{"component-definition":{"uuid":"01fcadfa-bd21-4f14-b688-5d4f86b1c502","metadata":{"title":"Implementierungsvorschläge WLAN","version":"2026-04-09","document-ids":[{"scheme":"http://oscal.io/oscal/identifier/content-uuid","identifier":"4b28c070-fc2d-4afd-94c1-3d83a6a94b95"}],"last-modified":"2026-04-16T07:12:24Z","oscal-version":"1.2.1"},"components":[{"type":"interconnection","uuid":"242b50ad-cb0c-518e-b21d-a33889317e60","title":"Abhandenkommen","description":"Die Institution hat Zugriffe über externe Netzanschlüsse für WLAN-Nutzende ausschließlich über einen erzwungenen VPN-Pfad oder einen gehärteten Direct-Internet-Access mit Positivlisten und zentralen Sicherheitsdiensten zugelassen.","control-implementations":[{"uuid":"3b6e9e26-35f9-5ec4-9f4d-0f800134d9cc","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Abhandenkommen","implemented-requirements":[{"uuid":"eab5017e-d83c-5bb0-a1ad-41f889c5063a","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_7dba0afd-96c5-4484-8b48-12fc45294247","description":"Die Institution hat Zugriffe über externe Netzanschlüsse für WLAN-Nutzende ausschließlich über einen erzwungenen VPN-Pfad oder einen gehärteten Direct-Internet-Access mit Positivlisten und zentralen Sicherheitsdiensten zugelassen."}]}]},{"type":"validation","uuid":"fe48ec1a-653a-5c1c-9b7c-150c7aa0a009","title":"Analyse verdeckter Kanäle","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet.","control-implementations":[{"uuid":"5bae4b40-94a4-5894-a3ff-82f17e00ddf0","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Analyse verdeckter Kanäle","implemented-requirements":[{"uuid":"5c91aeee-f848-52dc-b755-f62ddabe311d","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben.","control-id":"_8f64e735-9870-4a8d-8b7b-220b93baddba","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet."}]}]},{"type":"interconnection","uuid":"95db6deb-43c4-54ed-85b3-0b3270d2a019","title":"Anomalien in Netzen und am Perimeter","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt.","control-implementations":[{"uuid":"9eb99173-c2f7-5416-9527-297ef7162e99","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Anomalien in Netzen und am Perimeter","implemented-requirements":[{"uuid":"b912a8ed-7e9f-56bd-a0c9-f53598928720","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_e6cf2c48-c49f-4c10-9cca-252d903b0979","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt."}]}]},{"type":"interconnection","uuid":"39ee90a4-38e4-5e36-ac7c-b9d69118da2e","title":"Auswertung öffentlicher Quellen","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies sowie Kanal-/Leistungspläne vierteljährlich überprüft und Abweichungen per Change behoben.","control-implementations":[{"uuid":"9384451b-6cc3-54db-811f-3e471ce785d3","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Auswertung öffentlicher Quellen","implemented-requirements":[{"uuid":"5b4f0495-b986-54f3-8757-bd7ec75c729e","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_42bf3e91-d270-4a79-8ae9-a22918f94ad7","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies sowie Kanal-/Leistungspläne vierteljährlich überprüft und Abweichungen per Change behoben."}]}]},{"type":"interconnection","uuid":"1d9545ae-c229-58fd-a658-7f258212af27","title":"Authentifizierung von Routingprotokollen","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt.","control-implementations":[{"uuid":"eadbed0a-df8f-53bc-809c-fd781746158f","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Authentifizierung von Routingprotokollen","implemented-requirements":[{"uuid":"45a84fe7-b828-5f83-9307-0e545876e13e","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_739ad3ad-cbbc-4809-9f20-1c59e85c864b","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt."}]}]},{"type":"interconnection","uuid":"ad60e0fe-5f4b-5855-85af-6e3e229dd144","title":"Automatische Alarmierung","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"a87d90e6-1f29-5ced-90d7-ce6d28122019","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Automatische Alarmierung","implemented-requirements":[{"uuid":"da2114ae-af72-5606-a6c4-cb78616b3f19","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_f45e08b7-8f42-469a-aa22-63b93daba60e","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"interconnection","uuid":"7e6dee97-e3dc-5059-be10-4d2db58df477","title":"Automatisierte Feststellung","description":"Die Institution hat WLAN-Sicherheitsereignisse sowie Authentifizierungs- und Autorisierungsereignisse manipulationsgeschützt zentral an das SIEM weitergeleitet, zeitkorreliert ausgewertet und Aufbewahrung sowie Integrität der Protokolle sichergestellt.","control-implementations":[{"uuid":"cf325fc5-d182-5e8b-8afd-3ade97c004bd","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Automatisierte Feststellung","implemented-requirements":[{"uuid":"db097863-f5e0-522e-96e0-e57bf765ad26","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_92f55893-595b-4d3d-80eb-ef8e7b5ed1cb","description":"Die Institution hat WLAN-Sicherheitsereignisse sowie Authentifizierungs- und Autorisierungsereignisse manipulationsgeschützt zentral an das SIEM weitergeleitet, zeitkorreliert ausgewertet und Aufbewahrung sowie Integrität der Protokolle sichergestellt."}]}]},{"type":"interconnection","uuid":"e360f2bd-0685-5311-84d8-a40c99b93794","title":"Autorisierte Bezugsquellen","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt.","control-implementations":[{"uuid":"f467d397-46d0-5c57-a088-b81dae1545ac","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisierte Bezugsquellen","implemented-requirements":[{"uuid":"02b8e5c7-285e-5ae6-98da-f9d86260ff95","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_681afb8d-1864-4d86-9e69-3ecd9c14fbb8","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt."}]}]},{"type":"interconnection","uuid":"71a12dd8-31ab-5bae-8194-95400130b50c","title":"Autorisiertes Routing","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt.","control-implementations":[{"uuid":"2d10d537-9a19-51e2-b792-53d2d2dd8af9","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisiertes Routing","implemented-requirements":[{"uuid":"2fd451ce-7667-5cca-9595-54077433fd61","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_77aebab8-462b-4849-aaa2-9c939af5e1dc","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt."}]}]},{"type":"interconnection","uuid":"1386ccc4-9ecc-56d6-94ee-d0e03ef38544","title":"Autorisierung kritischer Scans","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt.","control-implementations":[{"uuid":"507779e2-9341-56b2-800f-45768b2262ae","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisierung kritischer Scans","implemented-requirements":[{"uuid":"2da7ae78-916a-5d43-838e-e2543597264f","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_d19ef635-5438-4b4e-b75b-479764f39069","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt."}]}]},{"type":"interconnection","uuid":"82a44985-5e37-5d63-a24e-f585c719d62c","title":"Autorisierung von Veräußerungen","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt.","control-implementations":[{"uuid":"a045d2dd-e608-59d0-81ca-c1324fff4756","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisierung von Veräußerungen","implemented-requirements":[{"uuid":"b7d233a7-9eff-5722-9aa1-55aeea145e98","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_28fe533e-5e43-496d-abca-0a7ada987143","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt."}]}]},{"type":"interconnection","uuid":"4347e2ef-7efa-5b56-a279-0264fb433b5d","title":"Autorisierung von Veröffentlichungen","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt.","control-implementations":[{"uuid":"ac87f667-4061-515a-b228-43ce7a6535c9","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisierung von Veröffentlichungen","implemented-requirements":[{"uuid":"5aa24de3-77c6-5a99-b282-0dc16f5e42d0","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_fa86f5b3-1e36-40bd-a61e-c58e7eba11c0","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs und VLANs zentral definiert und deren technische Durchsetzung über RADIUS-Policies sowie Controller-ACLs sichergestellt."}]}]},{"type":"interconnection","uuid":"f8b25994-717e-567f-ac04-1b4f46e518fe","title":"Autorisierung von Wartungen","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt.","control-implementations":[{"uuid":"e5f58fca-6a80-54e3-b519-8558e3190267","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Autorisierung von Wartungen","implemented-requirements":[{"uuid":"96931cf2-631e-567f-a6e5-30b6cf09dc1f","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_59a96eb8-75ad-420d-aab5-4d448f5c12ae","description":"Die Institution hat rollenbasierte Zugriffsrechte für SSIDs/VLANs definiert und per RADIUS-Policies sowie Controller-ACLs technisch durchgesetzt."}]}]},{"type":"interconnection","uuid":"fe6731b5-450c-5be6-8e9a-b4a8369d0e80","title":"Bedrohungsanalyse","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies sowie Kanal-/Leistungspläne vierteljährlich überprüft und Abweichungen per Change behoben.","control-implementations":[{"uuid":"af3ae5c0-ad4c-5561-90d4-e37276e56c04","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Bedrohungsanalyse","implemented-requirements":[{"uuid":"3b48c5ef-a4a7-5c0a-872c-2255d4fe71ba","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_2134a13a-50a6-44b7-8df1-3ce041ef376a","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies sowie Kanal-/Leistungspläne vierteljährlich überprüft und Abweichungen per Change behoben."}]}]},{"type":"policy","uuid":"0bbe90ae-eb72-5b70-81b2-1b53c5e3e306","title":"Bekanntgabe","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert.","control-implementations":[{"uuid":"c2a5f884-2283-5ad2-ac1b-9483eb95b0ff","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Bekanntgabe","implemented-requirements":[{"uuid":"4dbe0004-f14d-5513-be56-961c995b591b","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_cd662f68-72c0-4de0-8969-2be2da7049de","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert."}]}]},{"type":"interconnection","uuid":"36be5dfd-e5d7-54a0-a143-423f68f4fab3","title":"Beschriftungen entfernen","description":"Die Institution hat veraltete SSIDs, ungenutzte Profile und nicht mehr benötigte Zertifikate/Keys auf Controllern und Endgeräten entfernt.","control-implementations":[{"uuid":"f268b2f8-6898-5d74-829a-e50a3759eb26","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Beschriftungen entfernen","implemented-requirements":[{"uuid":"f6d930ca-ebfb-54a1-af41-097d686514dd","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_15560885-fab0-4b10-91ac-b1db78ada82b","description":"Die Institution hat veraltete SSIDs, ungenutzte Profile und nicht mehr benötigte Zertifikate/Keys auf Controllern und Endgeräten entfernt."}]}]},{"type":"interconnection","uuid":"c549d129-695a-573d-ac7c-7b20e1e9ea0c","title":"Beurteilung  von Eingängen","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"022b88fb-3494-5b9c-84c3-ae6087a62ade","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Beurteilung  von Eingängen","implemented-requirements":[{"uuid":"6f54d92c-ff8c-5c19-a96f-c17166ca60d2","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_0ec29d00-cea9-4337-8f83-b680453b21b2","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"interconnection","uuid":"4ff1a3fc-9990-519c-8746-4bdf61e1ad2f","title":"Blockieren anfälliger Netzprotokolle","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für Discovery- und Verstärkungsprotokolle umgesetzt sowie stateful Schutzmechanismen gegen netzbasierte Angriffe aktiviert und deren Wirksamkeit regelmäßig überprüft.","control-implementations":[{"uuid":"900f5b54-e2cd-5e93-abb7-fe9198dc4955","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Blockieren anfälliger Netzprotokolle","implemented-requirements":[{"uuid":"6e558840-0933-5885-ade8-ff6af4c37066","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Zur Abwehr verstärkender UDP‑Angriffe empfiehlt sich eine strikte Egress‑Kontrolle: Sperren Sie aus dem WLAN nach extern u. a. SSDP/1900, mDNS/5353, CLDAP/389, Memcached/11211 und erlauben Sie DNS ausschließlich zu autorisierten Resolvern. Limitieren Sie NTP auf definierte Server und setzen Sie Rate‑Limits gegen UDP‑Floods. Ergänzend sollten BCP‑38‑Ingress‑Filter und, falls verfügbar, Upstream‑Maßnahmen (Scrubbing, RTBH/Flowspec) vorbereitet sein. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last.","control-id":"_b4977fc1-727c-41c8-a397-f84ba68fc11a","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für Discovery- und Verstärkungsprotokolle umgesetzt sowie stateful Schutzmechanismen gegen netzbasierte Angriffe aktiviert und deren Wirksamkeit regelmäßig überprüft."}]}]},{"type":"policy","uuid":"1e97ddf7-67c7-58c2-81b4-4d113a15a63a","title":"Bonusprogramm","description":"Die Institution hat verbindliche Mindeststandards und Policies für Planung, Betrieb und Absicherung des WLAN verabschiedet und deren Anwendung in den zuständigen Betriebs- und Freigabeprozessen verankert.","control-implementations":[{"uuid":"9f662d3b-8f08-59ab-bfa4-d92d339cb193","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Bonusprogramm","implemented-requirements":[{"uuid":"5eb866f7-4308-5b0b-9e7e-9118d1196c38","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_aeb9f98e-0aad-44c1-8ab1-2f7276e387de","description":"Die Institution hat verbindliche Mindeststandards und Policies für Planung, Betrieb und Absicherung des WLAN verabschiedet und deren Anwendung in den zuständigen Betriebs- und Freigabeprozessen verankert."}]}]},{"type":"interconnection","uuid":"4b8527cc-c1f9-56b6-bcf0-4d9644de0449","title":"Demilitarisierte Zone","description":"Die Institution hat exponierte WLAN-Dienste wie Captive- oder Gäste-Portale sowie zugehörige DNS- und DHCP-Funktionen in einer gehärteten DMZ betrieben und diese per Firewall strikt von internen Netzen getrennt.","control-implementations":[{"uuid":"807424fe-618d-5c8b-8548-64305f5fde9e","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Demilitarisierte Zone","implemented-requirements":[{"uuid":"f053647a-808b-5d05-9c51-0d24e7172b7c","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. WLAN‑exponierte Webdienste wie Captive‑/Guest‑Portale gehören in eine DMZ mit strikt segmentierenden Firewalls. Nutzen Sie einen Reverse‑Proxy bzw. eine WAF für TLS‑Terminierung, HSTS und Eingangsvalidierung, halten Sie Zertifikate aktuell und beschränken Sie Rückwege in interne Netze auf das notwendige Minimum. Protokollieren Sie Anmelde‑ und Fehlerereignisse nachvollziehbar und verbinden Sie das Monitoring mit Alarmierungsprozessen. