Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit

Antrag nach dem IFG/UIG/VIG

Sehr geehrte Damen und Herren,

Sie schreiben in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_1_WLAN_Betrieb_Edition_2021.pdf?__blob=publicationFile&v=2

"2.4 Ungeeignete Auswahl von Authentisierungsverfahren
Wenn Authentisierungsverfahren und -mechanismen fehlen oder unzureichend sind, können Sicherheitslücken entstehen. Beispielsweise wird im Standard IEEE 802.1X (Port Based Network Access Control) das Extensible Authentication Protocol (EAP) definiert. In einigen der beschriebenen EAPMethoden sind aber Schwachstellen enthalten. So ist EAP-MD5 etwa anfällig gegenüber Man-in-theMiddle- und Wörterbuchangriffen. Wird EAP-MD5 eingesetzt, können Passwörter erraten werden. Außerdem kann die Kommunikation abgehört werden."

"2.8 Vortäuschung eines gültigen Access Points (Rogue Access Point)
Ein Angreifer kann sich als Teil der WLAN-Infrastruktur ausgeben, indem er einen eigenen Access Point mit einem geeignet gewählten Namen (SSID) in der Nähe eines WLAN-Clients installiert. Dieser vorgetäuschte Access Point wird als „Rogue Access Point“ bezeichnet. ..."

Analog "2.5 Vortäuschung eines gültigen Access Points (Rogue Access Point)" in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_2_WLAN_Nutzung_Edition_2021.pdf?__blob=publicationFile&v=2

Leider ist auch PEAP anfällig, wenn das Serverzertifikat nicht korrekt geprüft wird, und anders als in anderen TLS-Szenarien gibt es keinen Servernamen anhand dessen man die Vertrauenswürdigkeit eines Zertifikats prüfen könnte. Ich hätte erwartet, dass das BSI die Probleme von EDUROAM und ähnlichen Szenarien kennt und in Baustein NET.2.1 einfließen lässt. Meine Empfehlung ist, für die Authentifizierung von Server und Client auf beiden Seiten ausschließlich Zertifikate zu verwenden, oder wenn das nicht praktikabel ist und Passwörter verwendet werden sollen, genau nicht die eines allgemeinen Directory-Dienstes zu nehmen sondern ein dezidiertes Directory nur für 802.1X einzusetzen. Leider hat man über die Konfiguration der Clients seit BYOD in aller Regel zu wenig Kontrolle um das Risiko von kompromitierten Passwörtern anders zu begrenzen.

https://news.rub.de/wissenschaft/2015-12-21-passwort-diebstahl-die-tuecken-des-eduroam
https://mobilsicher.de/aktuelles/android-geraete-in-eduroam-angreifbar
https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_MobileIT_AlternativeLogins_Taraschewski.pdf

http://www.defenceindepth.net/2010/05/attacking-and-securing-peap.html

Ist dem BSI die Problematik von EDUROAM bekannt? Falls ja, aus welchen Gründen hat die keinen konkreten Einfluss in diese Bausteine gefunden? Falls nein, betreibt das BSI eigene Analysen oder Bedrohungsmodellierung, um Schwachstellen der behandelten Verfahren zu vermeiden?

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.

Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren.

Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.

Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.

Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Grundschutz - leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUn….

