Wie gelingt der sichere WLAN-Zugang für Mitarbeiter und IoT-Geräte?

Die Anzahl der in Unternehmen eingesetzten WLAN-fähigen Geräte nimmt immer weiter zu. Und damit auch die unterschiedlichen Anwendungen: Nicht nur Notebooks der Mitarbeiter benötigen Zugriff auf das Firmennetzwerk auch Smartphones müssen als zentrale Kommunikationswerkzeuge schnellen Internetzugriff haben. Besonders deutlich werden die Herausforderungen jedoch bei der Einbindung von IoT-Geräten zur Steuerung oder Überwachung von Gebäuden, Maschinen oder Produktionsprozessen.

Genügte es in der Vergangenheit, das WLAN kleinerer Büros mit einem Pre-Shared-Key (PSK) oder im Unternehmen mit benutzerbezogenen Zugängen vom Domaincontroller bzw. Zertifikaten (802.1x) abzusichern, werden zukünftig IT-Administratoren und Techniker vor neue Herausforderungen gestellt: IoT-Geräte müssen in großer Stückzahl und teilweise umständlicher Einrichtung ins Netz gebracht werden. Aber während z.B. die einen Sensoren für die Cloudanbindung zwingend Internetzugriff benötigen, sollten andere Geräte besser in einer geschützten Umgebung ohne Verbindung nach „draußen“ betrieben werden.

Jeder Mitarbeiter braucht seinen eigenen Zugang!

Vorhängeschloss Papierschnitt — Ein Schlüssel für alle?

Die hauptsächlich im privaten Bereich anzutreffende Anmeldung am WLAN mit einem Pre-Shared Key (WPA-PSK) ist für Firmen mit mehreren Mitarbeitern keine empfehlenswerte Lösung. Aber welche anderen Verfahren gibt es noch, und welche Vor- oder Nachteile haben diese?

Vor- und Nachteile der Verfahren:

Authentifizierung mit Benutzernamen/Passwort oder Zertifikat (802.1x):

Es ist nur eine Benutzerdatenbasis zu pflegen (meist als Active Directory oder via LDAP bereits vorhanden)
Rollen und Zugriffsrechte können automatisch im Netzwerk berücksichtigt werden (einmalige Einrichtung)
Erstellen und Sperren/Löschen von Benutzern erfolgt bedarfsgerecht (On-/Offboarding)
Gerätewechsel ohne administrativen Aufwand möglich
Zertifikate (EAP-TLS) verhindern Missbrauch auch bei Passwort-Leaks oder unberechtigter Weitergabe der Zugangsdaten
erstmalige Implementation der Authentifizierung bzw. Implementation einer PKI (EAP-TLS) setzt Know-How voraus

Authentifizierung mit Dynamischen Pre-Shared Keys (DSPSK)

einfache Anmeldung für Benutzer und IoT-Geräte (z.B. mit QR-Code)
ermöglicht geräte-/benutzerbezogene Schlüssel
Zugriffsrechte können automatisch im Netzwerk berücksichtigt werden (einmalige Einrichtung)
Erstellen und Sperren/Löschen von Benutzern möglich
Missbrauch durch Weitergabe des PSK und MAC-Spoofing möglich
hoher Administrations- und Zeitaufwand (Zugang nach Gerätewechsel erst nach Aktualisierung der Whitelist wieder möglich)

Authentifizierung mit Pre-Shared Key (WLAN-Schlüssel)

einfach einzurichten: bei den meisten WLAN-Lösungen voreingestellt
einfach umzusetzen: jeder Benutzer, jedes Gerät benutzt den selben Schlüssel
Sicherheitsrisiko durch einfache Weitergabe (Sharing) des PSK
keine Kontrolle über Benutzer oder Geräte möglich (z.B. bei MAC-Spoofing)
hoher Aufwand bei Änderung des PSK: muss bei allen Geräten geändert werden (Ausfallzeiten und Personalaufwand berücksichtigen)

Authentifizierung über eine Webseite (Hotspot-Portal)

Authentifizierung über die MAC-Adresse (Hardware-Adresse)