Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

WLAN-Sicherheit im Unternehmen: Von WPA3 bis 802.1X

Enterprise-WLAN-Sicherheit: WPA3-Enterprise vs. WPA3-SAE, 802.1X-Authentifizierung (RADIUS + EAP-TLS/PEAP), SSID-Segmentierung (Corp vs. BYOD vs. Gäste), Rogue Access Point Detection, WLAN-IDS/IPS, PMF (Protected Management Frames), Evil Twin Attack Erkennung, sichere WLAN-Konfiguration für Cisco, Aruba und Ubiquiti sowie WLAN-Pen-Test-Methodik.

Inhaltsverzeichnis (5 Abschnitte)

WLAN ist einer der am häufigsten vernachlaessigten Angriffsvektoren. Schwache Pre-Shared Keys, öffentliche SSIDs ohne Gäste-Trennung und fehlende Rogue-AP-Erkennung machen das Firmennetz zur einfachen Beute.

WLAN-Sicherheitsstandards im Vergleich

WEP / WPA / WPA2 / WPA3:

WEP (Wired Equivalent Privacy):
  → 1999 eingeführt, bereits 2001 gebrochen
  → AIRODUMP-NG + AIRCRACK-NG: in Minuten geknackt
  → NIEMALS verwenden! (Museumsartefakt)

WPA2-Personal (PSK):
  → Pre-Shared Key: alle teilen GLEICHEN Schlüssel
  → Risiko: Key kompromittiert = alle betroffenen!
  → PMKID-Angriff: Key offline crackbar (Hashcat)
  → 4-Way-Handshake offline cracken: wenn captcured
  → Einsatz: nur zu Hause/kleines Büro mit starkem Key
  
  # Schwaches WPA2-PSK knacken (Pen-Test):
  airmon-ng start wlan0
  airodump-ng wlan0mon --bssid BSSID -c KANAL -w capture
  aircrack-ng capture.cap -w /usr/share/wordlists/rockyou.txt

WPA3-SAE (Simultaneous Authentication of Equals):
  → Dragonfly Key Exchange: offline-cracking unmöglich!
  → Forward Secrecy: kompromittierter Key = vergangene Sessions sicher
  → Downgrade-Schutz: kein Fallback auf WPA2
  → Einsatz: BYOD-Netz, kleines Unternehmen

WPA3-Enterprise (802.1X + EAP):
  → Individuell pro Nutzer (kein geteilter Key!)
  → RADIUS-Backend: AD-Authentifizierung
  → EAP-TLS: Zertifikat-basiert (kein Passwort-Risiko)
  → PMF (Protected Management Frames): Pflicht
  → 192-Bit-Mode: CNSA-Suite für hochsensible Umgebungen
  → Empfehlen: für alle Unternehmensnetze!

Multi-SSID-Strategie

SSID-Segmentierung im Unternehmen:

Empfohlene SSID-Struktur:
  CORP-INTERNAL:
  → Authentifizierung: 802.1X (EAP-TLS/PEAP)
  → VLAN: 30 (Corporate Users)
  → Zugriff: voller interner Zugang
  → Geräte: Firmen-Laptops, Smartphones (mit MDM)
  
  BYOD-WIFI:
  → Authentifizierung: 802.1X (PEAP-MSCHAPv2, AD-Credentials)
  → VLAN: 35 (BYOD - eingeschraenkt)
  → Zugriff: Internet + spezifische interne Ressourcen
  → Conditional Access: MFA + Geraat-Compliance-Check
  
  GUEST-WIFI:
  → Authentifizierung: Captive Portal (Klick oder Code)
  → VLAN: 60 (Gäste - komplett isoliert)
  → Zugriff: nur Internet (kein Internetzugang auf interne Ressourcen!)
  → Bandbreiten-Limit: 10 Mbit/s (Qualität sichern)
  → Client-Isolation: Gäste können sich nicht gegenseitig sehen
  
  MANAGEMENT-WIFI:
  → Authentifizierung: 802.1X + EAP-TLS (Zertifikate)
  → VLAN: 90 (Management)
  → Zugriff: Netz-Infrastruktur-Management
  → Nur für: IT-Admins (wenige Geräte!)

Hidden SSID? Kein Sicherheitsgewinn!
  → SSID "versteckt": Beacons fehlen, aber Probe Requests sichtbar
  → AIRODUMP-NG zeigt versteckte SSIDs sofort
  → "Security through obscurity" gilt nicht!
  → Stattdessen: echte Authentifizierung verwenden

802.1X WLAN-Konfiguration

Enterprise-WLAN mit RADIUS:

Cisco Meraki (Cloud-managed):
  # Dashboard → Wireless → SSIDs → CORP-INTERNAL
  Security: WPA2/3 Enterprise
  RADIUS:
    Primary: 192.168.90.10:1812 (FreeRADIUS/NPS)
    Secret: "StarkesRadiusSecret123!"
  VLAN: 30
  PMF: Required (!)
  WPA3-Transition Mode: aktiv (während Migration)

