eno

Danke für das Feedback. Ich habe den Projektantrag überarbeitet 1.Hintergrund Im Krankenhaus spielt ein stabiler und sicherer WLAN‑Betrieb eine wichtige Rolle, da viele Geräte und Nutzer über das WLAN auf das Netzwerk zugreifen. Aktuell basiert die WLAN‑Zugangskontrolle auf PSK‑Authentifizierung (z.B. WPA2‑PSK), ohne individuelle Nutzer‑Authentifizierung und ohne zentrale Protokollierung. Dies birgt Risiken, weil Kennwörter leichter kompromittiert werden können, Zugriffe nicht eindeutig Nutzern zugeordnet sind und Änderungen an Kennwörtern aufwendig sind. Zudem fehlt eine klare Netzwerksegmentierung, sodass verschiedene Nutzergruppen (z.B. Personal, Gäste) nicht sauber voneinander getrennt sind. Das Projekt soll daher eine moderne, zentrale WLAN‑Zugangskontrolle auf Basis von 802.1X und Active Directory einführen, um Sicherheit, Zugriffskontrolle und Nachvollziehbarkeit deutlich zu verbessern. 2.Ist-Zustand Aktuell werden im Krankenhaus mehrere WLAN‑SSIDs (z.B. „intern“, „Stationen“ und „Guest“) ausschließlich mit PSK‑Authentifizierung und WPA2 betrieben. Es existiert keine individuelle Nutzer‑Authentifizierung, keine Port‑Security und keine 802.1X‑Zugangskontrolle. Zugriffe auf das WLAN sind nicht zentral protokolliert, sodass keine klare Zuordnung von Nutzer, Gerät und Netzwerksegment erfolgt. Die vorhandene Active‑Directory‑Domäne wird zwar für die Anmeldung an Clients und Servern genutzt, ist aber bislang nicht in das WLAN‑Zugangskontrollkonzept eingebunden. Die Kombination aus bloßem WPA2‑PSK und fehlender 802.1X‑Authentifizierung entspricht weder den aktuellen Sicherheitsanforderungen noch den Empfehlungen moderner Netzwerkbetriebsweisen. 3.Ziel des Projekts Die 802.1X‑basierte WLAN‑Authentifizierung soll die bestehenden PSK‑Netze im Krankenhaus ersetzen und eine zentrale Zugriffskontrolle über die Active‑Directory‑Domäne ermöglichen. Es sind getrennte VLANs/SSIDs für unterschiedliche Gerätegruppen vorgesehen (z.B. Mitarbeiter, Gäste, Admin). 802.1X unterstützt dies durch dynamische VLAN‑Zuweisungen und rollenbasierte Netzzugänge, sodass nur autorisierte Mitarbeiter und Geräte Zugang zu den geschützten WLAN‑Netzen erhalten. Für Gäste wird ein separates WLAN mit Captive‑Portal bereitgestellt, über das zeitlich begrenzte Zugangsdaten automatisch generiert werden. Dadurch bleiben Gäste vom internen Netzwerk getrennt, die Netzsegmentierung wird konsequent umgesetzt und der administrative Aufwand durch manuelle PSK‑Vergabe entfällt. Wichtige Kriterien bei der Auswahl der Lösung sind Sicherheit, Datenschutzkonformität, einfache Integration in die bestehende Domäneninfrastruktur sowie langfristige Wartbarkeit und Erweiterbarkeit. 4.Projektumfang Auswahl und Einführung einer 802.1X‑basierten WLAN‑Zugangskontrolle mit Radius‑Server und Anbindung an die bestehende Active‑Directory‑Domäne. Vergleich sicherer EAP‑Methoden und RADIUS‑Lösungen sowie eigenständige Entscheidung für eine geeignete Kombination. Umstellung der bestehenden PSK‑WLAN‑Netze auf WPA3 Enterprise mit dynamischer VLAN‑Zuweisung und klarer Netzwerksegmentierung. Einrichtung eines separaten Guest‑WLANs mit Captive‑Portal oder Voucher‑System sowie Durchführung von Tests und Dokumentation für den Betrieb durch das IT‑Personal. 