Roger Hockaday ist Marketing Director Emea bei Aruba Networks.

WLAN (Wireless LAN) sind inzwischen allgegenwärtig: Man findet sie zu Hause, im Hotel, in der Fussgängerzone und am Flughafen - aber nicht in jedem Büro. Offenbar betrachten viele Unternehmen die Drahtlosnetze noch immer als Risiko für die Datensicherheit. Die Verantwortlichen unterstellen, dass WLAN-Connectivity für die Mitarbeiter unweigerlich zu Datenverlusten, Informations-Diebstahl oder zum Eindringen von Viren, Würmern und anderer Malware führt. Wegen ihrer Sorge um die Datensicherheit beharren viele Firmen auf einer strikten No-Wireless-Politik und verkennen dabei den Zugewinn an Produktivität, Effizienz und Wirtschaftlichkeit von WLAN:

Allerdings bedeutet diese offizielle Politik nicht, dass es in den betreffenden Unternehmen tatsächlich keine WLAN gibt. Denn jeder kann Wireless Access Points (AP) installieren - das ist einfach und preiswert. Da nicht jeder Mitarbeiter durchsucht werden kann, sobald er sein Büro betritt, lässt sich die Verbreitung der Technologie durch ein einfaches Verbot unmöglich aufhalten. Ungenehmigte WLAN bergen aber zusätzliche Risiken, unabhängig von den internen Richtlinien, da niemand sie wirksam überwacht.

Sobald die Mitarbeiter mobile Endgeräte nutzen, etwa Laptops oder Mobiltelefone mit eingebauten WLAN-Funktionen, wünschen sie bald noch mehr Mobilität. Für einen Mitarbeiter ist es sehr einfach, einen Wireless-Hub oder -Router an die überall vorhandenen RF45-Datensteckdosen im Büro anzuschliessen. Auf diese Weise entsteht ein kleines drahtloses Netzwerk, dessen Reichweite auch andere Etagen des Gebäudes, in denen fremde Unternehmen angesiedelt sein können, oder sogar den Parkplatz abdeckt. Am schlimmsten jedoch ist die Arglosigkeit der Mitarbeiter: Meistens können sie sich nicht vorstellen, dass eine solche Installation die IT-Systeme im Unternehmen beeinflussen kann.

In der Tat entdecken immer mehr Unternehmen, dass die offiziellen Richtlinien nicht eingehalten werden. Doch müssen sie dieser Situation nicht hilflos gegenüber stehen. Es gibt einen Ausweg: Sie können sich für ein WLAN-System entscheiden, das ihnen sichere Funkübertragung bietet und ihnen die Möglichkeit gibt, sichere, individuelle und am Bedarf ausgerichtete WLAN-Strategien zu implementieren.

Da die Wirelss-Technologie mittlerweile sehr weit fortgeschritten ist, sind die Bedenken hinsichtlich der Sicherheit von WLAN nicht mehr stichhaltig. Die meisten Organisationen haben die Vorteile der Anwender-Mobilität und die Fähigkeiten der neuen Sicherheitstechnik auch schon erkannt. Sie halten den Wireless-Zugang heute für sicherer als ein verkabeltes LAN. Zudem ist es einfacher, eine Firma mit WLAN zu vernetzen, denn sie lassen sich auf vorhandenen Netzen ohne Upgrades oder Konfigurationsänderungen implementieren. Aus diesem Grund untersuchen viele Unternehmen nun erstmals, wie sie alle Vorteile anspruchsvoller und sicherer Mobilitätslösungen nutzen können.

Als ersten Schritt richten viele Organisationen einen dedizierten Wireless-Zugang für einzelne Anwender ein, sobald diese drahtlosen Zugriff auf geschäftliche Informationen fordern. Beim Übergang von einer durchgängigen No-Wireless-Strategie auf drahtlose Zugriffsmöglichkeiten für einige wenige User gibt es kaum Auswirkungen auf Sicherheit und Verwaltbarkeit. Ganz nebenbei verschwindet auch die Versuchung, sich als Mitarbeiter ein eigenes WLAN einzurichten. Dieser Schritt sollte aber die Sicherheit des Netzwerks keinesfalls kompromittieren und auch die IT-Mitarbeiter niemals zu stark belasten.

