgebaut werden, der die<br />
auszutauschenden Daten zwischen dem WLAN-Client und der Firewall<br />
durch Verschlüsselungstechnik – z. B. IPSec – schützt.<br />
– Mit Hilfe eines Radius-Servers kann für eine gesichertere Authentifikation<br />
bei der Anmeldung an die Basisstation gesorgt werden.<br />
Jahresbericht BlnBDI 2004<br />
3.5<br />
45