Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
WLAN-Penetrationstest: Tools, Methoden und Angriffsvektoren - WLAN-Sicherheit und Netzwerkschutz
Offensive Security

WLAN-Penetrationstest: Tools, Methoden und Angriffsvektoren

Wie Pentester WLAN-Netze angreifen: Evil Twin, PMKID-Attack, Deauthentication, WPS-Brute-Force, WiFi Pineapple und Formatstring-Angriffe — mit konkreten Schutzmaßnahmen für jedes Angriffsszenario.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
14 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Ein WLAN-Penetrationstest prüft, ob Ihr Funknetz mit realen Angriffsmethoden kompromittiert werden kann. Klassische Angriffsvektoren sind der PMKID-Angriff gegen WPA2-PSK (offline Brute-Force ohne Clientkontakt), Evil-Twin-Angriffe mit betrügerischen Access Points, WPS-Brute-Force (nur 11.000 effektive Kombinationen), Deauthentication-DoS und Formatstring-Schwachstellen in der WLAN-Verarbeitung. Professionelle Pentester nutzen Hardware wie den WiFi Pineapple von Hak5 zusammen mit Tools wie Aircrack-ng, hcxdumptool und Kismet. Die Ergebnisse eines WLAN-Pentests sind die Grundlage für priorisierte Härtungsmaßnahmen — vom Wechsel auf WPA3 über die Deaktivierung von WPS bis hin zur 802.1X-Implementierung.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Ihr WLAN-Netz ist kein Netzwerk mit physischen Grenzen. Das Signal durchdringt Wände, Stockwerke und Gebäudefassaden. Ein Angreifer im Nachbargebäude, auf dem Parkplatz oder in der Straße davor kann Ihr Funknetz empfangen — und bei unzureichender Absicherung angreifen, ohne jemals physisch in Ihr Unternehmen einzudringen.

Ein WLAN-Penetrationstest simuliert genau diese Angriffe unter kontrollierten Bedingungen. Dieser Artikel erklärt, welche Methoden dabei zum Einsatz kommen, welche Tools Pentester verwenden und was die Ergebnisse eines solchen Tests bedeuten.

Was ein WLAN-Penetrationstest umfasst

Ein professioneller WLAN-Penetrationstest prüft die gesamte WLAN-Infrastruktur auf ausnutzbare Schwachstellen. Typische Prüfbereiche:

  • Verschlüsselungsstandard: Welche WPA-Version ist im Einsatz? Ist WEP noch aktiv? Wird WPS angeboten?
  • Passwortstärke: Kann das WPA2-PSK-Passwort per Offline-Brute-Force geknackt werden?
  • 802.1X-Konfiguration: Sind Zertifikate korrekt eingerichtet? Akzeptiert der RADIUS-Server selbstsignierte Zertifikate?
  • Netzwerktrennung: Ist das Gäste-WLAN tatsächlich vom Produktionsnetz getrennt?
  • Rogue Access Points: Lassen sich gefälschte APs einschleusen, ohne erkannt zu werden?
  • Management Frame Protection: Ist 802.11w aktiv? Können Deauthentication-Angriffe ausgeführt werden?
  • Client-Sicherheit: Verbinden sich Clients automatisch mit offenen Netzen gleichen Namens?

Der Test erfolgt immer im Auftrag des Eigentümers der getesteten Infrastruktur. WLAN-Tests ohne ausdrückliche schriftliche Genehmigung sind strafbar — auch gegen das eigene Heimnetz von einem fremden Standort aus.

Angriffsvektoren im Detail

PMKID-Angriff gegen WPA2-PSK

Der PMKID-Angriff ist einer der effektivsten Angriffe gegen WPA2-Personal-Netze, weil er keinen aktiven Client erfordert. Klassische WPA2-Angriffe benötigten den sogenannten 4-Wege-Handshake, der nur beim Verbindungsaufbau eines Clients abgefangen werden kann. Beim PMKID-Angriff genügt ein einziges Frame vom Access Point selbst.

