|
Artikelserie WLAN komplett · Teil 4 von 6 WLAN-Sicherheit: WEP, WPA2, WPA3 & 802.1XVerschlüsselung, Authentifizierung und BSI-konforme Absicherung im Unternehmens-WLAN WPA3-SAE · 802.1X/RADIUS · EAP-TLS · PMF · Gäste-WLAN-Segmentierung · BSI-Empfehlungen |
Übersicht: Von WEP bis WPA3
WLAN-Sicherheit beruht auf zwei Säulen: Authentifizierung (wer darf ins Netz?) und Verschlüsselung (wie werden Daten geschützt?). Die Geschichte der WLAN-Sicherheitsstandards ist eine Geschichte zunehmend aufgedeckter Schwachstellen und verbesserter Nachfolger.
| Standard | Jahr | Verschlüsselung | Schlüssellänge | Sicherheit | Status |
| WEP | 1997 | RC4 | 40 / 104 Bit | Gebrochen (Minuten) | ✗ Verboten |
| WPA | 2003 | TKIP (RC4) | 128 Bit | Schwachstellen bekannt | ⚠ Veraltet |
| WPA2 | 2004 | AES-CCMP | 128 / 256 Bit | Gut (schwache PWs verwundbar) | ⚠ Akzeptabel |
| WPA3 | 2018 | AES-GCMP-256 | 192 / 256 Bit | Sehr gut (SAE, PFS) | ✓ Empfohlen |
WEP — gebrochen, niemals mehr verwenden
WEP (Wired Equivalent Privacy, 1997) war der erste WLAN-Sicherheitsstandard. Er basiert auf dem RC4-Stromverschlüsselungsalgorithmus mit statischen Schlüsseln und kurzen Initialisierungsvektoren (IV). Bereits 2001 wurden fundamentale kryptographische Schwächen veröffentlicht; mit Tools wie Aircrack-ng lässt sich WEP heute in Minuten brechen.
✗ WEP ist verboten. Das BSI und die Wi-Fi Alliance empfehlen, WEP-fähige Geräte zu ersetzen. WEP bietet keine nennenswerte Sicherheit mehr und darf in Unternehmensnetzen keinesfalls eingesetzt werden.
WPA & WPA2: Langer Standard, bekannte Schwachstellen
WPA (2003) war eine Notlösung als Softwareupdate auf bestehender WEP-Hardware. Es nutzt TKIP (Temporal Key Integrity Protocol) mit dynamischen Schlüsseln — besser als WEP, aber TKIP ist heute ebenfalls als schwach einzustufen.
WPA2 (IEEE 802.11i, 2004) brachte den Wechsel zu AES-CCMP (Advanced Encryption Standard im Counter Mode with CBC-MAC Protocol) — einer wirklich soliden Verschlüsselung. WPA2 ist heute noch der am weitesten verbreitete Standard. Bekannte Schwachstellen:
|
KRACK (2017) Key Reinstallation Attack — Angriff auf den 4-Way-Handshake. Durch Patches auf Clients und APs behoben. Gepatchte Geräte sind nicht mehr verwundbar. |
Schwache Passwörter WPA2-PSK (Pre-Shared Key) ist anfällig für Wörterbuch- und Brute-Force-Angriffe, wenn kurze oder gängige Passwörter verwendet werden. |
PMKID-Angriff (2018) Erlaubt Offline-Angriffe auf WPA2-PSK ohne assoziierten Client — ein Schlüsselargument für den Wechsel zu WPA3 oder starken Passwörtern. |
WPA3: Der aktuelle Sicherheitsstandard
WPA3 wurde 2018 von der Wi-Fi Alliance eingeführt und seit 2020 für alle neuen Wi-Fi-Zertifizierungen vorgeschrieben. Die wichtigsten Verbesserungen gegenüber WPA2:
|
SAE (Simultaneous Authentication of Equals) Ersetzt WPA2-PSK. SAE basiert auf dem Dragonfly-Handshake (Diffie-Hellman). Schwächere Passwörter werden deutlich sicherer — Offline-Wörterbuch-Angriffe sind nicht mehr möglich. Jede Sitzung verwendet individuelle Schlüssel. |
Perfect Forward Secrecy (PFS) Jede Sitzung wird mit einem temporären Sitzungsschlüssel abgesichert. Selbst wenn ein Angreifer später den Hauptschlüssel bricht, kann er vergangene Sitzungen nicht entschlüsseln. |
|
WPA3-Enterprise (192-Bit-Modus) Für hochsensible Umgebungen: 192-Bit-Sicherheitsmodus mit GCMP-256, HMAC-SHA-384 und ECDH/ECDSA-384. Erfüllt höchste Sicherheitsanforderungen (Behörden, Finanzsektor, kritische Infrastruktur). |
PMF (Protected Management Frames) IEEE 802.11w ist bei WPA3 verpflichtend. Management-Frames (Deauthentication, Disassociation) werden kryptographisch geschützt — verhindert Deauth-Angriffe und Evil-Twin-Attacken. |
802.1X & RADIUS: Unternehmens-Authentifizierung
Im Unternehmensumfeld reicht ein gemeinsam genutztes WLAN-Passwort (PSK) nicht aus: Jeder Mitarbeiter wüsste das Passwort, ausgeschiedene Mitarbeiter könnten weiterhin zugreifen. Die Lösung: IEEE 802.1X mit zentralem RADIUS-Server.