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_f9e8c80d-0043-42ac-a71b-73ff1e6cad50","description":"Die Institution hat exponierte WLAN-Dienste wie Captive- oder Gäste-Portale sowie zugehörige DNS- und DHCP-Funktionen in einer gehärteten DMZ betrieben und diese per Firewall strikt von internen Netzen getrennt."}]}]},{"type":"policy","uuid":"88f4c781-c8ff-55be-8bf6-19a8f8e4d47e","title":"Dokumentation","description":"Die Institution hat WLAN-Architektur- und Sicherheitsvorgaben verbindlich im ISMS dokumentiert und mit Referenzen auf TR-02102, RADIUS/PKI-Prozesse und Monitoring-Anbindungen hinterlegt.","control-implementations":[{"uuid":"97d67b2d-419e-5366-b0cb-33b6cac034a6","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Dokumentation","implemented-requirements":[{"uuid":"1ad6cf6e-ff22-55d5-84dd-111ea199f085","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_609e4af3-91aa-47e9-a293-a6d4ec446ae2","description":"Die Institution hat WLAN-Architektur- und Sicherheitsvorgaben verbindlich im ISMS dokumentiert und mit Referenzen auf TR-02102, RADIUS/PKI-Prozesse und Monitoring-Anbindungen hinterlegt."}]}]},{"type":"policy","uuid":"1969e44c-8afc-513f-b3fb-27bdd724a55d","title":"Dokumentation von Ergebnissen","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"26b5e9b4-4a98-51b9-99a7-65c464e33f3a","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Dokumentation von Ergebnissen","implemented-requirements":[{"uuid":"582377f9-3dac-5cf2-acb4-76c0fa5c0349","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_02e94d9c-cd23-4cb4-a6ef-7ccd7efb0869","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"validation","uuid":"a7ca5048-c029-5c95-b484-b597e3079721","title":"Dokumentation von Wartungen","description":"Die Institution hat einen detaillierten WLAN-Netzplan mit SSIDs und Verwendungszwecken, VLAN-IDs/Subnetzen, Access-Point-Standorten, Kanal- und Leistungsprofilen, Controller-, RADIUS-, PKI- und SIEM-Anbindungen sowie Zonen- und Vertrauensgrenzen erstellt, versioniert und revisionssicher gepflegt.","control-implementations":[{"uuid":"b45e7b19-bb86-5817-8995-334811dc87da","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Dokumentation von Wartungen","implemented-requirements":[{"uuid":"29fe9bb6-7bc5-5adc-8e74-1bd9eae3c802","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Access‑Points sollten zentral und hoch (z. B. Deckenmontage) positioniert werden, fern von Metall und Störquellen. Reduzieren Sie Außenabstrahlung, indem Sie Sendeleistungen anpassen und Richtantennen bzw. Dämpfung nutzen. Ein sauber geplanter Kanal‑ und Leistungsplan ist essenziell, um Überlappung und Interferenzen zu steuern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_a2ecedcb-3515-4d40-b4d3-b745142af15b","description":"Die Institution hat einen detaillierten WLAN-Netzplan mit SSIDs und Verwendungszwecken, VLAN-IDs/Subnetzen, Access-Point-Standorten, Kanal- und Leistungsprofilen, Controller-, RADIUS-, PKI- und SIEM-Anbindungen sowie Zonen- und Vertrauensgrenzen erstellt, versioniert und revisionssicher gepflegt."}]}]},{"type":"interconnection","uuid":"a651555c-c493-50eb-b4b4-52924239a649","title":"Dynamische Netzzugangskontrolle","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt.","control-implementations":[{"uuid":"dca853f0-5195-5557-8eda-383c46becf25","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Dynamische Netzzugangskontrolle","implemented-requirements":[{"uuid":"55712ee5-3cf1-5807-8df7-3e5266d872ac","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_fec4fcdf-13e7-4a32-a3e1-52dce90ea1d7","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt."}]}]},{"type":"validation","uuid":"a89059b8-8bc4-577f-8eec-23cc993a89c9","title":"Dynamische Sandbox-Analyse","description":"Die Institution hat WLAN-Sicherheitsfunktionen regelmäßig angreiferzentriert getestet und Wiederanlaufszenarien geübt.","control-implementations":[{"uuid":"3a07e91b-e7ee-5eda-a95a-aa98b3e1a763","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Dynamische Sandbox-Analyse","implemented-requirements":[{"uuid":"22dec51e-c26d-53aa-9690-9515c1336ef1","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_5e302b5d-0a5b-4821-8d46-1e2f7fc40c3f","description":"Die Institution hat WLAN-Sicherheitsfunktionen regelmäßig angreiferzentriert getestet und Wiederanlaufszenarien geübt."}]}]},{"type":"interconnection","uuid":"483fbbf7-ac2b-56dc-83af-8a93fd5dded7","title":"Einschränkung in Sicherheitsbereichen","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"60791dcb-8817-534a-87b8-e62ccfc70098","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Einschränkung in Sicherheitsbereichen","implemented-requirements":[{"uuid":"11b1cd83-f62a-5a95-a63c-8cbd10f3a975","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_0ecd6068-4509-4cb5-bf12-b35076cc88e3","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"interconnection","uuid":"1f4f801a-988a-5d94-bac2-1bd110f5e437","title":"Einschränkung und Inspektion von Verbindungen","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"38aa5083-a2c7-5828-898c-4d92be38f49d","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Einschränkung und Inspektion von Verbindungen","implemented-requirements":[{"uuid":"fbd04cca-379d-5d61-9db1-cdf01b9660d3","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_025c298a-7c8d-441d-b9d5-a1422556c6e1","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"interconnection","uuid":"08c96d6b-a031-5b43-921d-e18e9b193799","title":"Einschränkung von Verbindungen zwischen Segmenten","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"dc2ee785-efa9-589a-bc59-ea657c49e2f8","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Einschränkung von Verbindungen zwischen Segmenten","implemented-requirements":[{"uuid":"57f49bda-8bbc-5a59-a47b-6280847b73cd","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_6ff2de76-4a01-42cc-a794-1a6ec9313f46","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"interconnection","uuid":"e2912c09-bd8c-59d4-a30e-859ff3e2a6ab","title":"Externe Netzanschlüsse","description":"Die Institution hat Zugriffe über externe Netzanschlüsse für WLAN-Nutzende ausschließlich über einen erzwungenen VPN-Pfad oder einen gehärteten Direct-Internet-Access mit Positivlisten und zentralen Sicherheitsdiensten zugelassen.","control-implementations":[{"uuid":"7a412341-3ab0-538d-ba94-6c10ba7db349","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Externe Netzanschlüsse","implemented-requirements":[{"uuid":"516489e0-1002-5f0e-bfce-60a6247d3d19","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_56a54bba-30a4-478f-8464-bc5194cae49f","description":"Die Institution hat Zugriffe über externe Netzanschlüsse für WLAN-Nutzende ausschließlich über einen erzwungenen VPN-Pfad oder einen gehärteten Direct-Internet-Access mit Positivlisten und zentralen Sicherheitsdiensten zugelassen."