Technischer Ablauf:

Der PMKID (Pairwise Master Key Identifier) wird aus dem PMK, der MAC-Adresse des AP und der MAC-Adresse des Clients berechnet:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" || BSSID || Client-MAC)

Der PMK wiederum leitet sich aus dem WPA2-PSK-Passwort ab. Kennt ein Angreifer den PMKID, kann er offline Passwörter ausprobieren, ohne jemals einen Client getrennt und neu verbunden haben zu müssen.

Tools:

# Schritt 1: PMKID-Frames sammeln
hcxdumptool -i wlan0mon -o capture.pcapng --enable_status=1

# Schritt 2: In hashcat-Format umwandeln
hcxtools/hcxpcapngtool -o hash.hc22000 capture.pcapng

# Schritt 3: Offline-Cracking mit Wörterbuch
hashcat -m 22000 hash.hc22000 wordlist.txt

# Schritt 4: Mit Regelsets für Passwortvarianten
hashcat -m 22000 hash.hc22000 wordlist.txt -r rules/best64.rule

Schutz: WPA3-SAE macht den PMKID-Angriff unmöglich, weil SAE den PMK nicht mehr statisch aus dem Passwort ableitet. Bei weiterhin genutztem WPA2-PSK: Passwort mit mindestens 25 zufälligen Zeichen wählen — Brute-Force wird damit rechnerisch nicht mehr praktikabel.

Evil Twin / Rogue Access Point

Ein Evil-Twin-Angriff ist ein Man-in-the-Middle-Angriff auf WLAN-Ebene. Der Angreifer betreibt einen eigenen Access Point mit identischem SSID wie das Zielnetzwerk und stärkerem Signal — Clients verbinden sich automatisch mit dem stärkeren Signal.

Ablauf eines Evil-Twin-Angriffs:

  1. Angreifer scannt die Umgebung nach SSIDs (Aircrack-ng, Kismet)
  2. Angreifer erstellt AP mit gleichem SSID und eigenem DHCP-Server
  3. Optional: Deauthentication-Angriff gegen das legitime AP, um Clients zur Neuverbindung zu zwingen
  4. Clients verbinden sich mit dem Rogue-AP des Angreifers
  5. Angreifer leitet Traffic durch — als Man-in-the-Middle kann er unverschlüsselte Verbindungen lesen und manipulieren

Tools:

# Rogue AP mit hostapd erstellen
# /etc/hostapd/rogue.conf:
interface=wlan1
driver=nl80211
ssid=ZielNetzwerk
channel=6
hw_mode=g

# DHCP für Clients bereitstellen
dnsmasq --interface=wlan1 --dhcp-range=192.168.100.10,192.168.100.100,12h

# Traffic weiterleiten
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Warum 802.1X dagegen schützt: Bei WPA2/WPA3-Enterprise authentifiziert sich nicht nur der Client gegenüber dem Netzwerk, sondern das Netzwerk gegenüber dem Client — durch ein Server-Zertifikat. Ein Evil-Twin ohne das richtige Zertifikat wird von korrekt konfigurierten Geräten abgewiesen. Clients müssen so konfiguriert sein, dass sie das Serverzertifikat validieren und keine unbekannten Zertifikate akzeptieren.

Deauthentication-Angriffe (DoS und Vorstufe für Evil Twin)

Der IEEE-802.11-Standard enthielt lange Zeit keine Authentifizierung für Management-Frames. Deauthentication-Frames konnten von jedem Gerät gefälscht werden — mit beliebiger Quell-MAC-Adresse.

Auswirkungen:

Ein Angreifer sendet gefälschte Deauth-Frames an alle Clients eines Netzwerks. Die Clients verlieren ihre Verbindung und verbinden sich neu — entweder mit dem legitimen AP oder, falls ein Evil Twin bereitsteht, mit dem Rogue-AP.

# Deauthentication mit aireplay-ng
aireplay-ng --deauth 10 -a <BSSID-des-AP> wlan0mon

# Gezielt gegen einzelnen Client
aireplay-ng --deauth 10 -a <BSSID-des-AP> -c <Client-MAC> wlan0mon

Schutz: 802.11w (Management Frame Protection / MFP) signiert Management-Frames kryptografisch. Gefälschte Deauth-Frames werden von Geräten, die 802.11w unterstützen, ignoriert. WPA3 erzwingt 802.11w — ein weiterer Grund für die Migration.

