WLAN-Sicherheit im Unternehmen: Von WPA3 bis 802.1X
Enterprise-WLAN-Sicherheit: WPA3-Enterprise vs. WPA3-SAE, 802.1X-Authentifizierung (RADIUS + EAP-TLS/PEAP), SSID-Segmentierung (Corp vs. BYOD vs. Gäste), Rogue Access Point Detection, WLAN-IDS/IPS, PMF (Protected Management Frames), Evil Twin Attack Erkennung, sichere WLAN-Konfiguration für Cisco, Aruba und Ubiquiti sowie WLAN-Pen-Test-Methodik.
Inhaltsverzeichnis (5 Abschnitte)
WLAN ist einer der am häufigsten vernachlaessigten Angriffsvektoren. Schwache Pre-Shared Keys, öffentliche SSIDs ohne Gäste-Trennung und fehlende Rogue-AP-Erkennung machen das Firmennetz zur einfachen Beute.
WLAN-Sicherheitsstandards im Vergleich
WEP (Wired Equivalent Privacy): 1999 eingeführt und bereits 2001 gebrochen. Mit AIRODUMP-NG + AIRCRACK-NG in Minuten knackbar. Niemals verwenden.
WPA2-Personal (PSK): Alle Teilnehmer teilen denselben Pre-Shared Key - ist der Key kompromittiert, sind alle betroffen. Angreifbar via PMKID-Angriff (Key offline crackbar mit Hashcat) und 4-Way-Handshake-Capture + Offline-Cracking. Geeignet nur für Heimumgebungen und kleine Büros mit starkem Key.
WPA3-SAE (Simultaneous Authentication of Equals): Dragonfly Key Exchange macht Offline-Cracking unmöglich. Forward Secrecy: ein kompromittierter Key gefährdet vergangene Sessions nicht. Downgrade-Schutz verhindert Fallback auf WPA2. Einsatz: BYOD-Netz, kleines Unternehmen.
WPA3-Enterprise (802.1X + EAP): Individuelle Authentifizierung pro Nutzer ohne geteilten Key. RADIUS-Backend ermöglicht AD-Authentifizierung. EAP-TLS mit Zertifikaten eliminiert das Passwort-Risiko. PMF (Protected Management Frames) ist Pflicht. 192-Bit-Mode (CNSA-Suite) für hochsensible Umgebungen verfügbar. Empfehlung: für alle Unternehmensnetze.
Zum Pen-Test: WPA2-PSK-Cracking erfolgt über Handshake-Capture mit airmon-ng start wlan0, airodump-ng wlan0mon --bssid BSSID -c KANAL -w capture und anschließendem aircrack-ng capture.cap -w /usr/share/wordlists/rockyou.txt.
Multi-SSID-Strategie
Empfohlene SSID-Segmentierung im Unternehmen:
| SSID | Authentifizierung | VLAN | Zugriff |
|---|---|---|---|
| CORP-INTERNAL | 802.1X (EAP-TLS/PEAP) | 30 (Corporate) | Voller interner Zugang; Firmen-Laptops + MDM-Smartphones |
| BYOD-WIFI | 802.1X (PEAP-MSCHAPv2) | 35 (BYOD, eingeschränkt) | Internet + spezifische interne Ressourcen; MFA + Gerät-Compliance |
| GUEST-WIFI | Captive Portal | 60 (Gäste, isoliert) | Nur Internet; kein interner Zugriff; Client-Isolation; Bandbreiten-Limit |
| MANAGEMENT-WIFI | 802.1X + EAP-TLS (Zertifikate) | 90 (Management) | Nur Netz-Infrastruktur-Management; nur IT-Admins |
Hidden SSIDs bieten keinen Sicherheitsgewinn: Probe Requests sind weiterhin sichtbar, und Tools wie AIRODUMP-NG zeigen versteckte SSIDs sofort. "Security through obscurity" ist kein Ersatz für echte Authentifizierung.
802.1X WLAN-Konfiguration
Beispielkonfigurationen für gängige Enterprise-WLAN-Systeme:
Cisco Meraki (Cloud-managed): Im Dashboard unter Wireless → SSIDs → CORP-INTERNAL Security auf WPA2/3 Enterprise setzen, RADIUS-Server (IP, Port 1812, Secret) eintragen, VLAN 30 zuweisen und PMF auf "Required" stellen.
