ISO 27001 Guest WiFi: Ein Leitfaden zur Compliance

ISO 27001 Guest WiFi: Ein Leitfaden zur Compliance Purple Technical Briefing Podcast — Episodenskript Ungefähre Laufzeit: 10 Minuten | Stimme: Britisches Englisch, Tonfall eines Senior Consultants --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zum Purple Technical Briefing. Ich bin Ihr Gastgeber für die heutige Episode, und wir tauchen in ein Thema ein, das an der Schnittstelle von Netzwerkbetrieb und Information Security Governance liegt: Guest WiFi und ISO 27001-Compliance. Wenn Sie IT-Manager, Netzwerkarchitekt oder ISO 27001-Leitender Auditor bei einer Hotelgruppe, einer Einzelhandelskette, einem Stadion oder einer Organisation des öffentlichen Sektors sind, ist diese Episode genau für Sie gemacht. Wir werden ISO 27001 nicht von Grund auf erklären – Sie kennen den Standard. Was wir tun werden, ist Ihnen eine präzise, praktische Anleitung zu geben, wie sich Ihre Guest WiFi-Implementierung in Ihr Information Security Management System einfügt, welche Kontrollen gelten, was Ihre Risikobewertung dokumentieren muss und, ganz entscheidend, welche Nachweise Sie vorlegen müssen, wenn der Auditor vor der Tür steht. Guest WiFi ist einer dieser Bereiche, die Organisationen aus Compliance-Sicht konsequent unterschätzen. Es fühlt sich an wie ein Standarddienst – ein paar Access Points anschließen, ein Passwort herausgeben, fertig. Aber aus ISMS-Sicht ist es ein aktiver Informationswert, der Ihre Netzwerkgrenze, Ihre Lieferantenbeziehungen, Ihre Datenschutzverpflichtungen und Ihr rechtliches Risiko berührt. Lassen Sie uns das genauer betrachten. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Beginnen wir mit der Zuordnung der Kontrollen. ISO 27001:2022 hat seine Kontrollen in Anhang A neu strukturiert, und einige davon gelten direkt für Guest WiFi. Die wichtigste Gruppe befindet sich im Abschnitt „Technologische Kontrollen“ – das ist Anhang A, Abschnitt 8. Kontrolle A.8.22 – Segmentierung von Netzwerken – ist Ihre grundlegende Anforderung. Diese Kontrolle schreibt vor, dass Gruppen von Informationsdiensten, Benutzern und Systemen in Netzwerken segmentiert werden müssen. Für Guest WiFi bedeutet dies direkt eine VLAN-Isolierung. Ihr Gästenetzwerk muss logisch und, wo angemessen, physisch von Ihrem Unternehmensnetzwerk, Ihrer Zahlungsabwicklungsumgebung und allen IoT- oder Betriebstechnologiesegmenten getrennt sein. Wenn ein Auditor feststellt, dass der Gästedatenverkehr interne Dateifreigaben oder Managementschnittstellen erreichen kann, ist dies eine klare Nichtkonformität mit A.8.22. Kontrolle A.8.20 – Netzwerksicherheit – erfordert, dass Netzwerke verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen. Für Guest WiFi bedeutet dies dokumentierte Firewall-Regeln, Zugriffskontrolllisten und eine Netzwerksicherheitsrichtlinie, die das Gästesegment explizit berücksichtigt. Sie müssen dem Auditor ein aktuelles Netzwerkdiagramm mit klar gekennzeichnetem Gäste-VLAN und das Firewall-Regelwerk vorlegen können, das regelt, was dieses Segment erreichen kann und was nicht. Kontrolle A.8.21 – Sicherheit von Netzwerkdiensten – befasst sich mit Drittanbietern von Netzwerkdiensten. Die meisten Organisationen, die Guest WiFi betreiben, nutzen einen Managed Service Provider, eine cloudbasierte Captive Portal-Plattform oder eine vom ISP bereitgestellte Lösung. Jede dieser Beziehungen ist eine Lieferantenbeziehung, die gesteuert werden muss. Sie benötigen Service Level Agreements, die Sicherheitsanforderungen enthalten, und Sie benötigen Nachweise über regelmäßige Lieferantenprüfungen. Hier werden SOC 2 Type II-Zertifizierungen von Anbietern äußerst nützlich – darauf kommen wir noch zurück. Kontrolle A.8.15 – Protokollierung – erfordert, dass Ereignisprotokolle erstellt, gespeichert, geschützt und analysiert werden. Für Guest WiFi bedeutet dies die Protokollierung von