WPS-Brute-Force

WPS (Wi-Fi Protected Setup) wurde für die einfache Geräte-Verbindung entwickelt. Die achtstellige WPS-PIN hat jedoch einen fundamentalen Design-Fehler: Der Access Point prüft die ersten vier und die letzten drei Digits separat (der achte Digit ist eine Prüfsumme). Damit reduzieren sich die effektiven Kombinationen von 100 Millionen auf 10.000 + 1.000 = 11.000.

Angriff mit Reaver:

# WPS-Scan
wash -i wlan0mon

# WPS-PIN-Brute-Force
reaver -i wlan0mon -b <BSSID> -vv

# Mit Pixie-Dust-Optimierung (funktioniert gegen viele ältere Router sofort)
reaver -i wlan0mon -b <BSSID> -K 1 -vv

Der Pixie-Dust-Angriff nutzt schwache Zufallszahlengeneratoren in manchen Routern und kann den WPS-PIN in Sekunden ermitteln — unabhängig von Passwortlänge oder -komplexität.

Schutz: WPS vollständig deaktivieren. Viele Router bieten auch einen physischen WPS-Knopf, der separat deaktiviert werden muss — andernfalls kann ein Angreifer WPS durch Drücken des Knopfes reaktivieren.

Formatstring-Angriffe über SSIDs

2021 wurde eine kuriose Schwachstelle in iPhones bekannt: Verbindet sich ein iPhone mit einem WLAN mit dem SSID %p%s%s%s%s%n, wird die WLAN-Funktion dauerhaft deaktiviert — auch ein Neustart behebt den Schaden nicht. Der WLAN-Schalter lässt sich nicht mehr aktivieren.

Ursache: Der SSID-String wird an einer Stelle im iOS-Netzwerkstack nicht korrekt escaped und als Formatstring interpretiert. Das Zeichen %p ist in C-ähnlichen Sprachen ein Formatbezeichner für Pointer-Adressen. Das Betriebssystem interpretiert den SSID-Namen als Programmbefehle, was zu einem Speicherzugriffsfehler führt.

Format-String-Angriff allgemein:
  Erwartete Eingabe:  "Mein WLAN Name"
  Bösartige Eingabe:  "%p%s%s%s%s%n"

  System interpretiert:
    %p → Pointer-Adresse ausgeben
    %s → String aus dem Speicher lesen
    %n → Anzahl ausgegebener Bytes in Speicherstelle schreiben
         (kann zu Schreiboperationen auf beliebige Adressen führen)

Dieser Angriffstyp zeigt, dass WLAN-Angriffe nicht auf Netzwerkebene beschränkt sind — Schwachstellen können in jedem Softwarekomponent auftreten, der WLAN-Metadaten verarbeitet.

Schutz: iOS-Updates einspielen. Öffentlichen WLANs mit ungewöhnlichen SSIDs nicht automatisch vertrauen. Bei bekannten Netzwerknamen mit Sonderzeichen, insbesondere Prozentzeichen, Vorsicht walten lassen.

WiFi Pineapple: Das bevorzugte Pentest-Werkzeug

Der WiFi Pineapple von Hak5 ist ein speziell für WLAN-Penetrationstests vorbereiteter Router mit eigener Browser-Oberfläche. Er vereint die gängigsten WLAN-Angriffstools in einer Plattform und reduziert den Einrichtungsaufwand erheblich.

Was der WiFi Pineapple leistet

  • Reconnaissance: Erfassen aller WLANs in Reichweite, inklusive SSIDs, Verschlüsselungsstandard, Signal und angeschlossene Clients
  • Client-Erkennung: Welche Geräte suchen nach welchen Netzen? (Probe-Requests)
  • Rogue Access Points: Aufspannen gefälschter Netze mit konfigurierbarem SSID
  • Deauthentication: Clients gezielt vom legitimen AP trennen
  • Traffic-Analyse: MITM-Analyse des durchgeleiteten Verkehrs

Zwei Varianten

Der WiFi Pineapple ist in zwei Hardware-Varianten erhältlich:

ModellPreisBesonderheit
Tetra199 USDMehr Antennen, höhere Reichweite, mehr USB-Ports
Nano99 USDKompakter, portabler, für diskrete Einsätze

Beide Geräte laufen mit einem vorinstallierten OpenWrt-basierten System. Die Weboberfläche ist über den Browser erreichbar, was den Einsatz auch ohne tiefes Linux-Wissen ermöglicht. Das Modulsystem erlaubt Erweiterungen für spezifische Angriffsmethoden.

