Inhaltsverzeichnis
Netzwerke - Wireless LAN, WLAN
und der Nachbar kann mitsurfen, und die Möchtegernhacker können meine Daten klauen! Gegenwärtig lassen sich WLANs nur effektiv mit WiFi Protected Access,. kurz „WPA“ und langen bzw. dynamischen Passphrases oder einem neuen Standard namens 802.11i schützen. 802.11i-Hardware ist jedoch teuerer. Mittlerweile haben die neueren Geräte 802.11i implementiert, einge der besseren „Altgeräte“ lassen sich sogar per Firmware-Upgrade aktualisieren. Den 802.11i-Standard bezeichnet man auch als WPA2. Mit MDE/MDT (Mobilen Erfassungsgeräten und Handscannern) auf Windows CE 4.2 Basis ist man etwas mehr eingeschränkt, da die Client-Funkhardware auch WPA resp. WPA2 unterstützen müsste, was die meisten Module aber nicht tun. Oder aber es gibt keine Treiber für Windows CE dafür. Eine Ausnahme bilden Geräte, die Funkwerk (ARtem) OEM-Module verbaut haben, wie z.B. das Höft&Wessel Skeye allegro MDT. Hier unterstützt der Windows CE-Treiber auch WPA-Verschlüsselung – allerdings nur mit TKIP-Protokoll. Mehr Details auch in einem Artikel bei Heise Security. Folgende Sicherheitsstufen sollten Sie berücksichtigen: * Benutzung von WEP (wenn WPA nicht unterstützt wird) –> unbedingt WEP, offen auswählen, nicht WEP mit Passphrase-Authentisierung WEP64=40Bit bietet für 15 20 Minuten Schutz * WEP128=104Bit bietet je nach Datenaufkommen für 1-2 Stunden Schutz * Niemandem erzählen, dass Sie ein Wireless LAN haben –> Hacker und Warchalker und Wardriver werden Sie trotzdem finden * (E)SSID-Broadcast abschalten Kann auch aus anderen WLAN Nachrichten rausgelesen werden * MAC-Adressen Authentifizierung MAC-Adressen können zwar aus der Luft ausgelesen und kopiert werden, eine Positivliste der MAC-Adressen auf den Accesspoints zu pflegen und nur registrierte MAC hereinzulassen, kann zusätzlich nicht schaden, da jede zusätzliche Hürde das Hacken erschwert. * (E)SSID mit langen Namen und Sonderzeichen keinen Aufschluß über Besitzer oder Standort des Accesspoints geben (RAeMuellerBerlin als Name wäre z.B. sträflich leichtsinnig) Ich benötige keine Sicherheit, ich habe keine sensiblen Daten! was meint Ihre Versicherung dazu, wenn etwas passiert? o Verlust an Bandbreite o Vandalismus o Haftung für das Hosten von Eindringlingen! o Hosting von Spam, DOS Attacken auf andere Unternehmen. o Hosting von Datendiebstahl (MP3) o Verlust von Reputation o ohne Flatrate erhöhte Kosten durch Mitsürfer * Die Wireless LAN Basisstation sollte NIEMALS im Produktivnetz aufgestellt werden wichtige Daten sind durch eine Firewall geschützt und nicht per WLAN errreichbar * Schaffen einer Demilitarisierten Zone (DMZ) mittels einer Firewall Sicherheit durch Firewall, physikalische Netztrennung * Zugriff auf das Netzwerk NUR für CITRIX bzw. Microsoft Terminal Services, Verwenden der höchstmöglichen Verschlüsselung von Citrix bzw. RDP Zusätzliche Sicherheitsschranke, da Kommunikation nur über einen Port. Kein direkter LAN-Zugriff ohne Authentifizierung * WPA oder WPA2 Verschlüsselung auswählen (wenn möglich auf AES begrenzen) zweithöchster Schutz mit WPA2-PSK und AES und 63stelliger Komplex-Passphrase * Radius-Server (Windows Internet Authentication Service, im Server enthalten) installieren und nutzen 802.1X Authentifizierung durch viele Access Points unterstützt. Enterprise-Sicherheitsmechanismus. Mit WPA2/AES und Zertifikaten die höchste Sicherheitsstufe Einsatz (kleinere