Für Sicherheitsverantwortliche interessanter: Seit Juni vergangenen Jahres steht der IEEE-Standard 802.11i zur Verfügung. Er funktioniert im lizenzfreien 2,4 Gigahertz-Bereich, ist aber deutlich besser abgesichert. So findet zwingend eine gegenseitige Authentisierung von Geräten im Netz (also von Clients und Access-Points) statt, während in den herkömmlichen 2,4-Gigahertz-Standards 802.11 b und -g sich, wenn überhaupt, lediglich die Clients gegenüber dem Access Point ausweisen müssen. Zudem bietet der i-Standard ein Schlüsselmanagement nach dem Extensible Authentication Protocol (EAP) sowie paket- und sitzungsspezifische Schlüssel. Wenn außerdem dafür Sorge getragen wird, dass der Datenverkehr im Netz geloggt (protokolliert) wird, genügen i-WLANs den Auflagen des Bundesdatenschutzgesetzes für die Übertragung von Personendaten.

Anforderungen an das Management

Auf der sicheren Seite sind Verantwortlich für die IT-Sicherheit mit 802.11 i jedoch noch längst nicht; ein WLAN bleibt potenzielles Kriegsgebiet. So empfiehlt das National Institute of Standards and Technology (NIST) dringend davor, unternehmenskritische und personenbezogene Daten per Funknetz zu transportieren. Im Rahmen der Sicherheits-Policy im Unternehmen muss demnach festgelegt werden, welche Daten auf welchen Wegen übertragen werden dürfen. Natürlich ebenfalls festzulegen, ergänzt Aust: "Wer was darf, also Berechtigungsprofil für Nutzer, Geräte und Anwendungen".

Aust macht den primär am Komfort orientierten IT-Managern kaum Hoffnung. Geht es um sensible Daten und Anwendungen, müsse die Sicherheit signifikant -mitunter mit hohem Aufwand - verbessert werden, fordert der Berater. Für Bereiche wie Konferenzräume, Forschungs- und Entwicklungsabteilungen können nach seiner Ansicht sogar bauliche Maßnahmen wie etwa die elektromagnetische Abschirmung in einem faradayschen Käfig erforderlich werden. Dringend verbesserungsbedürftig sei die Authentisierung im Funknetz, etwa durch das "Extensible Authentication Protocol" (EAP) mithilfe spezieller Server, die eine Authentisierung nicht nur der Clients und Access Points, sondern auch der User im Netz ermöglichen. Zusätzliche Sicherheit könne es bringen, das Funknetz in ein virtuelles Privatnetz (VPN) einzubinden.

Allen zusätzlichen Maßnahmen zum Trotz würde Aust ein WLAN mit optimaler Sicherheit sowohl vom Internet als auch vom Intranet abschotten. Er empfiehlt, ein WLAN-Gateway in der "demilitarisierten Zone" zwischen einer internen und externen Firewall aufzubauen. Die Access Points lägen dabei in der öffentlich zugänglichen Netzsphäre; Verkehr mit mobilen Clients dagegen liefe dann zwangsläufig über das Gateway. Auch virtuelle Netze (VLANs) bieten ein Plus an Sicherheit, weil ihre Struktur für Angreifer schwerer zu durchschauen sind - aber nicht undurchschaubar. Mobile Clients sollten durch Virenschutzprogramme und Personal Firewalls sowie mittels lokalerVerschlüsselung für die Verwendung im WLAN konditioniert werden.

Ganz klar: Die Komfortvorteile von Funknetzen sind uneingeschränkt nur auf Kosten der Sicherheit zu haben. Wer WLANs im Unternehmen einsetzt, kommt um Anpassungen der Sicherheits-Policy und einigen administrativen und technischen Aufwand nicht herum.

Heinrich Seeger (cwtopics@computerwoche.de)