Information nicht vorhanden

  • Datum
    23. September 2021
  • Frist
    26. Oktober 2021
  • 0 Follower:innen
Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, Sie schreiben in https://www.bsi.bund.de/SharedDocs/D…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733]
Datum
23. September 2021 09:11
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, Sie schreiben in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_1_WLAN_Betrieb_Edition_2021.pdf?__blob=publicationFile&v=2 "2.4 Ungeeignete Auswahl von Authentisierungsverfahren Wenn Authentisierungsverfahren und -mechanismen fehlen oder unzureichend sind, können Sicherheitslücken entstehen. Beispielsweise wird im Standard IEEE 802.1X (Port Based Network Access Control) das Extensible Authentication Protocol (EAP) definiert. In einigen der beschriebenen EAPMethoden sind aber Schwachstellen enthalten. So ist EAP-MD5 etwa anfällig gegenüber Man-in-theMiddle- und Wörterbuchangriffen. Wird EAP-MD5 eingesetzt, können Passwörter erraten werden. Außerdem kann die Kommunikation abgehört werden." "2.8 Vortäuschung eines gültigen Access Points (Rogue Access Point) Ein Angreifer kann sich als Teil der WLAN-Infrastruktur ausgeben, indem er einen eigenen Access Point mit einem geeignet gewählten Namen (SSID) in der Nähe eines WLAN-Clients installiert. Dieser vorgetäuschte Access Point wird als „Rogue Access Point“ bezeichnet. ..." Analog "2.5 Vortäuschung eines gültigen Access Points (Rogue Access Point)" in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_2_WLAN_Nutzung_Edition_2021.pdf?__blob=publicationFile&v=2 Leider ist auch PEAP anfällig, wenn das Serverzertifikat nicht korrekt geprüft wird, und anders als in anderen TLS-Szenarien gibt es keinen Servernamen anhand dessen man die Vertrauenswürdigkeit eines Zertifikats prüfen könnte. Ich hätte erwartet, dass das BSI die Probleme von EDUROAM und ähnlichen Szenarien kennt und in Baustein NET.2.1 einfließen lässt. Meine Empfehlung ist, für die Authentifizierung von Server und Client auf beiden Seiten ausschließlich Zertifikate zu verwenden, oder wenn das nicht praktikabel ist und Passwörter verwendet werden sollen, genau nicht die eines allgemeinen Directory-Dienstes zu nehmen sondern ein dezidiertes Directory nur für 802.1X einzusetzen. Leider hat man über die Konfiguration der Clients seit BYOD in aller Regel zu wenig Kontrolle um das Risiko von kompromitierten Passwörtern anders zu begrenzen. https://news.rub.de/wissenschaft/2015-12-21-passwort-diebstahl-die-tuecken-des-eduroam https://mobilsicher.de/aktuelles/android-geraete-in-eduroam-angreifbar https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_MobileIT_AlternativeLogins_Taraschewski.pdf http://www.defenceindepth.net/2010/05/attacking-and-securing-peap.html Ist dem BSI die Problematik von EDUROAM bekannt? Falls ja, aus welchen Gründen hat die keinen konkreten Einfluss in diese Bausteine gefunden? Falls nein, betreibt das BSI eigene Analysen oder Bedrohungsmodellierung, um Schwachstellen der behandelten Verfahren zu vermeiden? Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
Joachim Lindenberg Anfragenr: 228733 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228733/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich um ein allgemeines Auskunftsverla…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733]
Datum
6. Oktober 2021 12:46
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich um ein allgemeines Auskunftsverlangen und nicht um eine Anfrage nach dem Informationsfreiheitsgesetz (IFG). Ich habe Ihre Anfrage daher an das Service-Center des BSI mit der Bitte um Beantwortung Ihrer Fragen weitergeleitet. Mit freundlichen Grüßen
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage. Dem BSI ist die Problematik von EDUROAM bekannt. Wi…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
: Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733]
Datum
8. Oktober 2021 10:21
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage. Dem BSI ist die Problematik von EDUROAM bekannt. Wir haben sie aus folgendem Grund in den genannten Bausteinen nicht behandelt: Kapitel 2 (Gefährdungslage) zeigt auf, welchen spezifischen Gefährdungen das im Baustein beschriebene Zielobjekt ausgesetzt sein kann. Dabei wird die Gefährdungslage pauschal betrachtet. Die spezifischen Gefährdungen erheben also keinen Anspruch auf Vollständigkeit, sondern müssen anschaulich und plakativ-motivierend die Gefährdungslage bezüglich des Zielobjekts (hier WLAN) darstellen. Den in Ihrer E-Mail beschriebenen Sachverhalt (EDUROAM) werden wir bei der Überarbeitung der Bausteine (u.a. NET.2.1 und NET.2.2) für die Edition 2023 prüfen und ggf. umsetzen. Bei der Überarbeitung der Bausteine NET.2.1 und NET.2.2 werden wir explizit auf die domänenbasierte Authentisierung eingehen. Gerne stehen wir Ihnen für Verständnisfragen zum IT-Grundschutz jederzeit unter <<E-Mail-Adresse>> zur Verfügung stehen. Der Weg über das IFG ist hier nicht nötig. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> ich wähle bewusst den Weg über FragDenStaat, weil ich vermute dass das BSI dann ehe…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: : Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733]
Datum
8. Oktober 2021 18:03
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> ich wähle bewusst den Weg über FragDenStaat, weil ich vermute dass das BSI dann eher auf unangenehme Fragen antwortet. Leider sitzt es die auch gerne mal aus. Wir haben gemeinsame Kunden. Leider muss ich bei mehreren Kunden feststellen, dass die Kunden glauben, wenn sie den Grundschutz befolgen, dann seien sie sicher. Vielleicht im juristischen Sinne, aber ganz bestimmt nicht im IT-Sicherheits-Sinne. Wie ich feststellen muss, enthält der Grundschutz zu viele SOLL statt MUSS, einige Anforderungen - siehe https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ - erst bei hohem Schutzbedarf, die eigentlich Basis-Anforderungen sein müssten. Auch die Probleme bei 802.1X sind ja nicht neu - ich kenne sie seit gut 10 Jahren. Dass Sie mich auf die nächste Version vertrösten statt gleich zu handeln - wird das der Sache gerecht? Ich kann auch gerne helfen - einen Teil meiner Zeit zweige ich bei unseren gemeinsamen Kunden ab, aber zielführender und ehrlicher wäre es meiner Meinung nach, sie kaufen fähigere Leute ein. Oder ist das Wissen da, aber der Wille fehlt? Wenn ich https://www.heise.de/news/Cybersicherheitsstrategie-Bundesregierung-setzt-auf-Hackbacks-und-Exploits-6186893.html?wt_mc=nl.red.security.security-nl.2021-09-09.link.link lese, dann kann ich mir einen Zusammenhang durchaus vorstellen. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 228733 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228733/