Umgebungen, Büros) unter Windows und Hardwareempfehlungen Unter Windows werden softwareseitig (Clientseitig) WPA-Verschlüsselungsverfahren unterstützt. Am sichersten ist dabei die Verschlüsselung nach dem AES Verfahren, die meisten WLAN-Basisstationen (Access Points) unterstützen momentan jedoch nur „TKIP“ als Encryption Suite. Für den Einsatz in Besprechungsräumen oder kleineren Umgebungen sind die Office-Connect Geräte von 3Com gut geeignet. * der Office Connect 54G Access Point ist handlich, platzsparend, hat eine austauschbare Antenne und kostet etwa 100 Euro. Features wie WPA2 (incl. WPA2 Enterprise) werden unterstützt. * Möchte man mit 3Com-Client-Hardware mit bis zu 108MBit/s funken, muss man den Office Connect a/b/g Access Point nehmen. Dieser unterstützt aber kein WPA2, sondern nur WPA/TKIP und WPA Enterprise. Der Access-Point bekommt nach Einstöpseln erstmal via DHCP eine eigene IP. Ein Discovery-Tool auf der mitgelieferten CD (das man nicht installieren, sondern direkt von der CD starten kann), durchsucht das Netzwerk nach Access Points. Danach läßt sich der AP über Port 80 mit dem normalen Browser über eine gut verständliche Weboberfläche administrieren. Dabei ändert man als Erstes das Adminpasswort und kann dem AP eine feste IP, Netzmaske und Default Gateway vergeben. Wenn der Nachbar die Kommunikation stört, so liegt das daran, das er auf dem gleichen Kanal funkt oder eine Mikrowelle an hat (Kanal 11 wird von Mikrowellen ausgestrahlt). Wählen Sie daher, wenn Sie Störungen vermeiden möchten – auch dann, wenn Sie mehrere Access Points einsetzen, immer unterschiedliche Funkkanäle. Zwischen den Kanälen von 2 Access-Points müssen immer 5 Kanäle frei sein. Möglich sind demnach die Kanäle: 1,6,11 oder 2,7,12 oder 3,8,13 (in Japan auch Kanal 14). Die maximale Sendeleistung eines Access Points darf 100mW betragen, das sind 20dB. Wenn Sie externe Antennen verwenden, die einen Gewinn bringen, müssen Sie die Sendeleistung des Access Points verringern, um diesen gesetzlich vorgeschriebenen Wert nicht zu überschreiten. (Post ID:915)
Datenschutzbeauftragter
Laufen Sie Gefahr, 25.000 Strafe zu zahlen? Nach § 4f Bundesdatenschutzgesetz (BDSG) ist ein Datenschutzbeauftragter (DSB) zu bestellen, wenn in einem Betrieb personenbezogene Daten von mehr als 9 Arbeitnehmern automatisiert erhoben, verarbeitet oder genutzt werden. Das Gesetz gibt es seit 23.05.2001, die Schonfrist ist jedoch am 23.05.2004 abgelaufen, die beauftragten Organe können jederzeit unangemeldet prüfen! Neben der Umsetzung der eigentlichen Schutzvorschriften gibt es drei Forderungen des BDSG, die ganz oder teilweise von jedem Unternehmer erfüllt werden müssen: 1. Schriftliche Bestellung eines Datenschutzbeauftragten, wenn die verantwortliche Stelle (Firma, Betrieb, Behörde, Kammer, Kanzlei usw.) mehr als 4 Mitarbeiter beschäftigt, die personenbezogene Daten einsehen oder bearbeiten können. 2. Bereitstellung / Veröffentlichung des öffentlichen Verfahrensverzeichnisses für jedermann gemäß § 4g Abs. II Satz 1 i.V.m. § 4e Satz 1 Nr. 1-8 BDSG. 3. Bereitstellung der internen Verarbeitungsübersicht gemäß § 4g Abs. II Satz 1 i.V.m. § 4e Satz 1 Nr. 1-9 BDSG. Die Nichterfüllung dieser Vorschriften, d.h. Fehlen des Datenschutzbeauftragten und/oder der Dokumentation, kann als Ordnungswidrigkeit geahndet werden, wobei ein Bußgeld in Höhe von bis zu 25.000 droht. Missbrauch der Daten wird mit bis zu 250.000 Bußgeld selbstverständlich noch deutlich höher bestraft. Die Behörden können auch ohne besonderen Anlass die Einhaltung der Bestimmungen prüfen, also auch ohne dass ein Anfangsverdacht bzw. eine Anzeige vorliegen muss. Versicherungen zahlen nicht im Schadenfall § Grobe Fahrlässigkeit Insbesondere die Einhaltung der im Datenschutzgesetz beschriebenen Schutzvorschriften wird von den Versicherungen im Schadenfall geprüft. Angenommen, Sie Sind von einem Internet-Wurm infiziert worden oder ein Mitbewerber verklagt Sie auf Schadenersatz. Schön – Sie meinen, Sie sind ja gegen so etwas versichert. Der Versicherungs-Sachverständige weist Ihnen jedoch nach, dass Sie In Ihrem Unternehmen keine Sicherheitsrichtlinie haben bzw. diese nicht anwenden. Normalerweise verweigert die Versicherung Ihnen dann die Zahlung wegen grober Fahrlässigkeit. Was können Sie tun? 1. Datenschutzbeauftragter: Bei der Ernennung des Datenschutzbeauftragten (DSB) ist grundsätzlich zu unterscheiden, ob dies ein eigener Mitarbeiter durchführen soll (ein Seminar bei der IHK für ca. 2.000 Euro muß besucht werden) oder ob ein qualifiziertes, externes Unternehmen zur Durchführung bestellt wird. 2. Öffentliches Verfahrensverzeichnis: Denkbar ist eine auf die Unternehmensart abgestimmte Standardvorlage in Excel z.B., die mit dem Namen der Einrichtung, Anschrift und den Namen der fachverantwortlichen Personen ergänzt ausgefüllt wird. 3. Interne Verarbeitungsübersicht: Die Erstellung dieser Dokumentation ist ein sehr umfangreicher Prozeß und ohne entsprechendes juristisches, IT-technisches und kundenspezifisches Hintergrundwissen kaum möglich und kann keinesfalls standardisiert erfolgen, da sehr spezifische Fragen zur Situation im jeweiligen Unternehmen zu beantworten sind. Hier ist z.B. auch fachliches Wissen bezüglich der Gebäudesicherheit usw. gefragt – bis hin zu DIN-Normen bei einbruchsicheren Türen und Fenstern. In der Regel ist die Erstellung der kompletten Dokumentation (gemäß 2. und 3.) nicht nur zwingend vorgeschrieben, sondern auch der reguläre Beginn der Tätigkeit eines internen oder externen Datenschutzbeauftragten, sie stellt quasi die Arbeitsgrundlage für seine Tätigkeit dar. 4. Eine IT-Sicherheitsrichtlinie, die für Sie erstellt und vor allem auch angewendet und kontrolliert wird, beugt außerdem bei Problemen mit der Versicherung vor. Die Sicherheitsrichtlinie umfaßt die technischen und organisatorischen Maßnahmen zur Absicherung Ihrer IT-Infrastruktur (Grundsicherheit), Schutz vor Viren und Würmern, Umgang mit Daten, Datensicherheit und weitere aus dem Datenschutzgesetz resultierende Anforderungen. Die Sicherheitsrichtlinie kann in Zusammenarbeit mit Ihrem EDV-Betreuer erstellt und implementiert werden. Aufgaben des Datenschutzbeauftragten (1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er hat insbesondere 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Rechtliche Hinweise, Haftungsausschluß (Disclaimer) Die Angaben, die in diesem Dokument zur Verfügung gestellt werden, dienen ausschließlich der allgemeinen Information und dienen nicht der Beratung des Kunden im konkreten Einzelfall. Der Autor hat diese Informationen gewissenhaft zusammengestellt, übernimmt jedoch keine Haftung für Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen den Autor, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind ausgeschlossen (Letzte Revision: 07.02.2015 17:21:14) (Post ID:908)