}]}]},{"type":"policy","uuid":"ce694e5a-af14-59bc-9328-bdf5bc9e76c2","title":"Externe Schwachstellenmeldungen","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert.","control-implementations":[{"uuid":"4756b2e8-9f19-50a9-b66c-0c563f65df7e","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Externe Schwachstellenmeldungen","implemented-requirements":[{"uuid":"af45e8ae-b39a-5288-9648-2d891808040f","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_cb35b6b0-15c3-488f-8759-ad66fe4883fa","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert."}]}]},{"type":"interconnection","uuid":"c8a2d38c-7dd6-53d2-b7b4-a129cb3ec555","title":"Filterung nicht benötigter Inhalte","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"8e347b68-69da-51ae-a083-13a97aeddaec","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Filterung nicht benötigter Inhalte","implemented-requirements":[{"uuid":"dd7e0e98-1418-5930-95a9-0bc91a67256c","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_fa239d57-3934-4664-bc2d-53aca634eaef","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"interconnection","uuid":"5803e70c-bce4-51b5-80c6-fcf1fd97fda9","title":"Gastnetz","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"4ca1c44b-171c-5278-9643-2b860c8d69ea","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Gastnetz","implemented-requirements":[{"uuid":"80731344-6e39-5158-9c67-1dd42f026829","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_73c9c122-d3f6-42f9-a6f1-6b454a8b1853","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"validation","uuid":"5611a613-cfbd-5b06-be5a-b8c4872fd58b","title":"Historische Analyse","description":"Die Institution hat WLAN-Sicherheitsfunktionen wie 802.1X, Zertifikatsketten, PMF und Gastzugänge regelmäßig getestet, Ergebnisse dokumentiert und die Erkenntnisse in den Betriebs- und Change-Prozess zurückgeführt.","control-implementations":[{"uuid":"f9f91ffe-3a7b-5740-a23d-0acbde22a2a6","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Historische Analyse","implemented-requirements":[{"uuid":"fdc153f2-eb1b-5423-a253-ae0bcc675a61","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. WLAN‑exponierte Webdienste wie Captive‑/Guest‑Portale gehören in eine DMZ mit strikt segmentierenden Firewalls. Nutzen Sie einen Reverse‑Proxy bzw. eine WAF für TLS‑Terminierung, HSTS und Eingangsvalidierung, halten Sie Zertifikate aktuell und beschränken Sie Rückwege in interne Netze auf das notwendige Minimum. Protokollieren Sie Anmelde‑ und Fehlerereignisse nachvollziehbar und verbinden Sie das Monitoring mit Alarmierungsprozessen. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_f64131d9-e0cd-4c01-937a-ea93d7a92371","description":"Die Institution hat WLAN-Sicherheitsfunktionen wie 802.1X, Zertifikatsketten, PMF und Gastzugänge regelmäßig getestet, Ergebnisse dokumentiert und die Erkenntnisse in den Betriebs- und Change-Prozess zurückgeführt."}]}]},{"type":"policy","uuid":"9e1f4085-9f5f-58eb-9a26-49972ba94e27","title":"Inventar der Anwendungen","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"2bda1195-aef9-5487-9a4e-b0dd99c61e2d","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Inventar der Anwendungen","implemented-requirements":[{"uuid":"d73d4c9d-4099-5562-aa74-3a6f9c018272","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_d55d7e49-436e-4783-9ad0-5f92619da743","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"policy","uuid":"d4720068-a17a-5aea-b9ae-8263de1bb31f","title":"Inventar der Informationen","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"32c3356d-3edf-5ad7-a56b-b2fa66f8011e","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Inventar der Informationen","implemented-requirements":[{"uuid":"2a61c5b3-da73-5700-a489-4a39877ca658","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_c07f7e22-1641-41e2-a29c-f1180ff9f601","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"policy","uuid":"48c76ea2-f8ea-5d2d-8f46-1df8a6438202","title":"Inventar der Systeme","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"e7357c75-2cfa-5256-b594-f8b50ae7066c","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Inventar der Systeme","implemented-requirements":[{"uuid":"25daf3e6-b28b-548e-aa6c-3b4e1504cbcd","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_b10fc10c-a3be-4b30-977a-6a2d020760d6","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"validation","uuid":"8a57b671-e411-51b1-a621-b6a1ac16a263","title":"Korrelation komplexer Angriffswege","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet.","control-implementations":[{"uuid":"662ec334-4d93-575a-99bd-d0f0d0471f38","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Korrelation komplexer Angriffswege","implemented-requirements":[{"uuid":"43ebbe05-9c18-519e-8e41-69958b9717da","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben.","control-id":"_1221903d-e402-49b0-a7ac-763a11683a4b","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet."}]}]},{"type":"interconnection","uuid":"903e9d07-bd21-516e-9275-22a26518b1df","title":"Management-Netz","description":"Die Institution hat dedizierte Management-Netze oder -VLANs für WLAN-Controller und Access Points eingerichtet und VerwaltungsZugriffe ausschließlich über ein abgesichertes Admin-Netz mit Jump-Host, VPN und MFA zugelassen.","control-implementations":[{"uuid":"3f5f3117-d0af-54f3-a420-7305af1dc0d4","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Management-Netz","implemented-requirements":[{"uuid":"d14f2d87-3067-537b-8314-cbfac789405e","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Administrationszugriffe auf Controller und Access‑Points sollten ausschließlich über einen gehärteten Sprungserver erfolgen. Erzwingen Sie MFA, setzen Sie Just‑in‑Time‑Freigaben über ein PAM‑System um und zeichnen Sie Sitzungen revisionssicher auf. Verbieten Sie direkte Admin‑Verbindungen aus Benutzer‑ oder Gäste‑VLANs technisch, beschränken Sie erlaubte Management‑Protokolle auf SSH/HTTPS/SNMPv3 und pflegen Sie eine enge Trennung von Management‑ und Produktionsnetzen. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Trennen Sie Management‑Netze strikt vom Nutzdatenverkehr. Erlauben Sie Verwaltungszugänge nur aus dedizierten Admin‑Netzen oder über OOB‑Wege, verwenden Sie SNMPv3/SSH/HTTPS mit starken Cipher‑Suiten und deaktivieren Sie unsichere Protokolle. Logging und Konfigurations‑Versionierung erleichtern die Nachvollziehbarkeit.","control-id":"_d02f23d0-9c15-4811-838f-6440ee744334","description":"Die Institution hat dedizierte Management-Netze oder -VLANs für WLAN-Controller und Access Points eingerichtet und VerwaltungsZugriffe ausschließlich über ein abgesichertes Admin-Netz mit Jump-Host, VPN und MFA zugelassen."