ISMS

WLAN-Sicherheit im Unternehmen: WPA3, 802.1X und Gäste-Netze

TL;DR
  • WPA3-Enterprise mit 802.1X-Authentifizierung ist der Standard für Unternehmens-WLANs. WPA2-Personal (Pre-Shared Key) ist für Unternehmen nicht geeignet, weil ein kompromittierter Schlüssel allen Nutzern den Zugang ermöglicht.
  • 802.1X authentifiziert jeden Nutzer individuell über einen RADIUS-Server, typischerweise gegen das Active Directory. Nur authentifizierte Nutzer erhalten Netzwerkzugang.
  • Das Gäste-WLAN muss vollständig vom internen Netzwerk isoliert sein: eigenes VLAN, eigene Firewall-Regeln, kein Zugriff auf interne Ressourcen, nur Internetzugang.
  • Rogue Access Points (nicht autorisierte Zugangspunkte) sind ein ernstes Sicherheitsrisiko. WLAN-Controller und spezielle Monitoring-Tools erkennen sie automatisch.
  • Die physische Reichweite des WLANs endet nicht an der Gebäudegrenze. Sendeleistung und Access-Point-Platzierung müssen so konfiguriert werden, dass die Abdeckung außerhalb des Gebäudes minimiert wird.

Warum WLAN-Sicherheit ein ISMS-Thema ist

Drahtlose Netzwerke sind bequem, aber sie haben eine Eigenschaft, die sie fundamental von kabelgebundenen Netzwerken unterscheidet: Das Signal endet nicht an der Gebäudegrenze. Jeder innerhalb der Funkreichweite kann das WLAN sehen und, wenn die Sicherheitskonfiguration mangelhaft ist, auch darauf zugreifen.

ISO 27001 adressiert WLAN-Sicherheit in mehreren Controls: A.8.20 (Network security), A.8.22 (Segregation of networks) und A.8.1 (User endpoint devices). NIS2 fordert angemessene technische Maßnahmen zur Absicherung der Netzwerkinfrastruktur.

In der Praxis finden wir bei KMU regelmäßig drei Zustände: ein WLAN mit einem gemeinsamen Passwort für alle Mitarbeiter (das gegen jede Passwort-Richtlinie seit drei Jahren nicht geändert wurde), ein Gäste-WLAN, das gar nicht isoliert ist, und Access Points mit Default-Konfiguration und veralteter Firmware.

WLAN-Verschlüsselung: WPA2 vs. WPA3

WPA2: Der bisherige Standard

WPA2 (Wi-Fi Protected Access 2) basiert auf AES-CCMP-Verschlüsselung und ist seit 2004 der Standard. WPA2 gibt es in zwei Varianten:

WPA2-Personal (PSK). Alle Nutzer verwenden denselben Pre-Shared Key (Passwort). Einfach einzurichten, aber problematisch: Wenn ein Mitarbeiter das Unternehmen verlässt, müsste das Passwort geändert werden, weil der ehemalige Mitarbeiter es kennt. In der Praxis passiert das selten, und das alte Passwort bleibt aktiv.

WPA2-Enterprise (802.1X). Jeder Nutzer authentifiziert sich individuell über einen RADIUS-Server, typischerweise mit Benutzername und Passwort oder mit einem Zertifikat. Wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Account deaktiviert, und der WLAN-Zugang ist sofort gesperrt.

WPA2 hat bekannte Schwachstellen: Die KRACK-Attacke (Key Reinstallation Attack, 2017) und die Dragonblood-Schwachstellen betreffen WPA2-Personal. WPA2-Enterprise ist weniger anfällig, aber nicht immun.

WPA3: Der neue Standard

WPA3, seit 2018 spezifiziert, behebt die Schwachstellen von WPA2 und bringt mehrere Verbesserungen:

SAE (Simultaneous Authentication of Equals). WPA3-Personal verwendet statt des PSK-Handshakes das SAE-Protokoll, das resistent gegen Offline-Wörterbuch-Angriffe ist. Selbst wenn ein Angreifer den Handshake aufzeichnet, kann er das Passwort nicht offline knacken.

Protected Management Frames (PMF). WPA3 macht PMF verpflichtend. Damit werden Management-Frames (Deauthentication, Disassociation) verschlüsselt und authentifiziert. Deauthentication-Angriffe, bei denen Angreifer Clients gezielt vom WLAN trennen, werden dadurch verhindert.

192-Bit-Sicherheit im Enterprise-Modus. WPA3-Enterprise bietet einen optionalen 192-Bit-Sicherheitsmodus mit stärkeren kryptografischen Algorithmen (AES-256-GCM, SHA-384), der für besonders schutzbedürftige Umgebungen empfohlen wird.

Opportunistic Wireless Encryption (OWE). Auch offene WLANs (ohne Passwort) werden mit WPA3 verschlüsselt. Das schützt Gäste-WLANs und öffentliche Hotspots vor passivem Mithören.

Empfehlung für Unternehmen

Internes WLAN: WPA3-Enterprise mit 802.1X-Authentifizierung. Falls nicht alle Clients WPA3 unterstützen, ist ein Übergangsmodus WPA2/WPA3-Enterprise (Transition Mode) möglich, der beide Standards gleichzeitig unterstützt.

Gäste-WLAN: WPA3-Personal (SAE) mit einem regelmäßig rotierenden Passwort oder WPA3-OWE für einen offenen, aber verschlüsselten Zugang. Alternativ: Captive Portal mit individueller Zugangsregistrierung.

802.1X-Authentifizierung: So funktioniert es

802.1X ist ein IEEE-Standard für netzwerkbasierte Zugriffskontrolle. Im WLAN-Kontext funktioniert es so:

Die drei Rollen

Supplicant (Client). Das Gerät des Nutzers (Laptop, Smartphone, Tablet), das sich am WLAN anmelden möchte.

Authenticator (Access Point). Der Access Point, der den Zugang zum Netzwerk kontrolliert. Er leitet die Authentifizierungsanfrage an den RADIUS-Server weiter.

Authentication Server (RADIUS). Der Server, der die Identität des Nutzers prüft und dem Access Point mitteilt, ob der Zugang gewährt wird. Typische RADIUS-Server: Microsoft NPS (Network Policy Server, Teil von Windows Server, integriert mit dem Active Directory), FreeRADIUS (Open Source), Cisco ISE, Aruba ClearPass.

Der Authentifizierungsablauf

  1. Der Client verbindet sich mit dem WLAN (SSID)
  2. Der Access Point blockiert jeglichen Netzwerkverkehr außer EAP-Authentifizierungsnachrichten
  3. Der Client sendet seine Anmeldedaten (Benutzername/Passwort oder Zertifikat) verschlüsselt an den Access Point
  4. Der Access Point leitet die Daten an den RADIUS-Server weiter
  5. Der RADIUS-Server prüft die Anmeldedaten (z. B. gegen das Active Directory)
  6. Bei erfolgreicher Authentifizierung teilt der RADIUS-Server dem Access Point mit, dass der Zugang gewährt wird
  7. Der RADIUS-Server kann zusätzlich eine VLAN-Zuweisung senden (dynamische VLAN-Zuordnung)
  8. Der Access Point schaltet den Netzwerkzugang frei

EAP-Methoden: Welche wählen?

EAP (Extensible Authentication Protocol) definiert, wie die Authentifizierung im Detail abläuft. Die wichtigsten Methoden:

EAP-TLS (zertifikatsbasiert). Sowohl der Server als auch der Client authentifizieren sich mit einem digitalen Zertifikat. Die sicherste Methode, weil keine Passwörter übertragen werden und gestohlene Passwörter nutzlos sind. Erfordert eine PKI (Public Key Infrastructure) zur Verteilung der Client-Zertifikate.

PEAP (Protected EAP). Der Server authentifiziert sich mit einem Zertifikat, der Client authentifiziert sich mit Benutzername und Passwort innerhalb eines verschlüsselten TLS-Tunnels. Die am weitesten verbreitete Methode, weil sie keine Client-Zertifikate erfordert und mit Active-Directory-Credentials funktioniert.

