Firmen-WLAN – aber sicher!

Mobiles Arbeiten gehört heute zum Workflow fast aller Unternehmen unabhängig von der Firmengröße. Oft haben Mitarbeiter gar keinen stationären Desktop-PC mehr und verbinden ihr Notebook am Arbeitsplatz mit einer stationären Workstation. Oder mobile Endgeräte wie Laptop, Tablet und Smartphone werden synchronisiert und verbinden sich via Firmen-WLAN oder Mobilfunk mit dem Unternehmensnetzwerk.

Mobilität steigert Effizienz und Produktivität im Unternehmen, so viel ist klar. Aber das WLAN-Netzwerk kann für Unternehmen auch ein Sicherheitsrisiko darstellen. Ganz abgesehen davon, dass ein Firmen-WLAN schon von Anfang an gut geplant werden sollte (mehr dazu in unserem Blog-Beitrag: So klappt’s mit dem WLAN-Netzwerk im Unternehmen), gibt es bei der Nutzung von drahtlosen Netzwerken im Unternehmen ein paar Maßnahmen, die Sie in jedem Fall umsetzen sollten. Nur so kann die Wahrscheinlichkeit von bösen Überraschungen auf ein Minimum reduziert werden.

Tipps für ein sicheres WLAN-Netzwerk im Unternehmen

  • Sorgen Sie dafür, dass der Schutz Ihres WLAN-Netzwerkes ein wichtiger Teil der ganzheitlichen Sicherheitsstrategie Ihres Unternehmens ist.
  • Arbeiten Sie nicht mit veralteten Technologien wie WEP und WPA. Beide – WEP (Wired Equivalent Privacy) und WPA (Wi-Fi Protected Access) – sind veraltete Standards, die im Unternehmen nicht mehr eingesetzt werden sollten.
  • Deaktivieren Sie den veralteten Standard WPS (Wi-Fi Protected Setup).
  • Mindeststandard für ein Firmen-WLAN ist WPA2 (Wi-Fi Protected Access, Version2): Hier wird der Netzwerkzugriff mit einem Passwort verschlüsselt.
    Aber genau dieses allgemeine Passwort stellt eine Schwachstelle dar: Es ist nicht unwahrscheinlich, dass das Passwort an Unberechtigte weitergegeben wird. Zudem sind die Passcodes anfällig für Brute-Force-Angriffe.
    Sie müssen stets das Passwort ändern, sobald ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht. Und Hand aufs Herz: Machen Sie das in Ihrem Unternehmen wirklich konsequent? Selbst wenn Sie dies tun, besteht immer noch die Gefahr, dass ein Mitarbeiter das Passwort weitergibt oder es über andere Wege in falsche Hände gerät.
  • WPA2-Enterprise ist die bessere Lösung: Dabei erhält jeder Nutzer individuelle Zugangsdaten, die von den IT-Administratoren bereitgestellt werden. Der Netzwerkzugriff wird Beispielsweise von Active Directory überprüft und ist an einzelne User oder spezifische User-Zugangsdaten gekoppelt. So sind die Risiken gemeinsamer Passwort-Nutzung reduziert.
  • WPA2-Enterprise mit Zertifikaten ist die optimale Lösung: Durch die Nutzung von WPA2-Enterprise mit Zertifikaten können Computer und mobilen Geräte durch das ausrollen von Zertifikaten auf das WLAN-Netzwerk zugreifen. Selbst wenn jemand sich in den Besitz eines Mitarbeiter-Logins gebracht hat, kann er ohne einem Gerät mit entsprechenden Zertifikat noch nicht auf das Netzwerk zugreifen. So wird verhindert, dass jemand ohne Berechtigung auf ein Gerät zugreift (z. B. ein nicht autorisiertes mobiles Gerät, unberechtigte Dritte).