Verbindungsereignissen, Authentifizierungsversuchen und Sitzungsdaten. Nun gibt es hier einen Konflikt mit der GDPR und den Grundsätzen der Datenminimierung, insbesondere in Großbritannien und der EU. Sie müssen genug protokollieren, um Ihre Sicherheitsüberwachungspflichten zu erfüllen, aber nicht so viel, dass Sie personenbezogene Daten über das erforderliche Maß hinaus speichern. Ihre Protokollierungsrichtlinie sollte den Geltungsbereich des Guest WiFi explizit regeln, Aufbewahrungsfristen definieren und die Rechtsgrundlage für alle erfassten personenbezogenen Daten dokumentieren. Kontrolle A.8.23 – Web-Filterung – erfordert, dass der Zugriff auf externe Websites verwaltet wird, um Systeme vor Malware-Infektionen zu schützen und den Zugriff auf nicht autorisierte Webressourcen zu verhindern. Für Guest WiFi bedeutet dies in der Regel die Implementierung einer DNS-basierten Filterung oder eines Cloud-Web-Proxys, der bekannte bösartige Domänen, Command-and-Control-Infrastrukturen und, je nach Branche, Kategorien unangemessener Inhalte blockiert. Ein Hotelbetreiber, der Familien anspricht, hat andere Filterpflichten als ein Konferenzzentrum, das Unternehmenskunden bedient, aber beide benötigen eine dokumentierte Richtlinie und Nachweise darüber, dass die Filterung aktiv ist und überprüft wird. Kommen wir zu den Organisatorischen Kontrollen – Anhang A, Abschnitt 5 – hier sind zwei Kontrollen besonders relevant. Kontrolle A.5.14 – Informationsübertragung – regelt die Regeln, Verfahren und Kontrollen für die Übertragung von Informationen. Wenn Gäste Ihr Netzwerk nutzen, um Dateien zu übertragen, auf Cloud-Dienste zuzugreifen oder Geschäfte abzuwickeln, benötigen Sie Nutzungsbedingungen (Acceptable Use Policy), die ihnen bei der Authentifizierung – in der Regel über das Captive Portal – präsentiert und vor der Gewährung des Zugriffs akzeptiert werden müssen. Dieses Akzeptanzereignis muss als Nachweis protokolliert werden. Kontrolle A.5.31 – Gesetzliche, behördliche, regulatorische und vertragliche Anforderungen – erfordert, dass Sie alle relevanten gesetzlichen und regulatorischen Verpflichtungen identifizieren und dokumentieren. Für Guest WiFi umfasst dies die GDPR oder UK GDPR, wenn Sie bei der Authentifizierung personenbezogene Daten erfassen, den Investigatory Powers Act, wenn Sie sich in Großbritannien befinden und möglicherweise zur Aufbewahrung von Kommunikationsdaten verpflichtet sind, sowie branchenspezifische Vorschriften wie PCI DSS, wenn Ihr Gästenetzwerk für Karteninhaberdaten relevant ist. Nun zur Risikobewertung. ISO 27001 ist ein risikobasierter Standard, was bedeutet, dass Sie nicht einfach Kontrollen implementieren und die Sache als erledigt betrachten können. Sie müssen eine formelle Risikobewertung für das Guest WiFi-Asset dokumentieren. Diese Bewertung sollte Bedrohungen identifizieren – unbefugten Zugriff auf interne Systeme, Verbreitung von Malware von Gäste-Geräten, Abfangen von Daten auf dem drahtlosen Medium, Denial of Service und Reputationsschäden durch Missbrauch Ihres Netzwerks. Für jede Bedrohung bewerten Sie Wahrscheinlichkeit und Auswirkung, bestimmen Ihre Risikobehandlung – ob mindern, akzeptieren, übertragen oder vermeiden – und dokumentieren das Restrisiko. Die Erklärung zur Anwendbarkeit (SoA) muss auf die Risikobewertung des Guest WiFi als Begründung für die Einbeziehung oder den Ausschluss bestimmter Kontrollen aus Anhang A verweisen. Lassen Sie uns über WPA3 und Authentifizierungsstandards sprechen. Die WiFi-Hardwaregenerationen IEEE 802.11ax und 802.11be unterstützen WPA3, das Simultaneous Authentication of Equals – SAE – bietet und den älteren Pre-Shared Key-Handshake ersetzt. Für ein Gästenetzwerk, bei dem Sie ein gemeinsames Passwort verwenden, bietet WPA3-Personal mit SAE Forward Secrecy. Das bedeutet, dass selbst bei einer Kompromittierung des Passworts historischer