Im 802.1X-Verfahren authentifiziert sich jeder Client individuell gegen einen RADIUS-Server (Remote Authentication Dial-In User Service) mit persönlichen Anmeldedaten oder Zertifikaten. Der Access Point ist nur Durchgangsstelle (Authenticator) — er kennt die Zugangsdaten gar nicht.
|
EAP-TLS Zertifikatsbasiert (Client + Server). Sicherste Methode; erfordert PKI-Infrastruktur. Empfohlen für höchste Sicherheitsanforderungen. RFC 5216 |
PEAP / EAP-TTLS Nutzername+Passwort in einem TLS-Tunnel. Einfacherer Rollout als EAP-TLS. Weit verbreitet in Unternehmen mit Active-Directory-Integration. |
EAP-SIM / EAP-AKA SIM-kartenbasierte Authentifizierung. Relevant für Carrier-Wi-Fi und Hotspot-2.0-Umgebungen (Passpoint). |
|
RADIUS-Ablauf (vereinfacht): 1. Client verbindet sich mit dem AP (Supplicant) 2. AP leitet Authentifizierungsanfrage an RADIUS weiter (Authenticator) 3. RADIUS prüft Credentials gegen LDAP / Active Directory (Authentication Server) 4. Bei Erfolg: RADIUS sendet Access-Accept + VLAN-Zuweisung an AP 5. AP gewährt Netzwerkzugang; Nutzer landet im richtigen VLAN |
BSI-Empfehlungen & Best Practices
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt konkrete Empfehlungen für sicheres WLAN. Zusammengefasst:
| Maßnahme | Begründung |
| WPA3 oder WPA2 (niemals WEP/WPA) | WEP und WPA sind in Minuten zu brechen. WPA3 bevorzugen, WPA2-AES als Minimum. |
| Starkes WLAN-Passwort (20+ Zeichen) | Mindestens 20 zufällige Zeichen (Groß/Klein/Ziffern/Sonderzeichen). Keine Wörterbuchwörter. |
| Standard-Routerpasswort ändern | Voreingestellte Admin-Passwörter sind öffentlich bekannt. Sofort nach Inbetriebnahme ändern. |
| Firmware regelmäßig aktualisieren | Sicherheitslücken in Router- und AP-Firmware werden regelmäßig entdeckt und gepatcht. |
| Gäste-WLAN trennen (eigenes VLAN) | Gäste dürfen niemals das interne Netz sehen. Eigene SSID + VLAN-Segmentierung ist Pflicht. |
| WPS deaktivieren | Wi-Fi Protected Setup (WPS) hat bekannte Schwachstellen (PIN-Brute-Force). Deaktivieren. |
| SSID nicht verstecken | Hidden SSID bietet keine Sicherheit (trivial aufzudecken) und verursacht Verbindungsprobleme. |
| 802.1X im Unternehmen (RADIUS) | Individuelle Authentifizierung statt gemeinsamen Passwörtern; bei Ausscheiden sofort sperren. |
Gäste-WLAN richtig segmentieren
Ein Gäste-WLAN muss vollständig vom internen Netz getrennt sein. Die korrekte Architektur in der Praxis:
|
Empfohlene Architektur: ✓ Separates SSID für Gäste ✓ Eigenes VLAN (z. B. VLAN 99) ✓ Firewall-Regel: Gäste-VLAN ► Internet only ✓ Client-Isolation aktivieren ✓ Bandbreiten-Begrenzung ✓ Captive Portal (optional, mit Nutzungsbedingungen) |
Häufige Fehler: ✗ Gäste-SSID ohne VLAN (selbes Layer-2-Netz) ✗ Gäste können interne Server sehen ✗ Selbes Admin-Passwort für Gäste-AP ✗ Kein Client-Isolation (Gäste sehen sich gegenseitig) ✗ Gäste-WLAN immer aktiv, auch nachts |
Häufige Fragen zur WLAN-Sicherheit
| WPA2 oder WPA3 — muss ich wechseln? |
| WPA2 mit AES ist noch ausreichend sicher, wenn starke Passwörter verwendet werden. Für neue Hardware und neue Installationen ist WPA3 empfohlen. Viele moderne APs unterstützen WPA2/WPA3-Transitionsmodus für Abwärtskompatibilität. |
| Wie lang muss ein WLAN-Passwort sein? |
| Das BSI empfiehlt mindestens 20 zufällige Zeichen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. WPA2/WPA3-PSK akzeptiert 8–63 Zeichen. Kürzere Passwörter sind durch Wörterbuchangriffe gefährdet. |
| Was ist der Unterschied zwischen WPA2-Personal und WPA2-Enterprise? |
| WPA2-Personal (PSK) nutzt ein gemeinsames Passwort für alle Nutzer. WPA2-Enterprise nutzt 802.1X mit individuellem Benutzerkonto und RADIUS-Server. Im Unternehmensumfeld ist Enterprise-Modus dringend empfohlen. |
| Kann ich einem freien WLAN-Hotspot vertrauen? |
| Nein, grundsätzlich nicht. Im Unternehmenseinsatz: Niemals sensible Daten über unbekannte WLANs übertragen. VPN-Pflicht für alle mobilen Mitarbeiter. Ein Angreifer kann einfach einen gleich benannten Evil-Twin-Hotspot aufstellen. |
|
Beratung & Bezugsquellen WLAN-Sicherheitslösungen für Unternehmen RADIUS-Server, WPA3-fähige Access Points, Firewall-Appliances und Managed-Security-Lösungen für Ihre WLAN-Infrastruktur. B2B-Beratung auf Wunsch. ► Telefon: +49 (0)7666 / 88499-0 ► vertrieb@industry-electronics.de |
|
|
|
Weitere Teile dieser Serie
|