eno

Hallo zusammen,
könnt ihr euch meinen Projektantrag anschauen,
über ein feedback freue ich mich natürlich.

1.Hintergrund
In Zeiten zunehmender Digitalisierung im Gesundheitswesen sind sichere und nachvollziehbare Netzwerkanbindungen im Krankenhaus von besonderer Bedeutung. Die aktuelle PSK‑WLAN‑Authentifizierung ermöglicht keine individuelle Zugriffskontrolle und keine ausreichende Protokollierung, was Datenschutzverstöße und unautorisierten Zugriff begünstigt. Aus Sicht des IT‑Grundschutzes (BSI), des BSI‑Standards B3S sowie des neuen NIS2‑Rahmens sind solche Schwachstellen nicht nur wachsende Risiken, sondern erfordern konkrete Maßnahmen zur Umsetzung von Zugangskontrolle und Protokollierung. Um diesen Anforderungen und Handlungsempfehlungen der Gesetzgeber gerecht zu werden, ist ein modernes WLAN‑Zugangskontrollkonzept auf Basis von 802.1X sowie Active Directory notwendig.
2.Ist-Zustand
Aktuell werden im Krankenhaus mehrere WLAN‑SSIDs (z.B. „intern“, „Stationen“ und „Guest“) ausschließlich mit PSK‑Authentifizierung und WPA2 betrieben. Es existiert keine individuelle Nutzer‑Authentifizierung, keine Port‑Security und keine 802.1X‑Zugangskontrolle. Zugriffe auf das WLAN sind nicht zentral protokolliert, sodass keine klare Zuordnung von Nutzer, Gerät und Netzwerksegment erfolgt. Die vorhandene Active Directory‑Domäne wird zwar für die Anmeldung an Clients und Servern genutzt, aber bislang nicht in das WLAN‑Zugangskontrollkonzept eingebunden. Die Kombination aus bloßem WPA2‑PSK und fehlender 802.1X‑Authentifizierung entspricht weder modernen Sicherheitsanforderungen noch den Empfehlungen des IT‑Grundschutzes.
3.Ziel des Projekts:
Die 802.1X‑basierte WLAN‑Authentifizierung soll die bestehenden PSK‑Netze im Krankenhaus ersetzen und eine zentrale Zugriffskontrolle über die Active‑Directory‑Domäne ermöglichen. Aus Sicht des B3S ist eine klar definierte Netzwerksegmentierung notwendig, weshalb getrennte VLANs/SSIDs für unterschiedliche Geräteklassen (z.B. Mitarbeiter, Medizingeräte, Gäste) vorgesehen werden. 802.1X unterstützt dies durch dynamische VLAN‑Zuweisungen und rollenbasierte Netzzugänge, sodass nur autorisierte Mitarbeiter und Geräte Zugang zu den geschützten WLAN‑Netzen erhalten. Für Gäste wird ein separates WLAN mit Captive‑Portal bereitgestellt, über das zeitlich begrenzte Zugangsdaten automatisch generiert werden. Dadurch bleiben Gäste vom internen Netzwerk getrennt, die Netzsegmentierung wird konsequent umgesetzt und der administrative Aufwand durch manuelle PSK‑Vergabe entfällt. Wichtigste Kriterien bei der Auswahl der Lösung sind Sicherheit, Datenschutzkonformität, einfache Integration in die bestehende Domäneninfrastruktur sowie langfristige Wartbarkeit und Erweiterbarkeit.
4.Projektumfang
·         Auswahl und Einführung einer 802.1X‑basierten WLAN‑Zugangskontrolle mit Radius‑Server und Anbindung an die vorhandene Active‑Directory‑Domäne.
·         Umstellung der bestehenden PSK‑WLAN‑Netze auf WPA3 Enterprise mit dynamischer VLAN-Zuweisung gemäß B3S‑Segmentierung.
·         Einrichtung eines separaten Guest‑WLANs mit Voucher‑Portal und Durchführung von Tests sowie Dokumentation für den Betrieb durch das IT‑Personal.
 
5.Projektphasen (40 Stunden)
a) Analyse- und Konzeptphase (Dauer: 6 Stunden):
·         IST-Aufnahme WLAN-Struktur (SSIDs, VLANs, PSK-Betrieb, BSI-Red-Flags identifizieren) (2 h)
·         Erstellung SOLL-Konzepts (802.1X Enterprise, WPA3-Enterprise, dynamische VLANs) (3 h)
·         Abstimmung mit IT-Leitung/Datenschutz (BSI/NIS2-Anforderungen) (1 h)
b) Planungs‑ und Entscheidungsphase (Dauer: 8 Stunden):
·         Recherche sicherer EAP-Methoden und RADIUS-Lösungen (4 h)
·         Kosten-/Nutzwertbetrachtung (BSI-Compliance vs. PSK-Risiken) (2 h)
·         Entscheidungsfindung und Freigabe des BSI-konformen Konzepts (2 h)
c) Implementierungs‑ und Anpassungsphase (Dauer: 16 Stunden):
·         RADIUS-Server (NPS) mit AD-Anbindung und zentralem Logging (5 h)
·         Konfiguration WLAN-SSIDs für 802.1X WPA3-Enterprise + dynamische VLAN-Zuweisung (7 h)
·         Guest-WLAN mit Captive-Portal (komplette Trennung vom Kliniknetz) (4 h)
d) Test‑ und Abstimmungsphase (Dauer: 6 Stunden):
·         Funktions-/Belastungstests (Mitarbeiter, Medizingeräte, Gäste) nach BSI-Checkliste (4 h)
·         Feinabstimmung EAP-Methoden, VLANs, Sicherheitsparameter (2 h)
e) Abschluss‑ und Übergabephase (Dauer: 4 Stunden):
·         Schulung/Übergabe an das IT‑Personal (Betreuung, Erweiterung, Fehlerbehebung) (1 h)
·         Dokumentation des Gesamtprojekts (3 h)
6.Erwartete Ergebnisse
·         Erfüllung zentraler BSI-Anforderungen für Krankenhäuser: 802.1X Enterprise-Authentifizierung, WPA3-Enterprise, dynamische VLAN-Zuweisung, zentrales Logging.
·         Verbesserte Sicherheit und Nachvollziehbarkeit durch rollenbasierte Zugriffskontrolle über Active Directory mit klarer Netzwerksegmentierung.
·         Komplette Trennung von Klinik-IT, Medizingeräten und Gastzugriff durch separates Voucher-Portal mit zeitlich begrenzten Internetzugängen.
·         Reduzierter administrativer Aufwand bei WLAN-Zugangsverwaltung (keine manuellen PSK-Wechsel, zentrale AD-Steuerung).

Danke schon mal für eure Hilfe!