5. Projektphasen (40 Stunden) a) Analyse‑ und Konzeptphase (6 h) · IST‑Aufnahme der bestehenden WLAN‑Struktur (SSIDs, VLANs, PSK‑Betrieb). · Erstellung des SOLL‑Konzepts (802.1X Enterprise, WPA3‑Enterprise, dynamische VLANs). · Abstimmung mit IT‑Leitung / Datenschutz b) Planungs‑ und Entscheidungsphase (8 h) · Vergleich sicherer EAP‑Methoden und geeigneter RADIUS‑Lösungen. · Eigenständige Auswahl der EAP‑Methode und des Radius‑Servers. · Abwägung von Sicherheit, Aufwand und Kompatibilität. c) Implementierungs‑ und Anpassungsphase (16 h) · Einrichtung des RADIUS‑Servers (z.B. NPS) mit AD‑Anbindung und Logging. · Konfiguration der WLAN‑SSIDs für 802.1X WPA3‑Enterprise + dynamische VLAN‑Zuweisung. · Einrichtung eines separaten Guest‑WLANs mit Captive‑Portal. d) Test‑ und Abstimmungsphase (6 h) · Funktions‑ und Belastungstests (Mitarbeiter, Gäste, ggf. ausgewählte Geräte). · Feinabstimmung der EAP‑Methoden, VLANs und Sicherheitsparameter. e) Abschluss‑ und Übergabephase (4 h) · Schulung und Übergabe an das IT‑Personal. · Dokumentation des Projekts (Konfigurationen, Entscheidungsgründe, Betrieb). 6.Erwartete Ergebnisse Einführung einer 802.1X‑basierten WLAN‑Authentifizierung mit WPA3‑Enterprise, die die bisherigen PSK‑Netze ablöst und eine zentrale Zugriffskontrolle über die Active‑Directory‑Domäne ermöglicht. Verbesserte Sicherheit und Nachvollziehbarkeit durch individuelle Nutzer‑Authentifizierung, dynamische VLAN‑Zuweisungen und klare Netzwerksegmentierung. Vollständige Trennung von internem Kliniknetz und Gast‑WLAN durch ein separates Guest‑Netz mit Captive‑Portal oder Voucher‑System und zeitlich begrenzten Zugängen. Signifikant reduzierter Verwaltungsaufwand bei der WLAN‑Zugangsvergabe, da keine manuellen PSK‑Änderungen mehr nötig sind und die Verwaltung zentral über Active Directory erfolgt. Ich bitte noch um feedback Danke

Hallo zusammen, könnt ihr euch meinen Projektantrag anschauen, über ein feedback freue ich mich natürlich. 1.Hintergrund In Zeiten zunehmender Digitalisierung im Gesundheitswesen sind sichere und nachvollziehbare Netzwerkanbindungen im Krankenhaus von besonderer Bedeutung. Die aktuelle PSK‑WLAN‑Authentifizierung ermöglicht keine individuelle Zugriffskontrolle und keine ausreichende Protokollierung, was Datenschutzverstöße und unautorisierten Zugriff begünstigt. Aus Sicht des IT‑Grundschutzes (BSI), des BSI‑Standards B3S sowie des neuen NIS2‑Rahmens sind solche Schwachstellen nicht nur wachsende Risiken, sondern erfordern konkrete Maßnahmen zur Umsetzung von Zugangskontrolle und Protokollierung. Um diesen Anforderungen und Handlungsempfehlungen der Gesetzgeber gerecht zu werden, ist ein modernes WLAN‑Zugangskontrollkonzept auf Basis von 802.1X sowie Active Directory notwendig. 2.Ist-Zustand Aktuell werden im Krankenhaus mehrere WLAN‑SSIDs (z.B. „intern“, „Stationen“ und „Guest“) ausschließlich mit PSK‑Authentifizierung und WPA2 betrieben. Es existiert keine individuelle Nutzer‑Authentifizierung, keine Port‑Security und keine 802.1X‑Zugangskontrolle. Zugriffe auf das WLAN sind nicht zentral protokolliert, sodass keine klare Zuordnung von Nutzer, Gerät und Netzwerksegment erfolgt. Die vorhandene Active Directory‑Domäne wird zwar für die Anmeldung an Clients und Servern genutzt, aber bislang nicht in das WLAN‑Zugangskontrollkonzept eingebunden. Die Kombination aus bloßem WPA2‑PSK und fehlender 802.1X‑Authentifizierung entspricht weder modernen Sicherheitsanforderungen noch den Empfehlungen des IT‑Grundschutzes. 