Die Beschränkung auf bestimmte WLAN-Nutzer ist nicht die einzige Möglichkeit der Kontrolle. Der Zugriff lässt sich auch auf bestimmte Zeiten oder Standorte einschränken. Im verkabelten LAN ist Zugang nur solange möglich, wie das Gebäude physikalisch offen ist. WLAN waren bisher ständig verfügbar. Fortschrittliche WLAN-Lösungen ermöglichen es heute allerdings, einen AP oder eine Gruppe von AP zu bestimmten Zeiten, etwa über Nacht, abzuschalten. Dann steht auch das WLAN nicht ständig zur Verfügung. So kann sichergestellt werden, dass IT-Mitarbeiter in den Betriebszeiten verfügbar sind und auftauchende Prob-leme schnell beseitigen können.

Darüber hinaus können Anwender oder Endgeräte bei der WLAN-Nutzung auf die Anwendungen beschränkt werden, die sie tatsächlich benötigen. Mit modernen Wireless-Lösungen lassen sich Regeln implementieren, die von Protokollen, IP-Adressen und Applikationen abhängen. Ist in das Drahtlosnetzwerk eine Stateful Firewall integriert, wie das einige Lösungen bieten, erzeugt diese automatisch eine Schwarze Liste (Blacklist) mit allen Anwendern, die gegen spezielle Firewall-Regeln verstossen. Das automatische Blacklisting trennt das betreffende Gerät sofort vom Netzwerk und überträgt einen Alarm zum Administrator.

Sichere Lösungen sind zudem in der Lage, den gesamten Datenverkehr verschlüsselt zurück zum Core zu übertragen, damit der Netzwerk-Traffic nicht von Eindringlingen abgehört oder verfälscht werden kann. Erfolgt die Zugangskontrolle über eine Firewall, kann man die Policy mit der Identität und Funktion des Anwenders statt mit einem willkürlichen Parameter wie der IP-Adresse verknüpfen. Das bietet erheblich mehr Schutz vor unerwünschten Eindringlingen und Fehlverhalten.

Unternehmen, die eine No-Wireless-Politik fahren, sollten die WLAN-Risiken also noch einmal unvoreingenommen im Licht der aktuellen sicherheitstechnischen Möglichkeiten prüfen. Denn technisch ist es heute einfach, die Infrastruktur für die Überwachung eines No-Wireless-Netzwerkes aufzubauen und später schrittweise immer mehr Mobilität bereitzustellen. Sollten die ehemaligen Drahtlos-Verweigerer sich am Ende für eine Next-Generation-WLAN-Lösung entscheiden, könnte diese sogar für mehr Sicherheit im verkabelten Netz sorgen.

Praxistipps

o Es sollte verhindern, dass Mitarbeiter inoffizielle AP innerhalb des geschützten Bereichs einer Organisation installieren. Solche ungenehmigten AP sind Wireless-Komponenten, die ein Mitarbeiter angeschafft und an eine RJ45-Datendose angeschlossen hat, damit sie die Inhalte des verkabelten Netzwerkes per Funk übertragen. Ob ein Netzwerk nun Wireless-fähig ist oder nicht - derartige Geheim-AP (Rogue AP) sind heute eines der grössten Risiken für die Netzwerksicherheit.

o Es sollte unangemeldete AP entdecken und ausschalten, damit niemand über sie kommunizieren kann.

o Es sollte auch Adhoc-WLAN im geschützten Bereich einer Organisation verhindern. Wo auf die Einhaltung der No-Wireless-Richtlinie geachtet wird, müssen alle Adhoc-Netzwerke - also die unkontrollierten WLAN zwischen Endanwendern - aktiv aufgespürt und ausser Betrieb genommen werden, da sie über das Client Bridging (direkte WLAN-Kommunikation zwischen Rechnern) einen unberechtigten Zugangspunkt in das Netzwerk bieten. Dazu eignet sich vor allem ein System mit umfassender Funküberwachung.

oEs sollte bei Entdeckung von ungenehmigten Ad-hoc-Netzwerken einen Alarm zum Netzwerk-Administrator senden, damit dieser die Adhoc-Vernetzung abschalten kann.

o Es muss Wireless Bridges automatisch ent-decken und den Netzwerk-Administrator über ihr Vorhandensein informieren, damit dieser den Standort des betreffenden Clients auf einer Gebäudekarte identifizieren kann. Unter Wireless Bridges sind hier nachlässig konfigurierte Clients zu verstehen, die Anwender mit WLAN-fähigen Notebooks als Brücke benutzen können, um sich Zugang zum verkabelten Unternehmensnetz zu verschaffen.

oEs sollte Clients innerhalb des geschützten Funkbereiches davon abhalten, sich in die Netzwerke benachbarter Organisationen einzuklinken, ohne den Betrieb der eigenen AP oder Clients zu beeinträchtigen. Sie sollte benachbarte Zugangspunkte automatisch nicht als bösartig klassifizieren, sondern lediglich verhindern, dass die eigenen Clients auf sie zugreifen.