EAP-TTLS (Tunneled TLS). Ähnlich wie PEAP, aber flexibler in den inneren Authentifizierungsmethoden. Wird häufig in Verbindung mit PAP (Password Authentication Protocol) innerhalb des TLS-Tunnels eingesetzt.

Empfehlung: PEAP (MSCHAPv2) für den Einstieg, weil es mit bestehenden Active-Directory-Credentials funktioniert und keine PKI erfordert. Mittelfristig: Migration auf EAP-TLS mit Client-Zertifikaten für maximale Sicherheit.

Dynamische VLAN-Zuweisung

Ein besonders mächtiges Feature von 802.1X: Der RADIUS-Server kann dem Access Point nicht nur mitteilen, ob der Zugang gewährt wird, sondern auch, in welches VLAN der Client eingeordnet wird.

Beispiel: Ein Mitarbeiter der IT-Abteilung meldet sich am WLAN an. Der RADIUS-Server erkennt seine Gruppenmitgliedschaft im Active Directory (Gruppe "IT-Abteilung") und weist ihm VLAN 10 (Server-Zugang) zu. Ein Mitarbeiter der Buchhaltung meldet sich an und wird VLAN 20 (Standard-Client-Netzwerk) zugewiesen. Ein Gast meldet sich am Gäste-Portal an und wird VLAN 100 (Gäste-Netzwerk, nur Internet) zugewiesen.

So erhalten verschiedene Nutzergruppen automatisch den passenden Netzwerkzugang, ohne separate SSIDs betreiben zu müssen.

Gäste-WLAN: Richtig isolieren

Ein Gäste-WLAN gehört in jedes Unternehmen. Besucher, Kunden, Handwerker und externe Dienstleister erwarten Internetzugang und sollten ihn auch bekommen. Aber unter keinen Umständen dürfen sie dabei auf das interne Netzwerk zugreifen können.

Architektur des Gäste-WLANs

Eigene SSID. Das Gäste-WLAN bekommt eine eigene SSID (z. B. "Firmenname-Gast"). Es läuft auf denselben Access Points wie das interne WLAN, aber in einem separaten VLAN.

Eigenes VLAN. Das Gäste-VLAN ist auf Layer 2 vollständig vom internen Netzwerk getrennt. Kein Routing zwischen Gäste-VLAN und internen VLANs.

Firewall-Regeln. Die Firewall erlaubt dem Gäste-VLAN nur den Zugang zum Internet (HTTP, HTTPS, DNS). Jeglicher Zugriff auf interne IP-Bereiche wird blockiert. Auch der Zugriff auf die Management-Interfaces von Netzwerkgeräten (Firewall, Switches, Access Points) wird blockiert.

Client Isolation. Innerhalb des Gäste-WLANs können Clients nicht miteinander kommunizieren. Ein Gast kann nicht auf den Laptop eines anderen Gastes zugreifen. Diese Funktion heißt je nach Hersteller "Client Isolation", "AP Isolation" oder "Station Isolation".

Bandbreitenbegrenzung. Begrenze die Bandbreite pro Gast-Client, damit ein einzelner Gast nicht die gesamte Internet-Bandbreite konsumiert.

Zugangskontrolle für Gäste

Variante 1: Einfaches Passwort. Ein gemeinsames Passwort, das regelmäßig geändert wird (wöchentlich oder monatlich). Einfach, aber keine individuelle Nachverfolgung.

Variante 2: Captive Portal. Beim ersten Zugriff wird der Gast auf eine Anmeldeseite umgeleitet. Dort akzeptiert er die Nutzungsbedingungen und gibt gegebenenfalls seinen Namen und eine E-Mail-Adresse ein. Bietet individuelle Nachverfolgung und rechtliche Absicherung.

Variante 3: Voucher-System. Am Empfang werden individuelle Zugangscodes ausgegeben, die zeitlich begrenzt gültig sind (z. B. 8 Stunden). Gute Balance zwischen Sicherheit und Benutzerfreundlichkeit.

Variante 4: Sponsored Access. Ein Mitarbeiter "sponsert" den Gastzugang über ein Portal. Der Gast erhält eine E-Mail oder SMS mit den Zugangsdaten. Volle Nachvollziehbarkeit und zeitliche Begrenzung.