Ubiquiti UniFi: Im Network Controller unter WiFi → New WiFi Network SSID und Security (WPA Enterprise) konfigurieren, RADIUS-Profil mit IP/Port/Secret hinterlegen, VLAN 30 setzen, Fast Roaming (802.11r für VoIP/Mobile) und PMF "Required" aktivieren.
# Aruba (HPE) Konfiguration:
aaa server-group "CORP-RADIUS"
auth-server "dc01-nps" host 192.168.90.10
key "StarkesRadiusSecret"
wlan ssid-profile "CORP-INTERNAL"
essid "CORP-INTERNAL"
opmode wpa3-enterprise-ccmp-256
auth-req 802.1x
server-group "CORP-RADIUS"Zertifikat-Deployment (EAP-TLS) via Intune: Ein SCEP-Profil vergibt automatisch Client-Zertifikate (Device Configuration → Profiles → SCEP Certificate). Ein darauf aufbauendes WLAN-Profil verbindet Firmen-Laptops automatisch - ohne Passwort, mit maximaler Sicherheit.
Rogue Access Point Erkennung
Ein Rogue AP ist entweder ein von Mitarbeitern eigenmächtig aufgestellter privater Router oder ein von Angreifern platzierter Evil-Twin-AP. Beide umgehen Sicherheitskontrollen.
Erkennungsmethoden:
WLAN-Controller-integriertes RF-Scanning (Cisco, Aruba, Ubiquiti) ist die zuverlässigste Methode: Access Points scannen kontinuierlich alle Kanäle und melden unbekannte BSSIDs. Die automatische Klassifizierung unterscheidet zwischen internen Rogue-APs (BSSID im eigenen Netz: jemand hat AP angesteckt), externen Nachbar-APs (BSSID extern: meist keine Bedrohung) und Evil-Twin-APs (gleiche SSID wie eigene: P1-Alert!).
Aruba RAPIDS klassifiziert APs automatisch und kann automatisches Containment (Deauth-Frames an Rogue-Clients) durchführen. Achtung: Deauth-Flooding könnte gegen das Telekommunikationsgesetz verstoßen - nur im eigenen Netz einsetzen.
Evil Twin Attack: Der Angreifer klont die eigene SSID und positioniert sich näher als der legitime AP, sodass Clients sich verbinden. Schutzmaßnahmen: PMF (Protected Management Frames) ist Pflicht; 802.1X mit EAP-TLS verhindert den Angriff, da der Client das RADIUS-Server-Zertifikat validiert - ohne Server-Zertifikat-Validierung gewinnt der Angreifer.
WLAN-Penetrationstest Methodik
Was bei WLAN-Pentests geprüft wird:
Reconnaissance: Mit Kismet oder Wireshark werden sichtbare SSIDs, verwendete Verschlüsselung, verbindende Clients und Probe Requests (welche SSIDs suchen Clients?) ermittelt.
WPA2-PSK-Cracking: 4-Way-Handshake capturen, PMKID-Angriff (kein Client nötig), Offline-Dictionary-Angriff mit Rules. Ergebnis: Key gefunden oder nicht (mit Angabe des Zeitaufwands).
Evil Twin Attack Test: Eigene SSID klonen, Hostapd-WPE für PEAP-Credential-Harvesting, Test ob Mitarbeiter sich verbinden und Credentials abgefangen werden können. Prüfung ob RADIUS-Zertifikat-Validierung konfiguriert ist.
Isolation-Test (Gäste-WLAN): Gäste-WLAN verbinden und prüfen: interne IPs erreichbar? (Soll: NEIN), andere Gäste sichtbar (Client Isolation), Management-Interface des APs erreichbar?
AP-Sicherheit: Standard-Credentials auf Management-Interface, Telnet/HTTP deaktiviert (nur SSH/HTTPS), Management nur aus MGMT-VLAN erreichbar, Firmware aktuell.
Typische Findings bei Unternehmens-WLANs: WPA2-PSK mit schwachem Key (geknackt in weniger als einer Stunde), keine Gäste-Isolation (Gäste sehen Firmenserver), Management-Interface aus allen VLANs erreichbar, Standard-Credentials auf APs (admin/admin), PEAP ohne Server-Zertifikat-Validierung (Evil Twin möglich).
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