Aber Vorsicht: Alle WPA2 Varianten können von KRACK-Attacken (Key Reinstallation Attacks) betroffen werden, wie der belgische Sicherheitsforscher Mathy Vanhoef kürzlich nachgewiesen hat.

Microsoft hat die WPA2-Lücke in Windows bereits gepatcht und auch andere Technologie-Anbieter ziehen nach. Die Patches und Firmware-Updates der WLAN-Geräte sollten unverzüglich implementiert werden.

Mit der Problematik der WPA2-Lücke werden wir uns in einem der nächsten Blog-Beiträge beschäftigen.

Weitere Maßnahmen für ein sicheres Firmen-WLAN

  • Separates Gäste-WLAN: Lassen Sie kein fremdes Gerät ins Firmen-WLAN. Ein separates Gäste-WLAN, mit dem Besucher Zugang zum Internet bekommen und keinen Zugriff auf das Produktive Netzwerk ermöglicht, ist eine geeignete Möglichkeit.
  • Physischen Zugriff erschweren: Alle technischen Sicherheitsmechanismen bringen nichts oder nur wenig, wenn Angreifer physischen Zugriff auf Systeme erhalten, zum Beispiel am Access Point, bzw. über das Kabel das am Access Point hängt.
  • Passwörter regelmäßig ändern: Die Passwörter der Mitarbeiter sollten in regelmäßigen Abständen erneuert werden.
  • Einfach merkbare Passwörter: Wählen Sie für die Passwörter nicht so komplizierte Zeichenfolgen, dass sie sich niemand merken kann. Letztlich kleben diese Passwörter als Post-It gut sichtbar neben dem Computer. Entscheiden Sie sich eher für gut merkbare, aber nicht offensichtliche Passwörter.
  • Kleiner Kreis von „Passwort-Insidern“: Achten Sie darauf, den Kreis derjenigen klein zu halten, der die Passwörter kennt. Je weniger Mitwisser, desto geringer die Risiken.
  • WLAN-Reichweite reduzieren: Reduzieren Sie die Reichweite des Firmen-WLANs so weit wie möglich. Je geringer die Reichweite, desto geringer ist die Gefahr durch außenstehende Zugriffe. Lediglich die Abdeckung des Büros oder Firmengeländes muss gewährleistet sein.
  • Mitarbeiter-Trainings: Bedenken Sie bei allen technischen Sicherheitsmaßnahmen unbedingt auch den Faktor Mensch. Jedes System ist nur so sicher, wie die Menschen, die es bedienen. Daher ist es wichtig, dass Ihre Mitarbeiter über wichtige Maßnahmen und Verhaltensregeln im Firmen-WLAN in Kenntnis gesetzt werden.

Wir lieben Mitarbeiter-Schulungen!

Wie gesagt: Es ist von enormer Bedeutung, dass Ihre Mitarbeiter über Ihre Aufgaben und Möglichkeiten im Umgang mit der IT-Sicherheit und WLAN-Sicherheit des Unternehmens Bescheid wissen.

Gerne übernehmen wir diese Security-Awareness-Schulungen Ihrer Mitarbeiter für Sie. Im Vorfeld bieten wir auch IT-Risikoanalysen an, bei der die konkreten IT-Risiken in Ihrem Unternehmen identifiziert werden. Rufen Sie uns einfach ganz unverbindlich an oder vereinbaren Sie einen Beratungstermin!

zum kostenlosen Beratungsgespräch
2017-12-14T00:32:45+00:00 14.12.2017|IT-Security, IT-Services|

Über den Autor:

Daniel Fasching
Als Leiter der IT-Services bei GEKKO ist er Spezialist in der Strukturierung von IT-Infrastruktur. Seine Leidenschaft zu IT-Projektmanagement spiegelt sich in seinem breitem Know-How wieder. Spätestens ab der zweiten Tasse Kaffee arbeitet er nach der Devise „Geht nicht, gibt’s nicht!“

Hinterlassen Sie einen Kommentar