Sicherheit in WLANs
In dieser Lerneinheit befasst du dich mit den wichtigsten Sicherheitsbedrohungen in WLAN-Netzwerken, insbesondere mit verschiedenen Angriffsszenarien wie Sniffing und deren Funktionsweise. Du lernst typische Schwachstellen in drahtlosen Netzwerken kennen und verstehst, wie potenzielle Angreifer diese ausnutzen können - Wissen das du für die sichere Konfiguration von WLANs benötigst.
Einführung
Stell dir vor, du sitzt gemütlich im Café und surfst im WLAN – doch jemand am Nachbartisch liest heimlich deine Passwörter mit. Oder in deinem Unternehmen taucht plötzlich ein neuer, unbekannter WLAN-Zugangspunkt auf und niemand weiß, wer ihn installiert hat.

WLANs bieten Flexibilität, aber auch neue Angriffsmöglichkeiten.
Wie schützt du deine Daten und das ganze Netzwerk vor solchen Bedrohungen?
Genau darum geht es in dieser Lerneinheit: Du lernst, wie du typische Angriffe erkennst, abwehrst und mit den richtigen Verschlüsselungs- und Authentifizierungsmethoden für Sicherheit im WLAN sorgst.
Lernziele
Nach dieser Lerneinheit kannst du:
- typische Bedrohungen in WLAN-Netzen (wie Sniffing, Rogue Access Points, Evil Twins) erkennen und erklären.
- die Unterschiede zwischen den Verschlüsselungsstandards WEP, WPA, WPA2 und WPA3 fachlich korrekt erläutern und bewerten.
- den Einsatz von Authentifizierungsmethoden wie PSK und 802.1X begründet beurteilen und die jeweiligen Vor- und Nachteile beschreiben.
- erklären, wie Wireless Intrusion Detection und Prevention Systeme (WIDS/WIPS) zur Absicherung von WLANs beitragen.
Überleitung
Du nutzt WLAN jeden Tag – aber wusstest du, wie leicht Angreifer deine Daten abfangen können, wenn das Netzwerk schlecht gesichert ist? Vom Mitschneiden deines Traffics bis zur gezielten Täuschung mit gefälschten Zugangspunkten gibt es viele Methoden, um WLAN-Nutzer auszuspionieren oder sogar anzugreifen. Deshalb ist es essenziell zu verstehen, wie Angriffe auf WLAN-Netze funktionieren und wie du dich mit starker Verschlüsselung schützt.
Typische Bedrohungen und Angriffsformen in WLANs
Sniffing:
Angreifer fangen Datenpakete im WLAN ab. Sie nutzen Tools, um unverschlüsselte Daten mitzulesen oder Metadaten wie MAC-Adressen und SSIDs zu sammeln. Auch bei moderner Verschlüsselung (WPA2/WPA3) sind Management-Frames oft ungeschützt und liefern wertvolle Informationen.
Rogue Access Points:
Ein Rogue AP ist ein nicht autorisierter WLAN-Zugangspunkt, der von Angreifern aufgestellt wird. Häufig kopieren sie SSID und Einstellungen eines legitimen Netzwerks. Nutzer verbinden sich versehentlich, und der Angreifer kann den Datenverkehr überwachen oder manipulieren.
Typische Bedrohungen und Angriffsformen in WLANs
Evil Twin:
Beim Evil Twin imitiert ein Angreifer gezielt einen echten WLAN-Access Point. Wer sich verbindet, landet im fremden Netz. So können Man-in-the-Middle-Angriffe durchgeführt werden: Der Angreifer liest oder verändert den gesamten Datenverkehr zwischen Client und Internet.
Man-in-the-Middle (MitM):
Der Angreifer schaltet sich unbemerkt zwischen zwei Kommunikationspartner. Besonders gefährlich, wenn keine Ende-zu-Ende-Verschlüsselung (z. B. HTTPS) genutzt wird.
