Hi, ich hab nun den IST Zustand und das Projektziel etwas umformuliert. Meinst du das könnte so durchgehen @Muff Potter
3.IST Situation
Der Auftraggeber ist das Unternehmen ACME aus München-Unterföhring, ein Zulieferer der Automobilindustrie mit Spezialisierung auf fortschrittliche Bremssysteme, Ventiltriebe und Aktuatoren.
Aktuell setzt das Unternehmen ein veraltetes WLAN-Authentifizierungsverfahren (PSK & WPA2 – Pre-Shared Key) für Mitarbeiter und Gäste ein. Diese Methode birgt erhebliche Sicherheits- und Datenschutzrisiken, da ein einmal vergebener Schlüssel von unautorisierten Personen weitergegeben werden kann und keine zentrale Zugriffskontrolle besteht. Zudem gibt es keine Möglichkeit zur individuellen Authentifizierung und Protokollierung, wodurch nicht nachvollziehbar ist, wer sich wann mit dem Netzwerk verbunden hat. Dies steht im Widerspruch zu den Anforderungen der DSGVO an eine sichere Zugriffskontrolle und Nachvollziehbarkeit von Datenzugriffen. Darüber hinaus kann ein unkontrollierter Zugriff auf interne Systeme wirtschaftliche Schäden verursachen, wenn sensible Unternehmensdaten unbefugt eingesehen oder manipuliert werden.
Ein weiteres kritisches Problem besteht in der fehlenden logischen oder physischen Trennung zwischen dem Gäste- und dem internen Firmennetzwerk. Obwohl separate SSIDs existieren, können sich Gäste potenziell in das gleiche Netzwerksegment wie Mitarbeiter einwählen, was das Risiko unautorisierter Zugriffe auf interne Ressourcen erhöht. Dies stellt insbesondere aus Datenschutzsicht eine Schwachstelle dar, da sensible Unternehmensdaten nicht ausreichend vor externen Zugriffen geschützt sind. Neben den datenschutzrechtlichen Risiken kann eine unzureichende Netztrennung auch zu betrieblichen Ausfällen oder finanziellen Verlusten führen, wenn beispielsweise Schadsoftware über ungesicherte Endgeräte ins Firmennetzwerk gelangt und dort Systeme beeinträchtigt.
Darüber hinaus hat die gestiegene Nutzung des WLANs dazu geführt, dass die vorhandene Infrastruktur an ihre Kapazitätsgrenzen stößt. Die Access Points bieten nicht mehr die notwendige Bandbreite und Stabilität, um eine zuverlässige Netzwerkverbindung sicherzustellen. Dies beeinträchtigt nicht nur die Produktivität der Mitarbeiter, sondern erhöht auch das Risiko, dass sich Nutzer in unsichere, externe Netzwerke einwählen, um eine bessere Verbindung zu erhalten. In einer zunehmend digitalen Arbeitsumgebung kann eine instabile Netzwerkverbindung erhebliche wirtschaftliche Nachteile mit sich bringen, da Verzögerungen und Unterbrechungen die Effizienz von Arbeitsabläufen beeinträchtigen.
Die bestehende Netzwerkinfrastruktur basiert auf einem Aruba-Switch-Cluster, das VLANs und Netzwerkschnittstellen verwaltet. Zusätzlich gibt es einen Switch, an dem ein defekter Access Point, ein NAS und ein Arbeitsplatzcomputer angeschlossen sind. Diese Geräte befinden sich im Keller der Firma.
Der zentrale Server, ein Lenovo ThinkSystem SR650, betreibt mehrere virtuelle Maschinen, die verschiedene Unternehmensfunktionen übernehmen, darunter den Domänencontroller und den Fileserver. Eine sichere Zugriffskontrolle auf diese Systeme ist entscheidend, um Datenschutzverstöße zu vermeiden und wirtschaftliche Schäden durch unautorisierte Eingriffe oder Systemausfälle zu verhindern.
Die Netzwerkabsicherung nach außen erfolgt durch eine Fortigate Firewall.
Das Unternehmen verfügt über eine 1000-Mbit-Leitung.
4.Projektziel
Das Ziel des Projekts ist die Einführung einer sichereren, datenschutzkonformen und effizienteren Authentifizierungsmethode, die die Schwächen der bisherigen Pre-Shared-Key-Lösung (PSK) überwindet. Durch die Implementierung von 802.1X in Verbindung mit Active Directory und WPA2/WPA3 soll der Netzwerkzugriff für Mitarbeiter und Gäste besser geschützt, kontrollierbar und gleichzeitig einfacher verwaltet werden. Die derzeitige Authentifizierungsmethode stellt nicht nur ein Sicherheitsrisiko dar, sondern entspricht auch nicht den Anforderungen an eine nachvollziehbare Zugriffskontrolle im Sinne der DSGVO, da keine individuelle Authentifizierung oder Protokollierung der Zugriffe erfolgt. Zudem erfordert die bestehende Lösung einen hohen administrativen Aufwand, da Passwörter regelmäßig manuell aktualisiert und verteilt werden müssen.
Mit der Umstellung auf eine nutzerbasierte Authentifizierung wird eine feingranulare Zugriffskontrolle ermöglicht, sodass ausschließlich autorisierte Personen auf Unternehmensressourcen zugreifen können. Gleichzeitig verbessert sich die Transparenz und Nachvollziehbarkeit von Netzwerkzugriffen, indem Verbindungen zentral protokolliert werden. Dies stellt sicher, dass alle Maßnahmen den Datenschutzanforderungen entsprechen und mögliche sicherheitsrelevante Vorfälle lückenlos dokumentiert werden.
Neben der Sicherheits- und Verwaltungsoptimierung spielt auch die wirtschaftliche Effizienz eine zentrale Rolle. Durch eine automatisierte und zentralisierte Authentifizierung sinken langfristig die Betriebskosten, da weniger personeller Aufwand für Konfigurationsänderungen und Fehlerbehebungen erforderlich ist. Gleichzeitig wird das Risiko wirtschaftlicher Schäden durch unautorisierte Zugriffe oder IT-Sicherheitsvorfälle reduziert, die im schlimmsten Fall zu Datenverlust oder Betriebsunterbrechungen führen könnten.
Darüber hinaus wird die Netzwerkinfrastruktur so gestaltet, dass sie zukünftige Erweiterungen und veränderte Sicherheitsanforderungen flexibel aufnehmen kann, ohne dass kostenintensive Umstellungen erforderlich sind. Dies gewährleistet eine langfristig tragfähige Lösung, die nicht nur die Sicherheit des Netzwerks erheblich verbessert, sondern auch den wirtschaftlichen und datenschutzrechtlichen Anforderungen gerecht wird.
mfg
hickey