3.Ziel des Projekts: Die 802.1X‑basierte WLAN‑Authentifizierung soll die bestehenden PSK‑Netze im Krankenhaus ersetzen und eine zentrale Zugriffskontrolle über die Active‑Directory‑Domäne ermöglichen. Aus Sicht des B3S ist eine klar definierte Netzwerksegmentierung notwendig, weshalb getrennte VLANs/SSIDs für unterschiedliche Geräteklassen (z.B. Mitarbeiter, Medizingeräte, Gäste) vorgesehen werden. 802.1X unterstützt dies durch dynamische VLAN‑Zuweisungen und rollenbasierte Netzzugänge, sodass nur autorisierte Mitarbeiter und Geräte Zugang zu den geschützten WLAN‑Netzen erhalten. Für Gäste wird ein separates WLAN mit Captive‑Portal bereitgestellt, über das zeitlich begrenzte Zugangsdaten automatisch generiert werden. Dadurch bleiben Gäste vom internen Netzwerk getrennt, die Netzsegmentierung wird konsequent umgesetzt und der administrative Aufwand durch manuelle PSK‑Vergabe entfällt. Wichtigste Kriterien bei der Auswahl der Lösung sind Sicherheit, Datenschutzkonformität, einfache Integration in die bestehende Domäneninfrastruktur sowie langfristige Wartbarkeit und Erweiterbarkeit. 4.Projektumfang · Auswahl und Einführung einer 802.1X‑basierten WLAN‑Zugangskontrolle mit Radius‑Server und Anbindung an die vorhandene Active‑Directory‑Domäne. · Umstellung der bestehenden PSK‑WLAN‑Netze auf WPA3 Enterprise mit dynamischer VLAN-Zuweisung gemäß B3S‑Segmentierung. · Einrichtung eines separaten Guest‑WLANs mit Voucher‑Portal und Durchführung von Tests sowie Dokumentation für den Betrieb durch das IT‑Personal. 5.Projektphasen (40 Stunden) a) Analyse- und Konzeptphase (Dauer: 6 Stunden): · IST-Aufnahme WLAN-Struktur (SSIDs, VLANs, PSK-Betrieb, BSI-Red-Flags identifizieren) (2 h) · Erstellung SOLL-Konzepts (802.1X Enterprise, WPA3-Enterprise, dynamische VLANs) (3 h) · Abstimmung mit IT-Leitung/Datenschutz (BSI/NIS2-Anforderungen) (1 h) b) Planungs‑ und Entscheidungsphase (Dauer: 8 Stunden): · Recherche sicherer EAP-Methoden und RADIUS-Lösungen (4 h) · Kosten-/Nutzwertbetrachtung (BSI-Compliance vs. PSK-Risiken) (2 h) · Entscheidungsfindung und Freigabe des BSI-konformen Konzepts (2 h) c) Implementierungs‑ und Anpassungsphase (Dauer: 16 Stunden): · RADIUS-Server (NPS) mit AD-Anbindung und zentralem Logging (5 h) · Konfiguration WLAN-SSIDs für 802.1X WPA3-Enterprise + dynamische VLAN-Zuweisung (7 h) · Guest-WLAN mit Captive-Portal (komplette Trennung vom Kliniknetz) (4 h) d) Test‑ und Abstimmungsphase (Dauer: 6 Stunden): · Funktions-/Belastungstests (Mitarbeiter, Medizingeräte, Gäste) nach BSI-Checkliste (4 h) · Feinabstimmung EAP-Methoden, VLANs, Sicherheitsparameter (2 h) e) Abschluss‑ und Übergabephase (Dauer: 4 Stunden): · Schulung/Übergabe an das IT‑Personal (Betreuung, Erweiterung, Fehlerbehebung) (1 h) · Dokumentation des Gesamtprojekts (3 h) 6.Erwartete Ergebnisse · Erfüllung zentraler BSI-Anforderungen für Krankenhäuser: 802.1X Enterprise-Authentifizierung, WPA3-Enterprise, dynamische VLAN-Zuweisung, zentrales Logging. · Verbesserte Sicherheit und Nachvollziehbarkeit durch rollenbasierte Zugriffskontrolle über Active Directory mit klarer Netzwerksegmentierung. · Komplette Trennung von Klinik-IT, Medizingeräten und Gastzugriff durch separates Voucher-Portal mit zeitlich begrenzten Internetzugängen. · Reduzierter administrativer Aufwand bei WLAN-Zugangsverwaltung (keine manuellen PSK-Wechsel, zentrale AD-Steuerung). Danke schon mal für eure Hilfe!