Gegenmaßnahmen
- Immer starke Verschlüsselung einsetzen: Verwende WPA2 oder – noch besser – WPA3. In Unternehmen ist 802.1X (Enterprise-Modus mit Zertifikaten) der Standard.
- Netzwerk regelmäßig überwachen: Setze Wireless Intrusion Detection/Prevention Systems (WIDS/WIPS) ein, um nicht autorisierte Access Points zu erkennen.
- Sichere Authentifizierung: Komplexe Passwörter und idealerweise 802.1X für maximale Sicherheit.
- VPN nutzen: Ein VPN verschlüsselt deinen gesamten Datenverkehr zusätzlich, selbst wenn du in unsicheren WLANs bist.
- Nutzer schulen: Sensibilisiere für die Risiken von Fake-Netzwerken und Phishing.
Verschlüsselungsstandards in WLANs
WEP (Wired Equivalent Privacy):
WEP war die erste Verschlüsselungsmethode für WLANs. Sie nutzt einen statischen Schlüssel, den alle Geräte im Netzwerk teilen. Hauptprobleme sind:
-
Schlüsselmanagement: Ein Schlüssel für alle Verbindungen, selten geändert.
-
Schwache Verschlüsselung: WEP verwendet RC4 und ist aufgrund schwacher Initialisierungsvektoren (IVs) sowie wiederholter Schlüssel leicht zu kompromittieren.
WEP ist heute nicht mehr sicher und sollte nicht mehr eingesetzt werden.
Verschlüsselungsstandards in WLANs
WPA (Wi-Fi Protected Access)
WPA wurde als Übergangslösung eingeführt und brachte Verbesserungen gegenüber WEP:
-
Temporary Key Integrity Protocol (TKIP): Dynamisches Schlüsselmanagement, dennoch auf RC4 basierend und somit grundsätzlich angreifbar.
-
Message Integrity Check (MIC): Schutz vor Manipulation von Paketen.
WPA ist sicherer als WEP, aber TKIP ist ebenfalls veraltet und verwundbar.
Verschlüsselungsstandards in WLANs
WPA2 (Wi-Fi Protected Access 2)
WPA2 ist seit 2004 Standard. Es bringt:
- AES-Verschlüsselung: Starke Blockchiffre, ersetzt TKIP/RC4.
Zwei Modi:
-
PSK (Pre-Shared Key): Für Heimanwender.
-
Enterprise (802.1X): Für Unternehmen, Authentifizierung über RADIUS-Server.
WPA2 ist nach wie vor sehr verbreitet und sicher, wenn starke Passwörter und der Enterprise-Modus verwendet werden.
Verschlüsselungsstandards in WLANs
WPA3 (Wi-Fi Protected Access 3)
WPA3 (seit 2018) bringt folgende Verbesserungen:
-
Simultaneous Authentication of Equals (SAE): Moderner Authentifizierungsmechanismus auf Basis des Dragonfly-Key-Exchange, ersetzt PSK, schützt effektiv gegen Offline-Brute-Force-Angriffe und bietet Forward Secrecy (Vergangenheitsschutz bei Schlüsselkompromittierung).
-
Opportunistic Wireless Encryption (OWE): Individualisierte Verschlüsselung auch bei offenen Netzwerken.
-
Verbesserter Schutz vor Wörterbuchangriffen und vereinfachtes Pairing von IoT-Geräten.
WPA3 gilt derzeit als sicherster Standard und sollte – wenn verfügbar – immer verwendet werden.
Überleitung
Nicht jeder, der sich in dein WLAN einwählt, sollte automatisch Zugriff erhalten – vor allem nicht in Unternehmen. Moderne WLANs setzen deshalb auf gezielte Authentifizierung und eine kontinuierliche Überwachung. Nur so stellst du sicher, dass wirklich nur berechtigte Nutzer ins Netzwerk gelangen und Angreifer schnell erkannt werden. Wie das konkret funktioniert, erfährst du jetzt.