Sitzungsdatenverkehr nicht entschlüsselt werden kann. Für Unternehmensimplementierungen, bei denen Sie eine Authentifizierung pro Benutzer wünschen, bietet WPA3-Enterprise mit IEEE 802.1X und EAP-TLS eine zertifikatsbasierte Authentifizierung, die direkt den ISO 27001-Identitätsmanagementkontrollen entspricht. Die Wahl zwischen diesen beiden Modellen hängt von Ihrer Benutzergruppe und Ihrer Toleranz gegenüber betrieblicher Komplexität ab. Nun zu den SOC 2-Zertifizierungen von Anbietern. Wenn Sie eine cloudbasierte Guest WiFi-Plattform nutzen – was die meisten Organisationen tun –, ist der SOC 2 Type II-Bericht dieses Anbieters ein entscheidender Teil Ihres Nachweises zur Lieferantensicherheit. Ein SOC 2 Type II-Bericht deckt die Trust Services Criteria ab: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz über einen Prüfzeitraum von in der Regel sechs bis zwölf Monaten. Wenn Sie Ihre ISO 27001-Lieferantensicherheitsakte erstellen, bietet Ihnen der SOC 2 Type II-Bericht des Anbieters in Kombination mit einem ausgefüllten Sicherheitsfragebogen für Lieferanten und einer Vereinbarung zur Auftragsverarbeitung ein solides Nachweispaket für die Kontrolle A.8.21. Purple ist beispielsweise nach SOC 2 ausgerichtet, was diese nachgelagerte ISMS-Anforderung direkt unterstützt. Das bedeutet, dass Sie in Ihren eigenen Audit-Nachweisen auf deren Zertifizierung verweisen können, anstatt eine vollständige, maßgeschneiderte Sicherheitsbewertung der Plattform durchzuführen. --- SEGMENT 3: IMPLEMENTIERUNGSEMPFEHLUNGEN UND FEHLER (ca. 2 Minuten) Lassen Sie mich Ihnen die vier Implementierungsentscheidungen nennen, die die meisten Organisationen falsch machen. Erstens: Scope Creep bei der Risikobewertung. Organisationen definieren den Geltungsbereich des Guest WiFi entweder zu eng – und behandeln es als außerhalb des Geltungsbereichs, weil es nur für Besucher gedacht ist – oder zu breit, indem sie versuchen, jede mögliche Kontrolle unabhängig von ihrer Relevanz anzuwenden. Der richtige Ansatz besteht darin, es als Informationswert zu definieren, der in den Geltungsbereich des ISMS fällt, eine angemessene Risikobewertung durchzuführen und Ihre Begründung für die Kontrollauswahl in der Erklärung zur Anwendbarkeit zu dokumentieren. Zweitens: Unzureichende Netzwerksegmentierung. Ich habe Gäste-VLANs gesehen, die zwar technisch getrennt sind, aber eine Firewall-Zone mit internen Systemen teilen, oder bei denen die Managementschnittstelle des Wireless-Controllers vom Gästesegment aus zugänglich ist. Die Segmentierung muss durch einen Penetrationstest oder zumindest eine Überprüfung des Netzwerkzugriffs verifiziert werden, und diese Verifizierung muss als Audit-Nachweis dokumentiert werden. Drittens: Ignorieren des Captive Portals als Zugriffskontrollmechanismus. Das Captive Portal ist nicht nur eine Branding-Maßnahme. Es ist der Punkt, an dem Sie Ihre Nutzungsbedingungen präsentieren, die Einwilligung zur Datenverarbeitung einholen und das Authentifizierungsprotokoll erstellen, das als Nachweis für mehrere ISO 27001-Kontrollen dient. Wenn Ihr Captive Portal keine Akzeptanzereignisse mit Zeitstempeln und Sitzungs-IDs protokolliert, haben Sie eine Lücke, die ein Auditor finden wird. Viertens: Die Behandlung der Lieferantensicherheit als einmalige Aufgabe. SOC 2-Berichte laufen ab. ISP-Verträge ändern sich. Die Nutzungsbedingungen von Cloud-Plattformen werden aktualisiert. Ihr Programm zur Lieferantensicherheit muss eine jährliche Überprüfung der Sicherheitszertifizierungen von Anbietern umfassen, und diese Überprüfung muss dokumentiert werden. Richten Sie eine Kalendererinnerung für das Ende des SOC 2-Berichtszeitraums jedes Anbieters ein und fordern Sie den aktualisierten Bericht proaktiv an. Zur Frage von Sitzungs-Timeouts: ISO 27001 schreibt keine spezifischen Timeout-Werte vor, aber Ihre Risikobewertung sollte die Begründung für den