Rogue Access Points erkennen

Ein Rogue Access Point ist ein nicht autorisierter Zugangspunkt, der ans Unternehmensnetzwerk angeschlossen wird. Das kann ein Angreifer sein, der einen eigenen Access Point im Gebäude platziert, aber häufiger ist es ein Mitarbeiter, der sich einen privaten Access Point mitbringt, weil die WLAN-Abdeckung in seinem Büro schlecht ist.

Beide Szenarien sind gefährlich: Ein Rogue Access Point umgeht die WLAN-Sicherheitsmaßnahmen (802.1X, VLAN-Isolation) und bietet einen unkontrollierten Zugang zum Netzwerk.

Erkennung

WLAN-Controller mit Rogue Detection. Die meisten Enterprise-WLAN-Controller (Cisco, Aruba, Ubiquiti, Ruckus) haben eine integrierte Rogue-Detection-Funktion. Die autorisierten Access Points scannen kontinuierlich die Umgebung und melden unbekannte Access Points an den Controller.

Wireless Intrusion Detection System (WIDS). Spezialisierte Systeme, die den Funkraum überwachen und verdächtige Aktivitäten erkennen: Rogue Access Points, Evil-Twin-Angriffe (ein Access Point, der die SSID des Unternehmens imitiert), Deauthentication-Angriffe.

NAC (Network Access Control). Als Teil der Netzwerksegmentierung prüft ein NAC-System jedes Gerät, das sich am Netzwerk anmeldet (kabelgebunden oder drahtlos). Nicht autorisierte Geräte, inklusive Rogue Access Points, werden blockiert oder in ein Quarantäne-VLAN umgeleitet.

Prävention

  • Richtlinie, die das Mitbringen und Anschließen privater Access Points verbietet
  • Port-Security auf den Switches: Nur autorisierte MAC-Adressen dürfen Datenverkehr senden
  • 802.1X auch auf den kabelgebundenen Ports: Nur authentifizierte Geräte erhalten Netzwerkzugang
  • Regelmäßige physische Begehungen der Büroräume

WLAN-Monitoring und -Troubleshooting

Was du überwachen solltest

  • Anzahl verbundener Clients pro Access Point: Überladene Access Points liefern schlechte Performance und können Verbindungsabbrüche verursachen
  • Fehlgeschlagene Authentifizierungsversuche: Häufige Fehlversuche können auf Brute-Force-Angriffe hindeuten
  • Rogue Access Points: Kontinuierliche Überwachung auf nicht autorisierte Zugangspunkte
  • Kanalauslastung und Interferenzen: Nachbar-WLANs, Bluetooth-Geräte und Mikrowellen können die Signalqualität beeinträchtigen
  • Firmware-Status: Sind alle Access Points auf dem aktuellen Firmware-Stand?

Logging und Auditing

Protokolliere alle WLAN-relevanten Ereignisse:

  • Erfolgreiche und fehlgeschlagene Authentifizierungen (mit Benutzername, MAC-Adresse, Zeitstempel)
  • VLAN-Zuweisungen
  • Rogue-Detection-Alarme
  • Konfigurationsänderungen

Diese Logs fließen in dein zentrales Log-Management und bilden die Grundlage für die Auswertung im Rahmen deines ISMS. In ISMS Lite dokumentierst du die WLAN-Sicherheitsmaßnahmen als technische Controls und verknüpfst sie mit den relevanten Risiken aus deiner Risikobewertung.

Evil Twin Angriffe: Die unterschätzte Gefahr

Ein Evil Twin ist ein bösartiger Access Point, der die gleiche SSID wie dein Unternehmens-WLAN ausstrahlt. Der Angreifer platziert einen leistungsstarken Access Point in der Nähe deines Gebäudes (Parkplatz, Nachbargebäude, sogar im Gebäude selbst). Clients, die sich verbinden, senden ihre Daten über den Access Point des Angreifers, der den gesamten Datenverkehr mitlesen und manipulieren kann.

Bei WPA2-Personal ist der Schutz gegen Evil Twins begrenzt: Wenn der Angreifer das Pre-Shared-Key kennt (oder keines konfiguriert), verbinden sich Clients automatisch mit dem stärkeren Signal. Bei WPA3-Enterprise mit 802.1X ist der Schutz deutlich besser, weil der Client das Server-Zertifikat des RADIUS-Servers prüft. Wenn der Evil Twin kein gültiges Zertifikat vorweisen kann, verweigert der Client die Verbindung.

Voraussetzung dafür ist, dass die Clients korrekt konfiguriert sind und das RADIUS-Server-Zertifikat validieren. In der Praxis ist die Zertifikatsvalidierung auf vielen Clients nicht aktiv oder falsch konfiguriert. Prüfe die Supplicant-Konfiguration auf allen verwalteten Geräten und stelle sicher, dass das RADIUS-Server-Zertifikat (oder die ausstellende CA) als vertrauenswürdig hinterlegt ist.

WLAN-Richtlinie: Was du dokumentieren solltest

Eine WLAN-Richtlinie gehört in jedes ISMS. Sie definiert die verbindlichen Vorgaben für den Betrieb und die Nutzung drahtloser Netzwerke im Unternehmen. Typische Inhalte:

  • Welche WLAN-Standards und Verschlüsselungsverfahren eingesetzt werden (WPA3-Enterprise, 802.1X)
  • Welche Authentifizierungsmethoden zum Einsatz kommen (PEAP, EAP-TLS)
  • Wie das Gäste-WLAN konfiguriert und isoliert ist
  • Wer Access Points installieren und konfigurieren darf (nur die IT-Abteilung)
  • Dass das Mitbringen und Anschließen privater Access Points verboten ist
  • Wie häufig Firmware-Updates und Konfigurationsreviews durchgeführt werden
  • Welche Monitoring- und Logging-Maßnahmen aktiv sind
  • Wer bei WLAN-Sicherheitsvorfällen zu informieren ist

Best Practices auf einen Blick

Verschlüsselung: WPA3-Enterprise mit 802.1X. Kein WPA2-Personal im Unternehmensnetz.

Authentifizierung: PEAP (MSCHAPv2) als Einstieg, EAP-TLS mit Client-Zertifikaten als Ziel.

Gäste-WLAN: Eigene SSID, eigenes VLAN, vollständige Isolation, Client Isolation aktiviert, Bandbreitenbegrenzung.

SSID-Naming: Verwende aussagekräftige, aber nicht zu detaillierte SSID-Namen. "Firmenname" ist besser als "Firmenname-Intern-VLAN10". Verbirg die SSID nicht (Hidden SSID): Das bietet keinen Sicherheitsgewinn und erschwert nur das Troubleshooting.

Sendeleistung: Reduziere die Sendeleistung so weit, dass die Abdeckung innerhalb des Gebäudes ausreicht, aber möglichst wenig Signal nach außen dringt.

Firmware-Updates: Halte die Firmware aller Access Points aktuell. Automatische Updates sind in vielen Controller-basierten Lösungen möglich und empfehlenswert.

Management-Zugang: Der Zugang zur Verwaltungsoberfläche der Access Points und des WLAN-Controllers ist auf das Management-VLAN beschränkt und mit MFA gesichert.

Regelmäßige Überprüfung: Mindestens jährlich: WLAN-Konfiguration prüfen, Rogue-Detection-Ergebnisse auswerten, Firmware-Status kontrollieren, Zugangspolicies aktualisieren.

Weiterführende Artikel

Ein sicheres Unternehmens-WLAN ist kein Hexenwerk, aber es erfordert mehr als einen Access Point aus dem Elektronikmarkt und ein Post-it mit dem WLAN-Passwort am Empfang. WPA3-Enterprise, 802.1X, VLAN-Isolation und kontinuierliches Monitoring sind die Bausteine, die aus einem Komfort-Feature ein sicheres Netzwerksegment machen.

WLAN-Sicherheit im ISMS verankern

ISMS Lite hilft dir, WLAN-Sicherheitsrichtlinien zu dokumentieren, Access-Point-Inventare zu führen und die WLAN-Konfiguration als technische Maßnahme im Risikomanagement zu verankern.

Jetzt installieren