Authentifizierungsmethoden im WLAN
PSK-Authentifizierung (Pre-Shared Key)
Bei der PSK-Authentifizierung verwenden alle Geräte im Netzwerk einen gemeinsamen Schlüssel (Pre-Shared Key). Dieser wird im Access Point (z. B. WLAN-Router) und auf jedem Endgerät hinterlegt, das sich mit dem WLAN verbinden möchte.
- Einsatzgebiet: Vor allem in Heimnetzwerken und kleinen Büros.
Sicherheitsrisiken:
- Der PSK ist allen Nutzer:innen bekannt; bei Kompromittierung muss er überall ausgetauscht werden.
_ Der Modus ist anfällig für Offline-Wörterbuchangriffe: Angreifende können mit aufgezeichneten Handshakes schwache Passwörter offline durchprobieren.
Empfehlung:
-
Verwende einen langen, zufälligen Schlüssel (mind. 20 Zeichen).
-
Setze, wenn möglich, WPA3-Personal (SAE) ein. Dieser Modus erhöht die Sicherheit, da das „Simultaneous Authentication of Equals“ (SAE) Offline-Angriffe deutlich erschwert.
Konfiguration: PSK wird im Router einmalig gesetzt und anschließend auf allen Endgeräten eingegeben.
Praxisbeispiel:
Im Heimnetzwerk wird WPA2-PSK oder besser WPA3-SAE konfiguriert. Alle Geräte erhalten denselben Schlüssel. Bei Gerätewechsel muss nur auf dem neuen Gerät der PSK/SAE eingegeben werden.
Authentifizierungsmethoden im WLAN
802.1X-Authentifizierung
802.1X ist ein Standard für Netzwerkzugangskontrolle, der individuelle Authentifizierung pro Nutzer ermöglicht. Die eigentliche Authentifizierung erfolgt meist über das EAP-Protokoll (Extensible Authentication Protocol), das unterschiedliche Methoden (mit/ohne Zertifikat) unterstützt.
Einsatzgebiet: Mittelgroße bis große Unternehmensnetze und Bildungseinrichtungen.
-
Sicherheitsvorteile:
-
Jede/r Nutzer:in hat eigene Zugangsdaten (z. B. Benutzername/Kennwort, ggf. Zertifikat).
-
Zugriff kann gezielt entzogen werden, ohne das gesamte Netzwerk zu betreffen.
-
Protokollierung und zentrale Verwaltung sind möglich.
Typische EAP-Methoden:
-
PEAP/MS-CHAPv2: Authentifizierung mit Benutzername und Passwort.
-
EAP-TLS: Authentifizierung mit Client-Zertifikat (höchste Sicherheit, aber komplexer Rollout).
Konfiguration: Es wird ein Authentifizierungsserver (z. B. RADIUS) benötigt. Geräte müssen für die jeweilige EAP-Methode konfiguriert werden.
Praxisbeispiel:
Im Unternehmen authentifizieren sich Mitarbeitende mit ihren persönlichen Zugangsdaten am WLAN. Gäste erhalten temporäre oder eingeschränkte Zugänge (z. B. über ein separates VLAN).
Überwachung und Schutz: WIDS und WIPS
WIDS (Wireless Intrusion Detection System)
WIDS überwacht das WLAN und meldet verdächtige Aktivitäten, kann aber nicht aktiv eingreifen. Es erkennt Rogue APs, ungewöhnliche Datenmuster oder verdächtige Verbindungen.
WIPS (Wireless Intrusion Prevention System)
WIPS geht einen Schritt weiter: Es kann Angriffe nicht nur erkennen, sondern auch aktiv Gegenmaßnahmen einleiten, z. B. verdächtige Geräte blockieren oder Verbindungen trennen.
Typische Erkennungsverfahren und Hauptfunktionen
Typische Erkennungsverfahren
- Signaturbasiert: Vergleich mit bekannten Angriffsmustern.
- Anomalie-basiert: Abweichungen vom normalen Netzwerkverhalten werden gemeldet.
