Hallo zusammen,

könnt ihr euch meinen Projektantrag anschauen,

über ein feedback freue ich mich natürlich.

1.Hintergrund

In Zeiten zunehmender Digitalisierung im Gesundheitswesen sind sichere und nachvollziehbare Netzwerkanbindungen im Krankenhaus von besonderer Bedeutung. Die aktuelle PSK‑WLAN‑Authentifizierung ermöglicht keine individuelle Zugriffskontrolle und keine ausreichende Protokollierung, was Datenschutzverstöße und unautorisierten Zugriff begünstigt. Aus Sicht des IT‑Grundschutzes (BSI), des BSI‑Standards B3S sowie des neuen NIS2‑Rahmens sind solche Schwachstellen nicht nur wachsende Risiken, sondern erfordern konkrete Maßnahmen zur Umsetzung von Zugangskontrolle und Protokollierung. Um diesen Anforderungen und Handlungsempfehlungen der Gesetzgeber gerecht zu werden, ist ein modernes WLAN‑Zugangskontrollkonzept auf Basis von 802.1X sowie Active Directory notwendig.

2.Ist-Zustand

Aktuell werden im Krankenhaus mehrere WLAN‑SSIDs (z.B. „intern“, „Stationen“ und „Guest“) ausschließlich mit PSK‑Authentifizierung und WPA2 betrieben. Es existiert keine individuelle Nutzer‑Authentifizierung, keine Port‑Security und keine 802.1X‑Zugangskontrolle. Zugriffe auf das WLAN sind nicht zentral protokolliert, sodass keine klare Zuordnung von Nutzer, Gerät und Netzwerksegment erfolgt. Die vorhandene Active Directory‑Domäne wird zwar für die Anmeldung an Clients und Servern genutzt, aber bislang nicht in das WLAN‑Zugangskontrollkonzept eingebunden. Die Kombination aus bloßem WPA2‑PSK und fehlender 802.1X‑Authentifizierung entspricht weder modernen Sicherheitsanforderungen noch den Empfehlungen des IT‑Grundschutzes.

3.Ziel des Projekts:

Die 802.1X‑basierte WLAN‑Authentifizierung soll die bestehenden PSK‑Netze im Krankenhaus ersetzen und eine zentrale Zugriffskontrolle über die Active‑Directory‑Domäne ermöglichen. Aus Sicht des B3S ist eine klar definierte Netzwerksegmentierung notwendig, weshalb getrennte VLANs/SSIDs für unterschiedliche Geräteklassen (z.B. Mitarbeiter, Medizingeräte, Gäste) vorgesehen werden. 802.1X unterstützt dies durch dynamische VLAN‑Zuweisungen und rollenbasierte Netzzugänge, sodass nur autorisierte Mitarbeiter und Geräte Zugang zu den geschützten WLAN‑Netzen erhalten. Für Gäste wird ein separates WLAN mit Captive‑Portal bereitgestellt, über das zeitlich begrenzte Zugangsdaten automatisch generiert werden. Dadurch bleiben Gäste vom internen Netzwerk getrennt, die Netzsegmentierung wird konsequent umgesetzt und der administrative Aufwand durch manuelle PSK‑Vergabe entfällt. Wichtigste Kriterien bei der Auswahl der Lösung sind Sicherheit, Datenschutzkonformität, einfache Integration in die bestehende Domäneninfrastruktur sowie langfristige Wartbarkeit und Erweiterbarkeit.

4.Projektumfang

·         Auswahl und Einführung einer 802.1X‑basierten WLAN‑Zugangskontrolle mit Radius‑Server und Anbindung an die vorhandene Active‑Directory‑Domäne.

·         Umstellung der bestehenden PSK‑WLAN‑Netze auf WPA3 Enterprise mit dynamischer VLAN-Zuweisung gemäß B3S‑Segmentierung.

·         Einrichtung eines separaten Guest‑WLANs mit Voucher‑Portal und Durchführung von Tests sowie Dokumentation für den Betrieb durch das IT‑Personal.

 

5.Projektphasen (40 Stunden)

a) Analyse- und Konzeptphase (Dauer: 6 Stunden):

·         IST-Aufnahme WLAN-Struktur (SSIDs, VLANs, PSK-Betrieb, BSI-Red-Flags identifizieren) (2 h)

·         Erstellung SOLL-Konzepts (802.1X Enterprise, WPA3-Enterprise, dynamische VLANs) (3 h)

·         Abstimmung mit IT-Leitung/Datenschutz (BSI/NIS2-Anforderungen) (1 h)

b) Planungs‑ und Entscheidungsphase (Dauer: 8 Stunden):

·         Recherche sicherer EAP-Methoden und RADIUS-Lösungen (4 h)

