Gesamteinschätzung (länglich)
Hi,
Ich merke das ich also ein paar Sachen nochmal klar und
deutlich erklären muss, damit mir daraus kein Strick gedreht
werden kann.
Naja… sagen wir mal so: Den Strick dreht sich eher der, der in Deinem Ausbildungsbetrieb verantwortlich ist - der handelt nämlich in dieser Sache - soweit das erkennbar ist - nicht gerade professionell. Warum, führe ich noch aus.
Ich arbeite als Auszubildender IT-Systemelektroniker in einer
Firma die sich auf Arztpraxen spezialisiert hat.
Gerade dann sollte Sicherheit bei Euch groß geschrieben werden. Das ist ja nun zufällig mein „Fachbereich“, wenn man so will, und ich würde als Chef zwar durchaus darauf Wert legen, daß ein Azubi im 3. Lehrjahr selbständig arbeitet und man ihm nicht bei allem und jedem auf die Finger schauen muß, würde aber dennoch einen detaillierten Bericht über die durchgeführten Maßnahmen verlangen, enge Absprache der Entscheidungen ansetzen und das Endergebnis von einer „fertigen“ Fachkraft abnehmen lassen. Warum?
Weil dort mit Daten hantiert wird, die einen erhöhten Sicherheitsbedarf haben, und diese Verantwortung (rechtlich und „moralisch“) kann ich einem Azubi nicht auferlegen, egal, wie gut er ist. Das vorweg.
Ich habe mich nicht für diese Wireless-Lösung entschieden,
wobei ich sagen muss das es mir auch als die einfachste Lösung
erschien.
Ich weiß auch nicht ob wir die Erlaubnis bekommen
hätten durch Wände und Decken zu bohren um ein Kabel nach oben
zu legen.
Naja, wLAN mit drei APs ist schon heftig, für eine Verbindung. Man muß für ein Kabel auch nicht durch Wände und Decken bohren - ich bin zwar kein Strippenzieher, bin mir aber sicher, ein guter Elektroinstallateur (DESSEN Job ist sowas nämlich!) hätte da eine minimalinvasive Lösung gefunden (was weiss ich, man kann auch ein Loch in den Fensterrahmen bohren und das Kabel aussen am Haus entlangführen.). Vielleicht wäre ja sogar das Stromnetz, also eine Powerlinelösung, eine Alternative gewesen. Klingt komisch, is aber so. Aber gut, wLAN ist _eine_ mögliche Lösung - die allerdings zusätzliche Gedanken über Übertragungssicherheit erforderlich macht.
Die APs in 1OG und 2OG (jeweils ein Personalumkleideraum der
abgesperrt ist) sind nur dem Personal des Diakonischen-Werks
zugänglich und diese wissen auch das sie die Geräte nicht
abstecken oder verstellen sollen/dürfen.
Mir würde das nicht reichen, ich würde auf Installation in einem zumindest mit einem Schloß gesicherten Metallkasten (Antennen von mir aus aussen dran) bestehen, oder aber Installation über abgehängter Decke, falls vorhanden.
Gesichert ist das Wireless-Netzwerk mit 128-Bit WEP
Verschlüsselung und MAC-Adressen Filterung.
Fakt ist: Eine wLAN-Verbindung - auch eine, die durch WEP abgesichert ist - kann JEDER, der will, abhören.
Dabei spielt es btw. keine Rolle, ob 40bit- oder 104bit-WEP benutzt wird (128bit lange Schlüssel gibt’s bei WEP nicht wirklich, auch wenn das immer wieder behauptet wird). Das ist für Daten, deren Sicherheitsbedarf höher als „gering“ ist, nicht akzeptabel.
MAC-Adressen-Filter bringen’s auch nicht wirklich - wenn ich einfach mal ne Runde lausche, welche MAC-Adressen da so erlaubt unterwegs sind, picke ich mir da halt eine raus, gebe sie meiner Netzwerkkarte und fertig. Dauert ca. 30s.
VPN habe ich nich
eingesetzt, da ich damit keine Erfahrung habe. Aber jetzt wo
ich drüber nachdenke glaube ich langsam zu wissen was ihr
meint. Eine gesicherte DFÜ-Verbindung über die Wireless PCI
Karte (über 3 APs) ins Erdgeschoss zum Server…?
Naja, mit DFÜ hat das nix zu tun… Aber so ähnlich, ja. Ein Tunnel, kryptographisch gesichert, also verschlüsselt und authentifiziert.
Mein Fazit: Man kann Dir nicht wirklich vorwerfen, Du hättest alles falsch gemacht oder so, Du hast sicher nach bestem Wissen und Gewissen gehandelt.
ABER: Dein Chef ist in der PFLICHT, den Kunden, also den Arzt, darüber aufzuklären, daß diese Methode KEINEM erhöhten Sicherheitsbedarf gerecht wird und daher ein realistisches Risiko besteht.
Wenn der Kunde das so hinnimmt - sein Problem.
Wenn er’s nicht weiß und dann was passiert: Euer Problem.
Wenn nicht Sicherheit explizit im Auftrag vereinbart war, brecht ihr Euch keinen Zacken aus der Krone, darauf hinzuweisen und auch darauf, daß Sicherheit eben mehr Geld kostet - schliesslich war das dann nicht Inhalt Eures Angebots. Nur macht man das eigentlich vor der Angebotserstellung…
Konkret ein Rat an Dich:
Weise Deinen direkten Vorgesetzten darauf hin - am besten per Mail, also nachvollziehbar - daß dort keine erhöhte Sicherheit gewährleistet ist, weil wLAN grundsätzlich abhörbar ist und WEP sowie MAC-Filter nicht wirklich sicher sind, und frage wie er - Dein Vorgesetzter - denn da so mit umgehen möchte. Dann bist Du persönlich aus dem Schneider.
Das sind mal so spontan meine „2 Cents“ dazu.
Gruß,
Malte.