}]}]},{"type":"validation","uuid":"dabe15a7-2a10-58c4-9234-9aaed48328d1","title":"Netzabdeckung","description":"Die Institution hat eine Predictive-Planung sowie eine initiale und wiederkehrende Vermessung des WLAN je Band durchgeführt, Zielwerte für RSSI, SNR, Kanalbelegung und Zellüberlappung validiert und Kanal- sowie Leistungsprofile anhand der Messergebnisse angepasst.","control-implementations":[{"uuid":"9baf87a8-e822-5a7a-af53-201dd80e8de4","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Netzabdeckung","implemented-requirements":[{"uuid":"63fe09a7-d6b7-5b38-93e4-b5c94b0d7950","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_57639fa6-7898-4ad8-91c5-cc77106e0d02","description":"Die Institution hat eine Predictive-Planung sowie eine initiale und wiederkehrende Vermessung des WLAN je Band durchgeführt, Zielwerte für RSSI, SNR, Kanalbelegung und Zellüberlappung validiert und Kanal- sowie Leistungsprofile anhand der Messergebnisse angepasst."}]}]},{"type":"interconnection","uuid":"f3cc35ab-8b7d-52a5-bd29-33e3071042b6","title":"Netzbasierte Angriffe","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für Discovery- und Verstärkungsprotokolle umgesetzt sowie stateful Schutzmechanismen gegen netzbasierte Angriffe aktiviert und deren Wirksamkeit regelmäßig überprüft.","control-implementations":[{"uuid":"035e9219-2503-51f2-bf7f-4a9559ec7d19","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Netzbasierte Angriffe","implemented-requirements":[{"uuid":"e2fc56c9-829b-5e38-b9e2-5a3206b726a6","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Zur Abwehr verstärkender UDP‑Angriffe empfiehlt sich eine strikte Egress‑Kontrolle: Sperren Sie aus dem WLAN nach extern u. a. SSDP/1900, mDNS/5353, CLDAP/389, Memcached/11211 und erlauben Sie DNS ausschließlich zu autorisierten Resolvern. Limitieren Sie NTP auf definierte Server und setzen Sie Rate‑Limits gegen UDP‑Floods. Ergänzend sollten BCP‑38‑Ingress‑Filter und, falls verfügbar, Upstream‑Maßnahmen (Scrubbing, RTBH/Flowspec) vorbereitet sein. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last.","control-id":"_09d37d0c-fda7-4f38-9aa6-f8cbae7d878d","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für Discovery- und Verstärkungsprotokolle umgesetzt sowie stateful Schutzmechanismen gegen netzbasierte Angriffe aktiviert und deren Wirksamkeit regelmäßig überprüft."}]}]},{"type":"interconnection","uuid":"519b2ba5-a6f3-5507-a11a-60de6f9b9a12","title":"Netzzugangskontrolle","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt.","control-implementations":[{"uuid":"d9159110-3f5e-502a-943c-331fed816a30","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Netzzugangskontrolle","implemented-requirements":[{"uuid":"b667b61f-bddd-581d-8262-e5db58c4a094","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_9ec9762e-c115-4e56-8b45-b88a872f47ce","description":"Die Institution hat 802.1X mit EAP-TLS für produktive WLAN-Zugänge eingeführt und Gast- sowie IoT-Zugänge in getrennten SSIDs mit RADIUS-Policies und rollenbasierter VLAN-Zuweisung umgesetzt."}]}]},{"type":"interconnection","uuid":"c2fa5a03-e84b-5a66-970e-95c561987c97","title":"Protokollierung sicherheitsrelevanter Ereignisse","description":"Die Institution hat WLAN-Sicherheitsereignisse sowie Authentifizierungs- und Autorisierungsereignisse manipulationsgeschützt zentral an das SIEM weitergeleitet, zeitkorreliert ausgewertet und Aufbewahrung sowie Integrität der Protokolle sichergestellt.","control-implementations":[{"uuid":"00d1aa10-e599-56f8-9128-7e8f19c57c3d","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Protokollierung sicherheitsrelevanter Ereignisse","implemented-requirements":[{"uuid":"ae36e11d-c027-5aec-9582-564dd4378fa5","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_dc58d353-86e1-4070-9f86-b7f0e0f93305","description":"Die Institution hat WLAN-Sicherheitsereignisse sowie Authentifizierungs- und Autorisierungsereignisse manipulationsgeschützt zentral an das SIEM weitergeleitet, zeitkorreliert ausgewertet und Aufbewahrung sowie Integrität der Protokolle sichergestellt."}]}]},{"type":"validation","uuid":"2803bc22-e41b-5988-8084-730848e5174e","title":"Red Teaming","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet.","control-implementations":[{"uuid":"ba8ddbb1-6190-5fcf-86a4-17d810857768","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Red Teaming","implemented-requirements":[{"uuid":"0863db68-19ac-5b36-8b28-d661831d0c49","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben.","control-id":"_ea34243d-adc3-4208-ab4e-25247aa8c009","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet."}]}]},{"type":"validation","uuid":"a95d9c5c-fa85-54f7-a98f-6b1e1944435c","title":"Regelmäßige Penetrationstests","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet.","control-implementations":[{"uuid":"9cedbb37-628d-5901-93ec-fbbd482683f0","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Regelmäßige Penetrationstests","implemented-requirements":[{"uuid":"4a8671f4-ba62-5635-aef4-94f2732d969c","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben.","control-id":"_622f98fa-a211-4c1e-b655-5e9dd6c0d507","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet."}]}]},{"type":"interconnection","uuid":"929345b6-a49b-55e6-8bc0-b4b7a7530a97","title":"Regelmäßige Überprüfung","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"bd01ff5b-93dc-5eda-8fdd-4955a1357032","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Regelmäßige Überprüfung","implemented-requirements":[{"uuid":"c16bbf5a-56ff-5930-aaf6-c0e868857742","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_9801627a-0646-41fe-81d8-945e7b58da50","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"policy","uuid":"7b084c56-46ca-5754-8b13-9f8432a7197a","title":"Revisionssicherheit","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"7b205885-84d7-5c4f-bed1-4eaa83261357","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Revisionssicherheit","implemented-requirements":[{"uuid":"48ec62a5-9718-5394-963b-4b301408a6c1","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_1cd947a7-70a2-41c9-b3fd-90f3ef75838c","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"interconnection","uuid":"c7889829-0b7d-5331-b54d-666c5896b32b","title":"Risikobasierte Priorisierung","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"c7998438-ba11-505f-a3ed-8f6e54733084","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Risikobasierte Priorisierung","implemented-requirements":[{"uuid":"f3e3e945-597f-5732-8f0e-0caf65a27dd0","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_a9af82d7-44b8-412c-b8a0-becbda9b1da9","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"policy","uuid":"5b2a61bb-cbe8-53e6-9207-02a56d8a9b4d","title":"Rückmeldungen","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert.","control-implementations":[{"uuid":"b666eb11-25ad-5c11-94f9-b75cfa2ee55e","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Rückmeldungen","implemented-requirements":[{"uuid":"f231e8f4-b312-5561-bfba-16d962f030fe","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_c961b1c8-2f6a-4e6d-9126-e2005c44f728","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert."}]}]},{"type":"validation","uuid":"c1f3fe3f-9cc3-5872-92b4-7f8c023ac739","title":"Schutz gegen volumetrische DoS-Angriffe","description":"Die Institution hat für die ausgeleiteten WLAN-Segmente providerseitige Schutzmechanismen gegen volumetrische DoS-Angriffe aktiviert, den Internet-Egress über den geschützten Pfad geführt und definierte Auslösewege für den DDoS-Ernstfall regelmäßig getestet.","control-implementations":[{"uuid":"fbe9091e-f139-505d-8730-b258a389eca3","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Schutz gegen volumetrische DoS-Angriffe","implemented-requirements":[{"uuid":"a3ef44e5-433e-55c6-af2a-188e7cd64c90","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Für volumetrische Angriffe sind Upstream‑Schutzmechanismen entscheidend. Binden Sie Provider‑seitige Scrubbing‑Dienste an, hinterlegen Sie RTBH/Flowspec bzw. API‑basierte Auslösewege und üben Sie den Ernstfall mit klaren Playbooks. Führen Sie WLAN‑Egress‑Segmente über den geschützten Pfad und dokumentieren Sie Rückführung und Kapazitätsgrenzen.","control-id":"_ac441ef0-08de-40c4-b600-8be20d8a55b1","description":"Die Institution hat für die ausgeleiteten WLAN-Segmente providerseitige Schutzmechanismen gegen volumetrische DoS-Angriffe aktiviert, den Internet-Egress über den geschützten Pfad geführt und definierte Auslösewege für den DDoS-Ernstfall regelmäßig getestet."}]}]},{"type":"policy","uuid":"0f257b7c-164e-5c11-bac4-f680bbceb5d8","title":"Schwachstellenregister","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt.","control-implementations":[{"uuid":"05823261-f8f2-5620-9070-ddcc5680ae9b","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Schwachstellenregister","implemented-requirements":[{"uuid":"4128aacb-5c6d-54a4-b9ad-6a1f7b0c77f3","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Gästezugänge gehören in getrennte SSIDs/VLANs mit aktivierter Client‑Isolation und restriktiven Egress‑Regeln. Ein Captive‑Portal kann rechtliche Hinweise und Nutzungsbedingungen abbilden; beschränken Sie dabei Zugriffe auf interne Ressourcen konsequent und begrenzen Sie die Bandbreite, um Produktivdienste zu schützen.","control-id":"_f7550d0a-cf51-4586-a4e8-0c3831a10a79","description":"Die Institution hat eine versionierte WLAN-Sicherheitsdokumentation im ISMS gepflegt, die SSID-/VLAN-Konzept, Rollen und Verantwortlichkeiten, Schlüssel- und Zertifikatslebenszyklen, Gastzugang, Mindestkryptographie sowie relevante RADIUS-, PKI- und Monitoring-Anbindungen nachvollziehbar beschreibt."}]}]},{"type":"policy","uuid":"96c7c42b-099b-5c3d-873c-6e020a50f73f","title":"Security Operations Center","description":"Die Institution hat Planung, Betrieb, Schlüssel- und Zertifikatsverwaltung, Change-Management und Monitoring des WLAN in einer RACI-Matrix eindeutig zugewiesen und Vertretungs- sowie Vier-Augen-Prinzip verbindlich festgelegt.","control-implementations":[{"uuid":"9284a511-cd2f-5fb7-9fac-df8440d60c4d","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Security Operations Center","implemented-requirements":[{"uuid":"62f5aa02-59d3-51b4-a6df-b3af430473bf","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Trennen Sie Management‑Netze strikt vom Nutzdatenverkehr. Erlauben Sie Verwaltungszugänge nur aus dedizierten Admin‑Netzen oder über OOB‑Wege, verwenden Sie SNMPv3/SSH/HTTPS mit starken Cipher‑Suiten und deaktivieren Sie unsichere Protokolle. Logging und Konfigurations‑Versionierung erleichtern die Nachvollziehbarkeit.","control-id":"_1af88c3b-a13c-4d74-a099-f230c9f71f55","description":"Die Institution hat Planung, Betrieb, Schlüssel- und Zertifikatsverwaltung, Change-Management und Monitoring des WLAN in einer RACI-Matrix eindeutig zugewiesen und Vertretungs- sowie Vier-Augen-Prinzip verbindlich festgelegt."}]}]},{"type":"interconnection","uuid":"c70d81ff-83c6-588e-936a-e8371229ce4b","title":"Segmentierung von Test und Betrieb","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt.","control-implementations":[{"uuid":"d05920b7-4522-5283-91e2-1729d83583a2","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Segmentierung von Test und Betrieb","implemented-requirements":[{"uuid":"be6ee217-2a90-5164-b3d8-f431573fda9a","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_53ea67c4-1ee1-47f3-abc2-0f2462c57cd1","description":"Die Institution hat produktive, Gäste- und IoT-SSIDs separaten VLANs zugeordnet und Ost-West-Verkehr per Firewall-Policies sowie DNS- und Web-Filtern auf notwendige Ziele begrenzt."}]}]},{"type":"interconnection","uuid":"2a465af8-4f6b-5c69-b101-91f78fecc233","title":"Software Discovery","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"aec809cc-81bd-5da1-9636-6d5ae721e7eb","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Software Discovery","implemented-requirements":[{"uuid":"8e2ececf-81e7-5df5-a156-abdcacbffcb9","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_be8d7b56-9709-4d1b-aeaa-cb5fa1b0cca1","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"interconnection","uuid":"94f85c77-6cdc-5344-8667-f37b4a029e34","title":"Speicherkapazität","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet.","control-implementations":[{"uuid":"1198c59b-43b3-5e22-9246-a1171e1f9878","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Speicherkapazität","implemented-requirements":[{"uuid":"bba4a73c-0001-5ada-80df-4ae2db3e8a1b","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_558dc6ab-ba8e-47bb-ba24-ddf09be49ec0","description":"Die Institution hat WLAN-Konfigurationen, Zertifikate, RADIUS-Policies, Kanal- und Leistungspläne sowie die Funkausleuchtung regelmäßig überprüft und Abweichungen beziehungsweise Findings risikobasiert im Change-Prozess abgearbeitet."}]}]},{"type":"interconnection","uuid":"c8ca4d42-3bca-5691-9783-9b80d55c836c","title":"Sprungserver","description":"Die Institution hat dedizierte Management-Netze oder -VLANs für WLAN-Controller und Access Points eingerichtet und VerwaltungsZugriffe ausschließlich über ein abgesichertes Admin-Netz mit Jump-Host, VPN und MFA zugelassen.","control-implementations":[{"uuid":"cb2d2ff6-cedb-5ab1-a51f-c0ff4fa7f12a","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Sprungserver","implemented-requirements":[{"uuid":"1765c634-1e0d-5c76-a632-0191be05c6f0","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Administrationszugriffe auf Controller und Access‑Points sollten ausschließlich über einen gehärteten Sprungserver erfolgen. Erzwingen Sie MFA, setzen Sie Just‑in‑Time‑Freigaben über ein PAM‑System um und zeichnen Sie Sitzungen revisionssicher auf. Verbieten Sie direkte Admin‑Verbindungen aus Benutzer‑ oder Gäste‑VLANs technisch, beschränken Sie erlaubte Management‑Protokolle auf SSH/HTTPS/SNMPv3 und pflegen Sie eine enge Trennung von Management‑ und Produktionsnetzen. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher. Trennen Sie Management‑Netze strikt vom Nutzdatenverkehr. Erlauben Sie Verwaltungszugänge nur aus dedizierten Admin‑Netzen oder über OOB‑Wege, verwenden Sie SNMPv3/SSH/HTTPS mit starken Cipher‑Suiten und deaktivieren Sie unsichere Protokolle. Logging und Konfigurations‑Versionierung erleichtern die Nachvollziehbarkeit.","control-id":"_c907e5e0-bccc-4467-9962-7f4972b0ad8f","description":"Die Institution hat dedizierte Management-Netze oder -VLANs für WLAN-Controller und Access Points eingerichtet und VerwaltungsZugriffe ausschließlich über ein abgesichertes Admin-Netz mit Jump-Host, VPN und MFA zugelassen."