Hauptfunktionen
- Rogue Access Points erkennen
- Evil Twin APs aufspüren
- DoS-Angriffe und MitM-Versuche melden
- Schutz vor missbräuchlichen Verbindungen
Praxis:
Ein Unternehmen platziert WIDS/WIPS-Sensoren in allen Bürobereichen. Ein neuer, unbekannter Access Point taucht auf – das System schlägt sofort Alarm.
Umsetzung und Empfehlungen
- In kleinen Netzen reicht PSK, wenn das Passwort stark genug ist und regelmäßig gewechselt wird.
- In professionellen Umgebungen ist 802.1X Pflicht – so lässt sich der Zugriff zentral steuern und gezielt entziehen.
- WPA3-Personal (SAE) ist sicherer als klassische PSK-Lösungen.
- WIDS/WIPS helfen, Angriffe und unsichere Geräte frühzeitig zu erkennen.
- Systeme regelmäßig aktualisieren und klare Sicherheitsrichtlinien für automatische Reaktionen festlegen.
Zusammenfassung und Ausblick
Zusammenfassung:
In dieser Lerneinheit hast du die wichtigsten Sicherheitsaspekte moderner WLANs kennengelernt – von typischen Bedrohungen bis hin zu den technischen Schutzmaßnahmen.
Bedrohungen in WLANs
- Sniffing: Angreifer können Datenpakete im WLAN abfangen und auswerten. Besonders riskant ist dies, wenn das WLAN schlecht oder gar nicht verschlüsselt ist. Auch Metadaten wie MAC-Adressen und SSIDs bleiben oft ungeschützt.
- Rogue Access Points & Evil Twins: Nicht autorisierte oder nachgeahmte Zugangspunkte können Nutzer gezielt in ein manipuliertes Netz locken. Hier drohen Datenklau und Manipulation des Datenverkehrs (Man-in-the-Middle).
- Man-in-the-Middle-Angriffe: Der Angreifer sitzt zwischen Sender und Empfänger, liest Daten mit oder verändert sie. Dies gelingt meist über gefälschte Access Points oder unsichere WLAN-Konfigurationen.
Verschlüsselung und Schutzmechanismen
- WEP: Veraltet, unsicher, darf nicht mehr verwendet werden.
- WPA/WPA2: Bieten bessere Sicherheit, vor allem mit starken Passwörtern und im Enterprise-Modus (802.1X). WPA2 nutzt AES-Verschlüsselung.
- WPA3: Der aktuelle Stand der Technik mit modernen Verfahren wie SAE. Schützt wirksam vor Brute-Force- und Wörterbuchangriffen und bietet sogar Verschlüsselung für offene Netzwerke (OWE).
- VPN: Ein zusätzlicher Schutz, da der gesamte Datenverkehr auch bei unsicherem WLAN verschlüsselt wird.
Authentifizierung und Überwachung
- PSK (Pre-Shared Key): Einfach einzurichten, aber bei vielen Nutzern weniger sicher, da alle denselben Schlüssel verwenden. Ein kompromittierter Schlüssel gefährdet das gesamte Netz.
- WPA3-Personal (SAE): Verbesserter Schlüsselaustausch, schützt besser vor Offline-Angriffen als klassische PSK-Lösungen.
- 802.1X: Individuelle Zugangsdaten für jeden Nutzer, zentrale Verwaltung und Entzug von Zugriffsrechten. In Unternehmen und großen Netzen der Goldstandard.
- WIDS/WIPS: Systeme zur Erkennung und (teilweise) Abwehr von Angriffen. Sie erkennen Rogue APs, Evil Twins und ungewöhnliche Aktivitäten. Ihre Effektivität hängt von richtiger Integration und Pflege ab.
Ausblick
In der nächsten Lektion geht es um die Planung und Konfiguration von WLANs. Du lernst, wie du ein sicheres und stabiles Funknetz aufbaust, worauf du bei der Standortwahl und Kanalplanung achten musst und wie du wichtige Einstellungen am Access Point richtig vornimmst. Damit bist du optimal vorbereitet, um ein WLAN bedarfsgerecht und sicher zu betreiben.