Ubiquiti UniFi:
  # UniFi Network Controller → WiFi → New WiFi Network
  SSID: CORP-INTERNAL
  Security: WPA Enterprise
  RADIUS Profile:
    IP: 192.168.90.10
    Port: 1812
    Secret: "RADIUS-Secret"
  VLAN: 30
  Fast Roaming: 802.11r (für VoIP/Mobile)
  PMF: Required

Aruba (HPE):
  # Aruba Central oder ArubaOS:
  aaa server-group "CORP-RADIUS"
  auth-server "dc01-nps" host 192.168.90.10
  key "StarkesRadiusSecret"
  
  wlan ssid-profile "CORP-INTERNAL"
  essid "CORP-INTERNAL"
  opmode wpa3-enterprise-ccmp-256
  auth-req 802.1x
  server-group "CORP-RADIUS"

Zertifikat-Deployment (EAP-TLS) via Intune:
  # SCEP-Profil: automatisch Client-Zertifikat vergeben
  # Device Configuration → Profiles → SCEP Certificate
  # Dann: WLAN-Profil mit diesem Zertifikat
  # Resultat: Firmenlaptop verbindet sich automatisch → kein Passwort!

Rogue Access Point Erkennung

Unautorisierte APs im Netz erkennen:

Was ist ein Rogue AP?
  → Mitarbeiter bringt privaten Router mit ("weil WLAN schlecht")
  → Angreifer platziert AP im Netz (Evil Twin)
  → Beide: umgehen Sicherheitskontrollen!

Erkennungsmethoden:

  WLAN-Controller-integriert (beste Methode):
  → Cisco/Aruba/Ubiquiti: RF-Scanning on APs
  → APs scannen kontinuierlich alle Kanaele
  → Unbekannte BSSIDs → Alert!
  → Wired-side Detection: Rogue AP auch im Switch erkennbar?

  Automatische Klassifizierung:
  → BSSID in Netz: interner Rogue (jemand hat AP angesteckt)
  → BSSID extern: Nachbar-AP (nicht unbedingt Bedrohung)
  → BSSID gleiche SSID wie wir: Evil Twin! (P1-Alert!)

  Aruba RAPIDS (Rogue AP Detection):
  → Klassifiziert: Known, Rogue, Suspected Rogue, Neighbor
  → Automatic Containment: sendet Deauth-Frames an Rogue-Clients
    ACHTUNG: Deauth-Flooding könnte gegen Telekommunikationsgesetz
    verstoßen → nur in eigenem Netz!

Evil Twin Attack Erkennung:
  → Angreifer kloent unsere SSID mit gleicher SSID
  → Setzt sich naher als unser AP → stärkeres Signal
  → Clients verbinden sich mit Angreifer-AP!
  
  Schutz:
  → PMF (Protected Management Frames): Pflicht!
  → 802.1X: Angreifer kann SSID kloenen, aber RADIUS-Zertifikat nicht
  → Mit EAP-TLS: Client validiert Server-Zertifikat → falscher AP erkannt!
  → Ohne Server-Zertifikat-Validierung: Angreifer gewinnt!

WLAN-Penetrationstest Methodik

Was AWARE7 bei WLAN-Pentests prüft:

Reconnaissance:
  Kismet oder Wireshark:
  → Welche SSIDs sind sichtbar?
  → Welche Verschlüsselung?
  → Welche Clients verbinden sich?
  → Probe Requests: welche SSIDs suchen Clients?

WPA2-PSK-Cracking (wenn vorhanden):
  → 4-Way-Handshake capturen
  → PMKID-Angriff (kein Client nötig!)
  → Offline-Crack: Dict-Angriff + Rules
  → Ergebnis: Key gefunden oder nicht (berichtet: Zeitaufwand)

Evil Twin Attack Test:
  → Eigene SSID klonen
  → Hostapd-WPE (PEAP-Credential-Harvesting)
  → Werden Mitarbeiter sich verbinden? Credentials abgefangen?
  → Erkennbar: RADIUS-Zertifikat-Validierung konfiguriert?

Isolation-Test (Gäste-WLAN):
  → Gäste-WLAN verbinden
  → Kann ich interne IPs erreichen? (Sollte: NEIN)
  → Kann ich andere Gäste eröffnen (Client Isolation)?
  → Kann ich das Management-Interface des APs erreichen?

AP-Sicherheit:
  → Standard-Credentials auf Management-Interface?
  → Telnet/HTTP deaktiviert? (Nur SSH/HTTPS!)
  → Management nur aus MGMT-VLAN erreichbar?
  → Firmware aktuell?

Typische Findings:
  → WPA2-PSK mit schwachem Key (geknackt in <1h)
  → Keine Gäste-Isolation (Gäste sehen Firmenserver)
  → Management-Interface aus allen VLANs erreichbar
  → Standard-Credentials auf AP (admin/admin)
  → PEAP ohne Server-Zertifikat-Validierung → Evil Twin möglich

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung