Unternehmen vernachlässigen Sicherheitsrisken

Zwar ist das Sicherheitsbewusstsein gegenüber dem letzten Jahr gestiegen, bei der noch über drei Viertel der Netze ohne jeden Schutz waren (Erhebung von Ernst & Young im April 2002), aber noch immer sind 54 Prozent der Netzwerke in Wien ohne jegliche Security-Mechanismen installiert. Besonders eklatant ist der hohe Prozentsatz ungesicherter WLANs im Zentrum Wiens, wo es einen höheren Anteil an drahtlosen Unternehmensnetzwerken als in den anderen Bezirken gibt.

Mangelndes Sicherheitsbewusstsein

WLANs gehören zu den Wachstumszweigen der IT-Branche. Im Gegensatz zu den kabelgebundenen Netzwerken, für deren Sicherheit die Mehrzahl der Unternehmen bereits sorgt, ist das Sicherheitsbewusstsein bei den drahtlosen Netzen noch sehr mangelhaft. "Der aktuelle Trend zur Mobilität birgt ein neues Gefahrenpotenzial in sich, da man den mobilen Zugang anders schützen muss als konventionelle firmeninterne Netzwerke", erklärt Andreas Schaupp, Security Consultant bei HP Services. Hinzu kommt, dass die Hersteller von WLAN-Komponenten den potentiellen Anwendern die Nutzung möglichst einfach machen wollen und deshalb oft die vorhandenen Security-Mechanismen in den Voreinstellungen der Produkte nicht mit Priorität behandelt werden.

In vielen Fällen ist es möglich, dass durch das ungesicherte WLAN ein Eindringling Zugang zum kompletten internen Firmennetzwerk erhält, da auf Grund dieser Misskonfiguration beispielsweise die (Internet-) Firewall des mit dem WLAN verbundenen kabelbasierenden LANs umgangen wird.

WEP Verschlüsselung ist oft nicht ausreichend

Um ein gewisses Maß an Sicherheit zu gewährleisten, sollte grundsätzlich eine WEP Verschlüsselung (Wireline Equivalent Privacy) mit 64 oder 128 Bit aktiviert werden. WEP wurde zur Angleichung der Sicherheit der Datenübertragung an verdrahtete lokale Netzwerke konzipiert. In der Praxis hat sich jedoch gezeigt, dass WEP diesem Anspruch nicht ganz gerecht werden kann. Gelingt es einem Angreifer, genügend WEP-verschlüsselte Nachrichten aufzuzeichnen, die den gleichen Schlüssel verwenden, so kann dieser Schlüssel mit speziellen Softwareprogrammen geknackt und in Folge für einen Hacker-Angriff verwendet werden.

Entsprechende Werkzeuge zur Aufzeichnung und Entschlüsselung sind kostenfrei im Internet zu finden. Um einen effektiven und wirklich sicheren Schutz zu gewährleisten, ist es daher notwendig, weitergehende Maßnahmen wie z.B. Applikationsdaten-Verschlüsselung zu setzen. "Generelle einfache Lösungen gibt es nicht, es muss für jede Firma eine maßgeschneiderte Sicherheitsstrategie erstellt werden, die auf die individuellen Risken abgestimmt ist", betont Schaupp. HP Services bietet dazu eine breite Palette an kundenspezifischen IT-Sicherheitsschulungen, Security-Konzepten und -Produkten, sodass für jedes Unternehmen und jedes Risikopotential die passende, stark abgesicherte WLAN-Lösung implementiert werden kann.

IT-Security ist Managementaufgabe

Durch die durchgängige Digitalisierung von Unternehmensdaten und die globale Vernetzung hat sich das Bedrohungspotenzial durch Datenmissbrauch drastisch erhöht. Die Zuständigkeit für sicherheitsrelevante Aspekte ist in der Vergangenheit oft zur Gänze an die IT-Abteilungen delegiert worden. Dauerhafte Sicherheit ist aber nur zu erreichen, wenn alle Beteiligten im Unternehmen sicherheitsbewusst mit den Daten umgehen. Es handelt sich um eine Thematik, die über den Erfolg oder Misserfolg eines Unternehmens entscheiden kann. "In den Firmen muss wieder verstärkt das Bewusstsein einkehren, dass Sicherheit als Ganzes zu sehen ist. Die Verantwortung dafür muss das Topmanagement tragen", fordert Schaupp ein Umdenken.

Die HP Untersuchung basierte auf der Methodik der "War Driving"-Fahrten. Darunter versteht man den Vorgang, mittels WLAN-fähiger Hardware und entsprechender Software durch Befahren eines Gebietes die in Verwendung befindlichen WLANs zu erheben.

Die komplette Studie "Status der WLAN-Sicherheit in Wien" ist unter
www.hp-austria.at/hps/roit/downloads/wlan_studie.pdf im Internet zu finden.