}]}]},{"type":"interconnection","uuid":"0e415294-5325-526a-b638-d69cf2ec832d","title":"SSIDs","description":"Die Institution hat ein eindeutiges, nicht rückschlussfähiges SSID-Namensschema eingeführt, Default-SSIDs entfernt, SSIDs den jeweiligen VLAN- und RADIUS-Policies zugeordnet und den SSID-Broadcast auf erforderliche Netze begrenzt.","control-implementations":[{"uuid":"58d47742-9785-5bca-80ea-f5fdf46bbe19","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for SSIDs","implemented-requirements":[{"uuid":"df7fb910-f746-5899-bd3d-edce05d7b672","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_06d3eb79-4326-4bd8-87c0-9808909d29c7","description":"Die Institution hat ein eindeutiges, nicht rückschlussfähiges SSID-Namensschema eingeführt, Default-SSIDs entfernt, SSIDs den jeweiligen VLAN- und RADIUS-Policies zugeordnet und den SSID-Broadcast auf erforderliche Netze begrenzt."}]}]},{"type":"interconnection","uuid":"220e1465-6aa1-5257-9bd6-4e8617843b96","title":"TCP-basierte Angriffe","description":"Die Institution hat auf WLAN-Controller und Firewall stateful TCP-Schutzmechanismen wie SYN-Cookies, Verbindungs- und Quellenlimits sowie Invalid-Flag-Drops aktiviert und eingehende Verwaltungs- und unsichere Dienste auf autorisierte Netze beschränkt.","control-implementations":[{"uuid":"a35a990b-65c4-56fb-9634-0863b68619c9","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for TCP-basierte Angriffe","implemented-requirements":[{"uuid":"9393a31e-df9d-5e89-8450-26ea4a3eb213","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Gegen TCP‑basierte DoS‑Varianten helfen SYN‑Cookies bzw. SYN‑Proxy, Embryonic‑Connection‑Limits und das Verwerfen ungültiger Flag‑Kombinationen. Deaktivieren Sie unnötige Portweiterleitungen und UPnP, beschränken Sie eingehende Verwaltungsschnittstellen konsequent und validieren Sie State‑Tables unter Last.","control-id":"_cc1cf52d-6be3-4e7d-a5c0-6ecce6c282b1","description":"Die Institution hat auf WLAN-Controller und Firewall stateful TCP-Schutzmechanismen wie SYN-Cookies, Verbindungs- und Quellenlimits sowie Invalid-Flag-Drops aktiviert und eingehende Verwaltungs- und unsichere Dienste auf autorisierte Netze beschränkt."}]}]},{"type":"validation","uuid":"2eb5bfd2-cd44-5fe2-bbb7-454f19cbb359","title":"Threat Hunting","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet.","control-implementations":[{"uuid":"c455dd5f-ad4f-56ae-a9e9-92dc51f4bbf4","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Threat Hunting","implemented-requirements":[{"uuid":"43a53fff-ecc6-5d6e-aeb4-9477a37f4a9c","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Die Netzabdeckung prüfen Sie zweckmäßig mit einer Kombination aus passiven und aktiven Surveys je Band (2,4/5/6 GHz). Zielwerte liegen erfahrungsgemäß bei RSSI ≥ −67 dBm (Daten) bzw. ≥ −65 dBm (Voice) und SNR ≥ 25–30 dB. Dokumentieren Sie Heatmaps pro Nutzungszone, messen Sie Durchsatz und Latenz an repräsentativen Punkten und analysieren Sie die Kanalbelegung inklusive Spektrumanalyse. Passen Sie Kanalbreiten und Sendeleistungen so an, dass Co‑Channel‑Interferenzen minimiert und stabile Roaming‑Zellen erhalten bleiben.","control-id":"_ff549367-0992-4b06-a2c0-246915632cb1","description":"Die Institution hat WLAN-Konfigurationen, Zertifikats- und CRL-Ketten, Funkausleuchtung sowie Angriffssimulationen nach Plan geprüft und festgestellte Findings risikobasiert abgearbeitet."}]}]},{"type":"interconnection","uuid":"cf812795-6f81-5550-909d-3e75551a7d5a","title":"UDP-basierte Angriffe","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für UDP-basierte Amplification- und Discovery-Dienste umgesetzt, DNS auf autorisierte Resolver beschränkt und UDP-Flood-Raten begrenzt.","control-implementations":[{"uuid":"d84e06aa-c271-5742-b746-c1dfd2d7ebfd","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for UDP-basierte Angriffe","implemented-requirements":[{"uuid":"29cd800e-4d88-5e57-9316-7fb9316f4617","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für latenzkritische Voice‑Dienste sollten Sie WMM/802.11e aktivieren, DSCP EF (46) auf AC_VO mappen und Call Admission Control einschalten, damit Sprachverkehr nicht durch Hintergrundlast verdrängt wird. Planen Sie eine Zellüberlappung von ca. 15–25 % bei −67 dBm, setzen Sie Mindest‑PHY‑Raten für Roaming und validieren Sie Jitter/Packet‑Loss in typischen Gesprächspfaden. Für größere Umgebungen ist Fast‑Roaming (802.11r/k/v) ratsam. Zur Abwehr verstärkender UDP‑Angriffe empfiehlt sich eine strikte Egress‑Kontrolle: Sperren Sie aus dem WLAN nach extern u. a. SSDP/1900, mDNS/5353, CLDAP/389, Memcached/11211 und erlauben Sie DNS ausschließlich zu autorisierten Resolvern. Limitieren Sie NTP auf definierte Server und setzen Sie Rate‑Limits gegen UDP‑Floods. Ergänzend sollten BCP‑38‑Ingress‑Filter und, falls verfügbar, Upstream‑Maßnahmen (Scrubbing, RTBH/Flowspec) vorbereitet sein.","control-id":"_d2b4e523-ee05-47ae-8d5e-95f30015dce2","description":"Die Institution hat auf WLAN-Controller und Firewall Egress-ACLs für UDP-basierte Amplification- und Discovery-Dienste umgesetzt, DNS auf autorisierte Resolver beschränkt und UDP-Flood-Raten begrenzt."}]}]},{"type":"interconnection","uuid":"66d72dde-338b-5541-baf9-aa401a9edd91","title":"Unautorisierte Publikation","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt.","control-implementations":[{"uuid":"64b8d53c-2a8c-5407-9ec8-71e453cbb77d","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Unautorisierte Publikation","implemented-requirements":[{"uuid":"a22f72a9-8b90-5311-8d00-bb6056fc3d1d","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_c179bae3-7990-4308-b42b-53297a581402","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt."}]}]},{"type":"interconnection","uuid":"a677a33e-ab35-5a65-bbbc-15173581d21c","title":"Verschlüsselung","description":"Die Institution hat WPA3-Enterprise mit 802.1X und EAP-TLS am WLAN-Controller durchgesetzt, PMF verpflichtend konfiguriert, strikte Zertifikatsprüfung etabliert und unsichere Übergangsmodi beziehungsweise Übergangssuiten deaktiviert.","control-implementations":[{"uuid":"b6ba0649-8138-5860-8182-d5520331b23f","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Verschlüsselung","implemented-requirements":[{"uuid":"2c64f7d0-f1ca-5fd1-9d0c-d3383e4fa48d","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für ein belastbares Authentisierungs- und Verschlüsselungskonzept empfiehlt sich WPA3‑Enterprise mit 802.1X (bevorzugt EAP‑TLS) und verpflichtendem Protected Management Frames (PMF). Hinterlegen Sie Zertifikate über eine interne PKI, prüfen Sie OCSP/CRL und deaktivieren Sie Übergangsmodi (WPA2‑PSK‑Fallback, TKIP). Achten Sie auf konsistente Cipher‑Suiten, schalten Sie WPS ab und testen Sie die Supplicant‑Profile auf allen relevanten Betriebssystemen. Für IoT‑Szenarien ohne 802.1X bieten sich isolierte SSIDs mit Multi‑PSK/OWE und strengen Egress‑Regeln an.","control-id":"_45bb11ba-1018-430e-be4f-7cae54407f3c","description":"Die Institution hat WPA3-Enterprise mit 802.1X und EAP-TLS am WLAN-Controller durchgesetzt, PMF verpflichtend konfiguriert, strikte Zertifikatsprüfung etabliert und unsichere Übergangsmodi beziehungsweise Übergangssuiten deaktiviert."