·         Kosten-/Nutzwertbetrachtung (BSI-Compliance vs. PSK-Risiken) (2 h)

·         Entscheidungsfindung und Freigabe des BSI-konformen Konzepts (2 h)

c) Implementierungs‑ und Anpassungsphase (Dauer: 16 Stunden):

·         RADIUS-Server (NPS) mit AD-Anbindung und zentralem Logging (5 h)

·         Konfiguration WLAN-SSIDs für 802.1X WPA3-Enterprise + dynamische VLAN-Zuweisung (7 h)

·         Guest-WLAN mit Captive-Portal (komplette Trennung vom Kliniknetz) (4 h)

d) Test‑ und Abstimmungsphase (Dauer: 6 Stunden):

·         Funktions-/Belastungstests (Mitarbeiter, Medizingeräte, Gäste) nach BSI-Checkliste (4 h)

·         Feinabstimmung EAP-Methoden, VLANs, Sicherheitsparameter (2 h)

e) Abschluss‑ und Übergabephase (Dauer: 4 Stunden):

·         Schulung/Übergabe an das IT‑Personal (Betreuung, Erweiterung, Fehlerbehebung) (1 h)

·         Dokumentation des Gesamtprojekts (3 h)

6.Erwartete Ergebnisse

·         Erfüllung zentraler BSI-Anforderungen für Krankenhäuser: 802.1X Enterprise-Authentifizierung, WPA3-Enterprise, dynamische VLAN-Zuweisung, zentrales Logging.

·         Verbesserte Sicherheit und Nachvollziehbarkeit durch rollenbasierte Zugriffskontrolle über Active Directory mit klarer Netzwerksegmentierung.

·         Komplette Trennung von Klinik-IT, Medizingeräten und Gastzugriff durch separates Voucher-Portal mit zeitlich begrenzten Internetzugängen.

·         Reduzierter administrativer Aufwand bei WLAN-Zugangsverwaltung (keine manuellen PSK-Wechsel, zentrale AD-Steuerung).

Danke schon mal für eure Hilfe!

Bearbeitet vor 6 Stunden6 h von mapr

Prinzipiell machbar, allerdings habe ich hier meine Zweifel an dem Projektumfang. Gerade das Umsetzen sehr strenger Vorgaben ist recht zeitintensiv. Dann ist da auch die Sache, wie sicher bist du wenn es um die Vorgaben geht, die eingehalten werden sollen und zwar allen.

vor 47 Minuten, eno hat gesagt:

Abstimmung mit IT-Leitung/Datenschutz (BSI/NIS2-Anforderungen) (1 h)

Hier ist dann auch die Frage, was machst du und was wird dir vorgegeben. Es muss auf jeden Fall eine klare Abgrenzung stattfinden. Du müsstest zeigen, dass du Entscheidungen triffst zb. bei der Auswahl der verwendten Produkte.

vor 52 Minuten, eno hat gesagt:

Aus Sicht des B3S ist eine klar definierte Netzwerksegmentierung notwendig, weshalb getrennte VLANs/SSIDs für unterschiedliche Geräteklassen (z.B. Mitarbeiter, Medizingeräte, Gäste) vorgesehen werden.

Aus Sicht deines Abschlussprojektes tust du dir mit dem erwähnen der Medizingeräte keinen Gefallen. Ich weiß natürlich nicht, um welche Geräte es geht, aber es dürften mehrere Hersteller sein und mit unterschiedlichen Ansätzen/Formaten der Datenübertragung zum KIS.

Du bräuchtest eine komplette Übersicht aller Geräte, dann musst du dir noch die Informationen suchen die für dich relevant sind. Was unterstützt der Hersteller und was passiert wenn das Gerät zu alt ist und zb Probleme mit 802.1X WPA3-Enterprise oder dynamische VLAN-Zuweisung hat? Kann die Änderung automatisch durchgeführt oder gibt es Auswirkungen auf den Betrieb?

Auch wenn es sehr interessant ist, würde ich dir empfehlen etwas anderes zu suchen, da du hier gerade mit den Auflagen sehr viele Fallstricke drinnen hast und im Zweifelsfall auch keine richtigen Entscheidungen.

Ich durfte schonmal so ein Projekt umsetzen, allerdings mit Kompletter neuverlegung der Infrastruktur neue aps usw.

Wenn ich das oben abziehe habe ich dafür aber auch mehrere Wochen gebraucht und ich bin Recht fix , und es war eine eher kleine Klinik.

Wenn überhaupt dann sehe ich das als Teil Projekt in diesem Rahmen.

Richtig interessant wird es bei wpa3 und den Medizingeräten . Das wird bei 80% schlicht nicht funktionieren. Wie oben beschrieben sind Medizin Geräte sooo oft sooo alt !

Bearbeitet vor 8 Stunden8 h von t1nk4bell