von Ihnen gewählten Wert dokumentieren. Ein Sitzungs-Timeout von acht Stunden ist im Gastgewerbe üblich, aber ein Konferenzzentrum, das eine eintägige Veranstaltung durchführt, könnte ein kürzeres Timeout festlegen, um sicherzustellen, dass Zugangsdaten nicht unter den Teilnehmern weitergegeben werden. Das Schlüsselprinzip ist, dass die Timeout-Richtlinie dokumentiert, risikobegründet und konsequent umgesetzt wird. Die Plattform von Purple ermöglicht es Ihnen beispielsweise, Richtlinien für Sitzungs-Timeouts zentral zu konfigurieren und durchzusetzen, wobei der Konfigurationsstatus als Audit-Nachweis exportiert werden kann. --- SEGMENT 4: SCHNELLE FRAGERUNDE (ca. 1 Minute) Lassen Sie uns die Fragen durchgehen, die mir von IT-Managern, die sich auf die ISO 27001-Zertifizierung vorbereiten, am häufigsten gestellt werden. Muss Guest WiFi im Geltungsbereich unseres ISMS liegen? Wenn es Informationen verarbeitet, speichert oder überträgt, die in Ihren ISMS-Geltungsbereich fallen, ja. Wenn sich Gäste mit personenbezogenen Daten authentifizieren oder wenn das Netzwerk mit Systemen verbunden ist, die im Geltungsbereich liegen, muss es einbezogen werden. Können wir Guest WiFi aus der Erklärung zur Anwendbarkeit ausschließen? Sie können Kontrollen ausschließen, müssen dies jedoch begründen. Der Ausschluss von A.8.22 (Segmentierung von Netzwerken) für eine Guest WiFi-Implementierung würde ein sehr überzeugendes Argument erfordern, das der Auditor wahrscheinlich nicht akzeptieren wird. Was ist das minimale Nachweispaket für ein Guest WiFi-Audit? Ein Netzwerkdiagramm, das die VLAN-Segmentierung zeigt, das Firewall-Regelwerk, die Captive Portal-Konfiguration mit dem Text der Nutzungsbedingungen, ein Auszug aus dem Authentifizierungsprotokoll, der Eintrag im Risikoregister und der SOC 2-Bericht des Anbieters oder ein gleichwertiges Dokument zur Qualitätssicherung. Wie interagiert die GDPR mit ISO 27001 beim Guest WiFi? Die GDPR ist eine gesetzliche Anforderung, die in die Kontrolle A.5.31 einfließt. Ihre Datenschutzerklärung, die Vereinbarung zur Auftragsverarbeitung mit Ihrem WiFi-Plattformanbieter und Ihre Datenaufbewahrungsrichtlinie sind sowohl ISO 27001-Nachweise als auch GDPR-Compliance-Artefakte. Sie erfüllen einen doppelten Zweck. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen: Guest WiFi ist kein Randthema für Ihr ISMS – es ist eine aktive Netzwerkgrenze mit realem Risiko und einer Reihe klar anwendbarer ISO 27001:2022-Kontrollen. Die wichtigsten Kontrollen sind A.8.22 für die Netzwerksegmentierung, A.8.20 für das Netzwerksicherheitsmanagement, A.8.21 für die Lieferantensicherheit, A.8.15 für die Protokollierung, A.8.23 für die Web-Filterung, A.5.14 für die zulässige Nutzung und A.5.31 für die gesetzliche Compliance. Ihre unmittelbaren nächsten Schritte: Erstens, stellen Sie sicher, dass Guest WiFi explizit in Ihrer ISMS-Geltungsbereichserklärung enthalten ist. Zweitens, fügen Sie einen Guest WiFi-Eintrag in Ihr Risikoregister mit dokumentierten Bedrohungen, Wahrscheinlichkeiten, Auswirkungen und Behandlungsentscheidungen ein. Drittens, erstellen Sie Ihr Nachweispaket – Netzwerkdiagramm, Firewall-Regeln, Captive Portal-Konfiguration, Protokollierungsrichtlinie und den SOC 2-Bericht des Anbieters. Viertens, planen Sie eine jährliche Überprüfung der Lieferantensicherheit für Ihren WiFi-Plattformanbieter. Wenn Sie Ihre Guest WiFi-Infrastruktur implementieren oder aktualisieren, ist die Plattform von Purple genau auf diese Compliance-Anforderungen ausgelegt – SOC 2-konform, mit zentraler Richtlinienverwaltung und exportierbaren Konfigurationsnachweisen, die direkt in Ihre ISMS-Dokumentation einfließen. Vielen Dank, dass Sie beim Purple Technical Briefing dabei waren. Den vollständigen schriftlichen Leitfaden, Architekturdiagramme und Praxisbeispiele finden Sie im Purple Resource Centre. Bis zum nächsten Mal.