}]}]},{"type":"interconnection","uuid":"ddc5f93f-8d44-5d09-a1e3-738093c4d781","title":"VoIP-Netz","description":"Die Institution hat eine separate VoIP-SSID und ein VoIP-VLAN eingerichtet, WMM/802.11e aktiviert, DSCP EF/46 auf AC_VO gemappt, Call Admission Control eingeschaltet und VoIP-Signalisierung sowie Medienströme mit TLS beziehungsweise SRTP geschützt.","control-implementations":[{"uuid":"ac63bb9b-de48-54f9-86eb-8da521d77ade","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for VoIP-Netz","implemented-requirements":[{"uuid":"97a3701a-ecb0-554b-b6ea-922c34c85e18","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Für latenzkritische Voice‑Dienste sollten Sie WMM/802.11e aktivieren, DSCP EF (46) auf AC_VO mappen und Call Admission Control einschalten, damit Sprachverkehr nicht durch Hintergrundlast verdrängt wird. Planen Sie eine Zellüberlappung von ca. 15–25 % bei −67 dBm, setzen Sie Mindest‑PHY‑Raten für Roaming und validieren Sie Jitter/Packet‑Loss in typischen Gesprächspfaden. Für größere Umgebungen ist Fast‑Roaming (802.11r/k/v) ratsam. Ein vollständiger WLAN‑Netzplan umfasst SSIDs samt Verwendungszweck, VLAN‑IDs/Subnetze, AP‑Standorte, Kanal‑/Leistungs‑Profile, Controller‑/RADIUS‑/PKI‑Anbindungen, Segment‑ und Vertrauensgrenzen sowie externe Übergabepunkte. Versionieren Sie diese Artefakte im ISMS und stellen Sie Änderungs‑ und Freigabeprozesse sicher.","control-id":"_02cac8a8-60e3-481d-96bf-3fa484afea78","description":"Die Institution hat eine separate VoIP-SSID und ein VoIP-VLAN eingerichtet, WMM/802.11e aktiviert, DSCP EF/46 auf AC_VO gemappt, Call Admission Control eingeschaltet und VoIP-Signalisierung sowie Medienströme mit TLS beziehungsweise SRTP geschützt."}]}]},{"type":"policy","uuid":"4d9c730a-c1d1-5937-9310-3aa6963f6cd0","title":"Wartungsfenster","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert.","control-implementations":[{"uuid":"dd120f41-5c73-586e-9958-763cb15018f4","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Wartungsfenster","implemented-requirements":[{"uuid":"e0f90b4c-8cbc-5839-892b-ec7bfb1889c3","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Dokumentieren Sie Annahmen, Abhängigkeiten und Schnittstellen zu angrenzenden Kontrollen (Identitäts‑, Segmentierungs‑, Monitoring‑ und Betriebsprozesse). Validieren Sie die Umsetzung mit einem Testplan, halten Sie Ergebnisse nachvollziehbar fest und planen Sie regelmäßige Überprüfungen ein, um Konfigurationsdrift zu vermeiden.","control-id":"_afaa993d-da28-4f69-93a0-41cb472e8e42","description":"Die Institution hat WLAN-Nutzungs- und Sicherheitsregeln für Mitarbeitende, Gäste und BYOD verbindlich kommuniziert, Änderungen aktiv angekündigt und die Kenntnisnahme sicherheitsrelevanter Vorgaben nachweisbar eingefordert."}]}]},{"type":"policy","uuid":"644ff9ea-1c98-5402-a81a-ab6a3b31fd64","title":"Zuweisung der Aufgaben","description":"Die Institution hat Planung, Betrieb, Schlüssel- und Zertifikatsverwaltung, Change-Management und Monitoring des WLAN in einer RACI-Matrix eindeutig zugewiesen und Vertretungs- sowie Vier-Augen-Prinzip verbindlich festgelegt.","control-implementations":[{"uuid":"96d35449-89b7-5689-9ffc-245502575296","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Zuweisung der Aufgaben","implemented-requirements":[{"uuid":"db6045f3-ed24-5c66-a9b7-836513994c11","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Trennen Sie Management‑Netze strikt vom Nutzdatenverkehr. Erlauben Sie Verwaltungszugänge nur aus dedizierten Admin‑Netzen oder über OOB‑Wege, verwenden Sie SNMPv3/SSH/HTTPS mit starken Cipher‑Suiten und deaktivieren Sie unsichere Protokolle. Logging und Konfigurations‑Versionierung erleichtern die Nachvollziehbarkeit.","control-id":"_e77e84bc-da99-4a39-97da-41393c6422ac","description":"Die Institution hat Planung, Betrieb, Schlüssel- und Zertifikatsverwaltung, Change-Management und Monitoring des WLAN in einer RACI-Matrix eindeutig zugewiesen und Vertretungs- sowie Vier-Augen-Prinzip verbindlich festgelegt."}]}]},{"type":"interconnection","uuid":"6ba44a7f-9f0f-5d30-bb33-1b6233e4f3a7","title":"Änderungen an Sicherheitsrichtlinien","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt.","control-implementations":[{"uuid":"b6fb2eaa-9b54-5da8-9e36-b9ee3c92e992","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Änderungen an Sicherheitsrichtlinien","implemented-requirements":[{"uuid":"f997a1f8-87b2-554d-b444-66ef33304f6c","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_a71bbf22-4b3a-41d0-8ec8-6de7a9790040","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt."}]}]},{"type":"interconnection","uuid":"1f7b2e1e-acfb-56b4-ac37-8f82efc31ecf","title":"Überwachung der Angriffserkennung","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt.","control-implementations":[{"uuid":"08e58543-7e7e-593b-9547-386c1b7ef44a","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Überwachung der Angriffserkennung","implemented-requirements":[{"uuid":"de79f85d-f775-5d12-8720-f94875b731dc","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_c31c5572-5982-4840-8dc3-ada7052bbb6a","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt."}]}]},{"type":"interconnection","uuid":"03013cc5-debd-5eb7-9ff0-60360600bce2","title":"Überwachung der Protokollierung","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt.","control-implementations":[{"uuid":"01f490e2-23aa-54b0-85d3-8b4bb3f79873","source":"#5b122a68-d5b1-47c7-b149-6892d8822da1","description":"Control implementation for Überwachung der Protokollierung","implemented-requirements":[{"uuid":"f9b9a568-0e13-56b6-a962-d89e325fe198","remarks":"Die Maßnahme reduziert das Angriffsrisiko im WLAN-Bereich nachhaltig, erhöht die Resilienz gegen Fehlkonfigurationen und unterstützt Nachweis- und Compliance-Anforderungen im Betrieb. Die beschriebenen Schritte lassen sich in standardisierten Change- und Betriebsprozessen verankern. Ein aktives WIDS/WIPS überwacht die Funkumgebung auf Rogue‑APs, Deauth‑/Disassoc‑Angriffe und störende Quellen. Pflegen Sie eine genehmigte AP‑Liste, definieren Sie sinnvolle Schwellwerte, automatisieren Sie Alarm‑zu‑Ticket‑Prozesse und führen Sie regelmäßige Tuning‑Zyklen durch, um Fehlalarme zu minimieren.","control-id":"_33c4b36a-263c-4380-9cc4-ab89c3995c22","description":"Die Institution hat WIDS/WIPS-Funktionen des WLAN-Controllers für Rogue-AP- und Rogue-Client-Erkennung, Deauthentication-Angriffe und Interferenzen aktiviert, Alarme zentral korreliert und die Bearbeitung über definierte Betriebsprozesse sichergestellt."}]}]}],"back-matter":{"resources":[{"uuid":"5b122a68-d5b1-47c7-b149-6892d8822da1","rlinks":[{"href":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/blob/main/Quellkataloge/Kernel/BSI-Stand-der-Technik-Kernel-catalog.json"}],"description":"BSI Stand der Technik Kernel Catalog"}]}}}