Akku-Betrieb für verdeckte Tests

Ein wesentlicher Vorteil für Red-Team-Einsätze: Der WiFi Pineapple kann mit einem handelsüblichen USB-Akkupack betrieben werden. So lässt er sich unbeaufsichtigt im Gebäude platzieren — unter einem Besprechungstisch, im Lagerraum oder in einem Technikschrank. Über Smartphone-Tethering erhält das Gerät eine Internetverbindung, und der Pentester kann die gesammelten Daten von außen abrufen.

Hak5 bietet mit der Cloud C2-Plattform eine Infrastruktur zur Fernsteuerung mehrerer Pentest-Geräte — relevant für größere Red-Team-Engagements mit verteilten Standorten.

Alternativen ohne spezielle Hardware

Dieselben Angriffe lassen sich auch mit einem handelsüblichen Linux-Rechner und einem unterstützten USB-WLAN-Adapter durchführen. Die notwendige Software ist frei verfügbar:

# Aircrack-ng Suite (Industrie-Standard)
sudo apt install aircrack-ng

# Monitor-Modus aktivieren
sudo airmon-ng start wlan0

# Netzwerke scannen
sudo airodump-ng wlan0mon

# Handshake aufzeichnen
sudo airodump-ng -c 6 --bssid <BSSID> -w capture wlan0mon

# Kismet (Passiver Scanner + Rogue-AP-Detection)
sudo apt install kismet
kismet -c wlan0mon
# Web-GUI: localhost:2501

Der Vorteil des WiFi Pineapple liegt nicht in exklusiven Fähigkeiten, sondern in der integrierten Benutzeroberfläche und dem schnellen Einsatz ohne manuelle Konfiguration.

Reconnaissance: Was Pentester zuerst tun

Bevor ein Angriff stattfindet, sammeln Pentester Informationen über die WLAN-Infrastruktur.

Passive Aufklärung

Im Monitor-Modus empfängt eine WLAN-Karte alle Frames in Reichweite, ohne selbst zu senden. Das ermöglicht:

  • Erfassen aller SSIDs und BSSIDs (MAC-Adressen der Access Points)
  • Ermitteln des Verschlüsselungsstandards (WPA2/WPA3/WEP/offen)
  • Zählen der verbundenen Clients pro AP
  • Analyse der Probe-Requests: Welche Netznamen suchen Clients automatisch?

Probe-Requests sind besonders aufschlussreich: Ein Laptop sendet automatisch Anfragen nach allen bekannten Netznamen — also nach dem Heimnetzwerk, dem Büronetzwerk, dem Hotel-WLAN von letztem Jahr. Ein Angreifer mit einem Rogue-AP, der auf diese Namen antwortet, kann Clients automatisch auf sich ziehen.

Aktive Aufklärung

  • Signalstärke messen: Wo im Gebäude ist welcher AP zu empfangen? Strahlt das Unternehmensnetz bis auf die Straße?
  • Wardriving: Systematisches Kartieren aller WLANs in einem Gebiet (für Red-Team-Assessments: mit Genehmigung)
  • Rogue-AP-Erkennung: Gibt es bereits unbekannte Access Points im Gebäude?

WLAN-Pentest-Phasen im Überblick

Ein strukturierter WLAN-Penetrationstest folgt einem definierten Ablauf:

Phase 1 — Scope-Definition: Was ist Prüfgegenstand? Welche SSIDs, welche Standorte? Ist das Gäste-WLAN eingeschlossen? Gibt es Zeitfenster, in denen keine Tests stattfinden dürfen?

Phase 2 — Passive Reconnaissance: Erfassen der WLAN-Infrastruktur ohne aktive Angriffe. Inventar aller SSIDs, BSSIDs, Verschlüsselungsstandards, Channel-Nutzung.

Phase 3 — Schwachstellenanalyse: Welche der gefundenen Netze haben ausnutzbare Schwächen? WEP aktiv? WPS aktiviert? Schwache PSK? Kein 802.11w?

