4
Rechtliche Einschränkungen der Nutzungsmöglichkeiten von Wireless Lan
Hallo,
während eines Kundengesprächs wurde ich auf angebliche rechtliche Einschränkungen der der Nutzungs/Einsatzmöglichkeiten eines Wireless Lan Netzes hingewiesen.
Nun habe ich im Web Informationen darüber gesucht und auch bei den Datenschutzbeauftragen der Bundesländer nachgefragt und um Informationen gebeten.
Teilweise wurde ich auf Gesetzestexte verwiesen, nur bieten Gesetztestexte, sofern man sie versteht einen weiten Bereich der Auslegungmöglichkeit.
Daher nun meine Bitte um Hinweise ob es konkrete Informationen dazu gibt, in welchen Branchen eventuell Einschränkungen gegeben sind.
Denkbar wären z.B. das Gesundheitswesen, Ärzte oder andere Bereiche in denen besonders sensible Daten verwaltet werden.
Evtl. auch Banken, Justiz ???
Eine technisch einwandfreie Absicherung des Netzes durch aktuelle Mechanismen setze ich voraus.
Wäre für Hinweis dankbar.
Gruß
GWachsmuth
Teilweise wurde ich auf Gesetzestexte verwiesen, nur bieten Gesetztestexte, sofern man sie versteht einen weiten Bereich der Auslegungmöglichkeit.
Daher nun meine Bitte um Hinweise ob es konkrete Informationen dazu gibt, in welchen Branchen eventuell Einschränkungen gegeben sind.
Denkbar wären z.B. das Gesundheitswesen, Ärzte oder andere Bereiche in denen besonders sensible Daten verwaltet werden.
Evtl. auch Banken, Justiz ???
Eine technisch einwandfreie Absicherung des Netzes durch aktuelle Mechanismen setze ich voraus.
Wäre für Hinweis dankbar.
Gruß
GWachsmuth
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 174057
Url: https://administrator.de/contentid/174057
Printed on: April 23, 2024 at 18:04 o'clock
4 Comments
Latest comment
Hallo,
da wirst Du Dein Leben nicht mit fertig.
Es gibt zu viele Gummiparagrafen die nur in Verbindungen mit aktuellen Gerichtsentscheidung anwendbar sind.
Das ist Aufgabe des Kunden. Er, oder sein RA, sollen Dir genau sagen welchen Rahmen das WLAN haben soll/darf.
Stefan
da wirst Du Dein Leben nicht mit fertig.
Es gibt zu viele Gummiparagrafen die nur in Verbindungen mit aktuellen Gerichtsentscheidung anwendbar sind.
Das ist Aufgabe des Kunden. Er, oder sein RA, sollen Dir genau sagen welchen Rahmen das WLAN haben soll/darf.
Stefan
Ich würde einfach mal behaupten, dass der Faktor WLAN in solchen Bereichen mit sensiblen Datenbeständen keinerlei Wirkung hat. In solchen Bereichen müssen die Daten ansich schon vor fremden Zugriffen geschützt sein, wie z.B. eine korrekt ausgeführte Sicherheitsberechtigung auf Benutzer-, Gruppen-, Datei- und Anwendungsebene. Es wäre nämlich grob fahrlässig, wenn nicht sogar vorsätzlich, wenn solche Daten einfach auf ein Netzlaufwerk gekippt werden, auf das jeder Benutzer im Netzwerk oder sogar jedes Netzwerkgerät uneingeschränkt Zugriff hat.
Ich bau zwar Netzwerke für Branchen, die nicht ganz so sensible Daten verarbeiten, aber selbst hier muss schon der Datenschutz greifen. Also jeder Benutzer sieht nur die Daten, die er sehen darf, er darf nur die Anwendungen starten, die er Benutzen darf und dabei ist es vollkommen egal, ob WLAN oder Kabel, denn man kann auch irgendwo ein Kabel rausziehen. Selbst mit 802.1X, MAC-Security und so weiter besteht die Möglichkeit, dass man selbst übers Kabel ins Netz kommt. Desweiteren ist 802.1X, WPA und WPA2 bisher unknackbar, wenn man keinerlei Zugriff zum Netzwerk hat, da eine korrekt ausgeführte Installation ein ständiges Rekeying beinhaltet. Einzige Möglichkeit wäre es, die Zugangsdaten in Erfahrung zu bringen.
Es reicht, wenn alle möglichen technischen Maßnahmen ergriffen wurden, welche zum Stand der Technik gehören. Unabhängig vom Übertragungsmedium. Wichtig sind nur regelmäßige Überprüfungen auf mögliche Sicherheitslecks wie Fehler in Konfiguration und Software, Sabotage und, was viele vergessen, aktive Benutzerkonten ausgeschiedener Mitarbeiter.
Es gibt zu dem Thema leider keine genauen rechtlichen Ausführungen, aber sollte es doch mal zu einem Problem kommen, hilft es, wenn man nachweisen kann, dass man auf Basis aktueller Richtlinien und Vorgaben gehandelt hat, wie z.B. dem IT-Grundschutz.
Ich bau zwar Netzwerke für Branchen, die nicht ganz so sensible Daten verarbeiten, aber selbst hier muss schon der Datenschutz greifen. Also jeder Benutzer sieht nur die Daten, die er sehen darf, er darf nur die Anwendungen starten, die er Benutzen darf und dabei ist es vollkommen egal, ob WLAN oder Kabel, denn man kann auch irgendwo ein Kabel rausziehen. Selbst mit 802.1X, MAC-Security und so weiter besteht die Möglichkeit, dass man selbst übers Kabel ins Netz kommt. Desweiteren ist 802.1X, WPA und WPA2 bisher unknackbar, wenn man keinerlei Zugriff zum Netzwerk hat, da eine korrekt ausgeführte Installation ein ständiges Rekeying beinhaltet. Einzige Möglichkeit wäre es, die Zugangsdaten in Erfahrung zu bringen.
Es reicht, wenn alle möglichen technischen Maßnahmen ergriffen wurden, welche zum Stand der Technik gehören. Unabhängig vom Übertragungsmedium. Wichtig sind nur regelmäßige Überprüfungen auf mögliche Sicherheitslecks wie Fehler in Konfiguration und Software, Sabotage und, was viele vergessen, aktive Benutzerkonten ausgeschiedener Mitarbeiter.
Es gibt zu dem Thema leider keine genauen rechtlichen Ausführungen, aber sollte es doch mal zu einem Problem kommen, hilft es, wenn man nachweisen kann, dass man auf Basis aktueller Richtlinien und Vorgaben gehandelt hat, wie z.B. dem IT-Grundschutz.
Hallo,
ich arbeite in einer lediglich Bankennahen Firma und wir haben dadurch sehr verschärfte IT Vorlagen.
Soll im Klartext heißen sowas wie WLAN gibt es bei uns gar nicht bzw. haben wir für Geräte welche ins Internet müssen aber eben nicht ins Netzwerk können (kein NIC usw.) einen WLAN Access Point von T-Mobile.
Dies wurde von der IT Revision so beschlossen und dann in einer Ausschreibung so festgehalten. Somit gibt es zwar kein Gesetz seitens Land/Bund usw. aber ein "Gesetz" aufgestellt von der IT Revision.
lg mc-dy
ich arbeite in einer lediglich Bankennahen Firma und wir haben dadurch sehr verschärfte IT Vorlagen.
Soll im Klartext heißen sowas wie WLAN gibt es bei uns gar nicht bzw. haben wir für Geräte welche ins Internet müssen aber eben nicht ins Netzwerk können (kein NIC usw.) einen WLAN Access Point von T-Mobile.
Dies wurde von der IT Revision so beschlossen und dann in einer Ausschreibung so festgehalten. Somit gibt es zwar kein Gesetz seitens Land/Bund usw. aber ein "Gesetz" aufgestellt von der IT Revision.
lg mc-dy
Hallo,
solche prinzipiellen Einschränkungen gibt es nicht. Das ist Ansichtssache im Kontext der jeweiligen, teils gesetzlichen Anforderungen an ein ausreichend hohes Schutzniveau. Eine prinzipielle Unsicherheit kann man "WLAN" auch nicht zuschreiben, weil die Umsetzungsmöglichkeiten zu verschieden sind. Ich kenne auch geheimschutzbetreute Unternehmen, die durchaus WLANs in gewissen Grenzen einsetzen. Man kann schließlich dieselbe VPN-Lösung, die Remote bis VS-Vertraulich zugelassen ist, auch lokal nutzen. In den Unternehmen, die "aus Sicherheitsgründen" kein WLAN verwenden, ist meiner Erfahrung nach meist die Zugangskontrolle schon am verkabelten Netz mangelhaft (so dass die Policy auch wieder ihre Berechtigung hat).
Grüße
Richard
solche prinzipiellen Einschränkungen gibt es nicht. Das ist Ansichtssache im Kontext der jeweiligen, teils gesetzlichen Anforderungen an ein ausreichend hohes Schutzniveau. Eine prinzipielle Unsicherheit kann man "WLAN" auch nicht zuschreiben, weil die Umsetzungsmöglichkeiten zu verschieden sind. Ich kenne auch geheimschutzbetreute Unternehmen, die durchaus WLANs in gewissen Grenzen einsetzen. Man kann schließlich dieselbe VPN-Lösung, die Remote bis VS-Vertraulich zugelassen ist, auch lokal nutzen. In den Unternehmen, die "aus Sicherheitsgründen" kein WLAN verwenden, ist meiner Erfahrung nach meist die Zugangskontrolle schon am verkabelten Netz mangelhaft (so dass die Policy auch wieder ihre Berechtigung hat).
Grüße
Richard