Phase 4 — Exploitation: Kontrollierte Durchführung von Angriffen: PMKID-Angriff, WPS-Brute-Force, Evil-Twin, Deauthentication. Alle Angriffe werden dokumentiert und auf Auswirkungen auf den Betrieb geprüft.

Phase 5 — Post-Exploitation: Was ist nach dem Zugang zum WLAN erreichbar? Ist das interne Netz segmentiert? Können von einem kompromittierten WLAN-Zugang aus interne Server erreicht werden?

Phase 6 — Reporting: Dokumentation aller Befunde mit Risikobewertung (kritisch/hoch/mittel/niedrig) und konkreten Härtungsempfehlungen. Unterscheidung zwischen sofort umsetzbaren Quick Wins und mittelfristigen Maßnahmen.

Häufige Befunde aus WLAN-Pentests

Diese Schwachstellen finden professionelle Pentester regelmäßig in Unternehmensnetzen:

WPS aktiv: In einem erschreckend hohen Anteil der getesteten Netze ist WPS noch aktiv — oft, weil es bei der Router-Einrichtung nicht explizit deaktiviert wurde. Pixie-Dust-Angriffe kompromittieren betroffene Router in Sekunden.

WEP noch im Einsatz: Ältere Infrastruktur, insbesondere in Produktionsumgebungen, nutzt teils noch WEP-Verschlüsselung. WEP ist in Minuten knackbar.

Schwache PSK: Passwörter wie Firmennamen, Jahreszahlen oder Ortsbezeichnungen sind in Wörterlisten enthalten. Ein PMKID-Angriff kombiniert mit typischen deutschen Unternehmenspasswörtern ist oft innerhalb von Stunden erfolgreich.

Fehlendes 802.11w: Ohne Management Frame Protection können Deauthentication-Angriffe jederzeit durchgeführt werden — als Denial-of-Service oder als Vorstufe für Evil-Twin-Angriffe.

Gäste-WLAN ohne Segmentierung: Das Gäste-WLAN ist technisch nicht vom Produktionsnetz getrennt. Ein Angreifer im Gäste-WLAN kann direkt interne Systeme ansprechen.

Evil-Twin-Anfälligkeit bei 802.1X: EAP-Konfiguration akzeptiert beliebige Server-Zertifikate. Clients verbinden sich mit einem Rogue-AP, der ein selbstsigniertes Zertifikat präsentiert — ein erfolgreicher Evil-Twin-Angriff trotz 802.1X.

Rechtliche Rahmenbedingungen

WLAN-Pentests sind rechtlich heikel und erfordern klare schriftliche Auftragserteilung:

  • Kein WLAN-Test ohne ausdrückliche schriftliche Genehmigung des Eigentümers der getesteten Infrastruktur
  • §202a StGB (Ausspähen von Daten) und §303b StGB (Computersabotage) sind auch dann anwendbar, wenn der Tester „nur testen” wollte
  • Tests auf öffentliche oder fremde Netze sind strafbar — auch aus akademischem Interesse
  • Ein professioneller Pentest-Dienstleister stellt einen Rahmenvertrag mit klarer Scope-Definition bereit

AWARE7 führt WLAN-Penetrationstests ausschließlich im Rahmen schriftlicher Beauftragung durch. Der Auftraggeber legt Scope, Standorte und Testzeitraum fest.

Weiterführende Informationen

Wer die Verteidigungsseite verstehen will — WPA3-Enterprise, 802.1X-Konfiguration, sicheres Gäste-WLAN-Design und die vollständige Härtungs-Checkliste — findet alle Details im begleitenden Artikel:

WLAN-Sicherheit im Unternehmen: WPA3, 802.1X und sicheres Gäste-WLAN

WLAN-Sicherheit endet nicht mit dem Setzen eines starken Passworts. Ein professioneller WLAN-Penetrationstest deckt auf, welche Ihrer Maßnahmen tatsächlich halten — und welche bei einem realen Angriff scheitern würden. Die Ergebnisse bilden die Grundlage für eine priorisierte Härtung.

WLAN-Penetrationstest beauftragen | Penetrationstest Leistungen

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung