EAP-TLS vs. PEAP: Welches Authentifizierungsprotokoll ist das richtige für Ihr Netzwerk?

Ein umfassender technischer Vergleich der Authentifizierungsprotokolle EAP-TLS und PEAP, der Sicherheitsarchitektur, Bereitstellungskomplexität und Compliance-Auswirkungen abdeckt. Dieser Leitfaden bietet IT-Entscheidern in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor praktische Entscheidungsrahmen für die Auswahl der richtigen 802.1X-Authentifizierungsmethode für ihre Enterprise-WiFi-Infrastruktur.

📖 6 Min. Lesezeit📝 1,341 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

EAP-TLS vs. PEAP: Welches Authentifizierungsprotokoll ist das richtige für Ihr Netzwerk?
Ein Purple Technical Briefing

[EINFÜHRUNG — ca. 1 Minute]

Willkommen beim Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einer der weitreichendsten Entscheidungen, die Sie bei der Planung oder Modernisierung Ihrer drahtlosen Unternehmens-Infrastruktur treffen müssen: der Wahl zwischen EAP-TLS und PEAP für Ihr 802.1X-Authentifizierungs-Framework.

Wenn Sie als IT-Manager, Netzwerkarchitekt oder CTO für eine Hotelgruppe, ein Einzelhandelsunternehmen, ein Stadion oder eine Organisation des öffentlichen Sektors verantwortlich sind, beeinflusst diese Entscheidung Ihr Sicherheitsniveau, Ihren Compliance-Status und den täglichen Betriebsaufwand Ihres Teams. Kommen wir also direkt zur Sache.

Sowohl EAP-TLS als auch PEAP sind 802.1X-Authentifizierungsmethoden. Beide basieren auf einem RADIUS-Server zur Verarbeitung von Authentifizierungsanfragen und beide bieten eine wesentlich höhere Sicherheit als ein gemeinsam genutzter WPA2-Schlüssel. Die Art und Weise, wie sie die Identität überprüfen, unterscheidet sich jedoch grundlegend — und dieser Unterschied hat erhebliche Auswirkungen darauf, wie Sie Ihr Netzwerk bereitstellen, verwalten und skalieren.

[TECHNISCHE TIEFENANALYSE — ca. 5 Minuten]

Beginnen wir mit EAP-TLS — Extensible Authentication Protocol Transport Layer Security.

EAP-TLS ist der Goldstandard der WiFi-Authentifizierung in Unternehmen. Das entscheidende Merkmal ist die gegenseitige Zertifikatsauthentifizierung. In der Praxis bedeutet das: Wenn ein Gerät versucht, eine Verbindung zu Ihrem Netzwerk herzustellen, präsentiert der RADIUS-Server dem Gerät ein digitales Zertifikat. Das Gerät gleicht dieses Zertifikat mit seinen vertrauenswürdigen Zertifizierungsstellen ab. Aber hier liegt der entscheidende Unterschied zu PEAP — das Gerät präsentiert dem Server anschließend sein eigenes Zertifikat. Der Server validiert dieses Client-Zertifikat, und nur wenn beide Zertifikate gültig und vertrauenswürdig sind, gewährt das Netzwerk Zugriff.

Es sind keine Passwörter im Spiel. Keine. Die Authentifizierung basiert vollständig auf Zertifikaten. Dies macht EAP-TLS außerordentlich widerstandsfähig gegen Diebstahl von Anmeldedaten, Wörterbuchangriffe und Man-in-the-Middle-Angriffe. Man kann schlichtweg kein Passwort stehlen, das im Authentifizierungsfluss gar nicht existiert.

Der Kompromiss liegt jedoch in der Komplexität der Bereitstellung. Um EAP-TLS in großem Maßstab zu betreiben, benötigen Sie eine Public-Key-Infrastruktur — eine PKI —, um Zertifikate für jedes einzelne Gerät in Ihrem Netzwerk auszustellen, zu verwalten und zu widerrufen. Außerdem benötigen Sie eine Mobile-Device-Management-Lösung, um diese Zertifikate geräuschlos auf die Endgeräte zu übertragen. Wenn Sie eine Unternehmensumgebung mit Microsoft Intune oder Jamf betreiben, ist dies absolut machbar. Wenn nicht, wird EAP-TLS zu einem erheblichen Unterfangen.

Der andere betriebliche Aspekt ist das Lebenszyklusmanagement von Zertifikaten. Zertifikate laufen ab. Wenn das Zertifikat Ihres RADIUS-Servers abläuft, schlägt die Authentifizierung bei jedem einzelnen Gerät in Ihrem Netzwerk gleichzeitig fehl. Das ist ein katastrophaler Ausfall. Zertifikatsüberwachung und Erneuerungsprozesse sind unverzichtbar.

Betrachten wir nun PEAP — Protected Extensible Authentication Protocol.

PEAP wurde entwickelt, um die Komplexität bei der Bereitstellung von EAP-TLS zu reduzieren und gleichzeitig robuste Sicherheit zu bieten. Die entscheidende Erkenntnis hinter PEAP ist folgende: Nur der Server benötigt ein Zertifikat. Der Client benötigt keines.

Und so funktioniert es: Der RADIUS-Server präsentiert sein Zertifikat dem Client-Gerät. Der Client validiert den Server – genau wie bei EAP-TLS. Dadurch wird ein verschlüsselter TLS-Tunnel aufgebaut. Innerhalb dieses Tunnels führt der Client dann eine standardmäßige, passwortbasierte Authentifizierung durch, in der Regel mittels MSCHAPv2, und zwar gegenüber Ihrem Identitätsspeicher – Active Directory, LDAP, Google Workspace oder was auch immer Sie verwenden.

Das Passwort wird niemals im Klartext übertragen. Es ist innerhalb des verschlüsselten Tunnels stets geschützt. PEAP ist also absolut sicher – vorausgesetzt, es ist korrekt konfiguriert.

Und genau hier müssen wir über die häufigste und gefährlichste Fehlkonfiguration bei PEAP-Bereitstellungen sprechen. Wenn ein Client-Gerät nicht so konfiguriert ist, dass es das Zertifikat des RADIUS-Servers streng validiert, kann ein Angreifer einen betrügerischen Access Point mit demselben Netzwerknamen einrichten und ein gefälschtes Zertifikat präsentieren, woraufhin sich das Gerät bereitwillig verbindet. Der Angreifer fängt dann den MSCHAPv2-Authentifizierungsaustausch ab, der offline geknackt werden kann. Dies ist kein theoretischer Angriff – es ist eine gut dokumentierte Methode, die bei realen Penetrationstests eingesetzt wird.

Die Lösung ist einfach: Nutzen Sie Gruppenrichtlinien, MDM-Profile oder Onboarding-Tools, um eine strenge Serverzertifikatsvalidierung auf jedem Client-Gerät zu erzwingen. Die betriebliche Realität in BYOD-Umgebungen zeigt jedoch, dass es eine echte Herausforderung ist, diese Konfiguration konsistent auf Tausenden von unmanaged persönlichen Geräten durchzusetzen.

Lassen Sie mich Ihnen einen konkreten Vergleich geben. Stellen Sie sich eine Einzelhandelskette mit 500 Standorten vor. Sie verfügt über firmeneigene Tablets und Handscanner, die alle über Microsoft Intune verwaltet werden. Hier ist EAP-TLS die richtige Wahl. Intune verteilt die Zertifikate automatisch. Geht ein Scanner verloren, widerruft die IT-Abteilung dessen Zertifikat, und er ist innerhalb von Minuten aus dem Netzwerk entfernt – ohne Passwort-Resets, ohne die Änderung von gemeinsam genutzten Passphrasen in 500 Filialen. Die Sicherheit ist absolut.

Betrachten wir nun ein großes Konferenzzentrum, das WiFi für 3.000 Mitarbeiter auf deren persönlichen Geräten bereitstellt. Kein MDM. Die Mitarbeiter nutzen Google Workspace. Hier ist PEAP, integriert mit Google Secure LDAP, die pragmatische Wahl. Die Mitarbeiter authentifizieren sich mit ihren Standard-Anmeldedaten. Das IT-Team stellt eine Onboarding-Dokumentation zur Konfiguration der Zertifikatsvalidierung bereit. Das ist in Tagen statt in Monaten einsatzbereit.

Die Architektur, die beiden Protokollen zugrunde liegt, ist dasselbe dreiteilige 802.1X-Modell: der Supplicant – das ist das Client-Gerät –, der Authenticator, also Ihr Access Point oder Switch, und der RADIUS-Server. Der Authenticator fungiert als Gatekeeper und blockiert den gesamten Datenverkehr, bis der RADIUS-Server signalisiert, dass die Authentifizierung erfolgreich war.

[IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE — ca. 2 Minuten]

Was sind also die praktischen Empfehlungen?

Erstens: Wenn Sie eine MDM-Lösung und firmeneigene Geräte nutzen, implementieren Sie EAP-TLS. Die Anfangsinvestition in PKI und Zertifikatsverwaltung zahlt sich durch ein geringeres Risiko und vereinfachte Compliance-Audits aus. Für regulierte Branchen – wie das Gesundheitswesen, das Finanzwesen und den öffentlichen Sektor – ist dies keine Option, sondern Pflicht. Es ist genau die Architektur, die Ihre Auditoren erwarten.

Zweitens: Wenn Sie eine BYOD-Umgebung betreiben oder keine MDM-Infrastruktur besitzen, implementieren Sie PEAP. Aber verzichten Sie keinesfalls auf die Konfiguration der Serverzertifikatsvalidierung. Nutzen Sie Onboarding-Tools, Portale für die Netzwerkzugriffskontrolle oder MDM-Profile, wo immer dies möglich ist, um dies zu erzwingen. Betrachten Sie dies als obligatorischen Bereitstellungsschritt, nicht als optionale Härtungsmaßnahme.

Drittens: Unabhängig davon, für welches Protokoll Sie sich entscheiden, sollten Sie eine RADIUS-Redundanz in Ihre Architektur einbauen. Die Authentifizierung ist ein kritischer Pfad. Der Ausfall eines einzigen RADIUS-Servers bedeutet, dass niemand mehr auf das Netzwerk zugreifen kann. Cloud-basierte RADIUS-Lösungen bieten Ausfallsicherheit ohne den Aufwand für die Verwaltung einer redundanten On-Premises-Infrastruktur.

Viertens: Segmentieren Sie Ihr Netzwerk nach der Authentifizierung. Eine erfolgreiche 802.1X-Authentifizierung sollte keinen uneingeschränkten Zugriff auf Ihr gesamtes Unternehmensnetzwerk gewähren. Nutzen Sie VLAN-Zuweisungsrichtlinien, um Benutzer in den entsprechenden Netzwerksegmenten mit den passenden Zugriffskontrollen zu platzieren.

Die häufigsten Fallstricke, die es zu vermeiden gilt: Abgelaufene Zertifikate, die bei EAP-TLS-Bereitstellungen zu massenhaften Authentifizierungsfehlern führen; Client-Geräte, die bei PEAP-Bereitstellungen keine Serverzertifikate validieren; und RADIUS-Timeout-Probleme, die durch hohe Latenzzeiten zwischen dem Wireless-Controller und dem Authentifizierungsserver verursacht werden – besonders relevant bei geografisch verteilten Standorten.

[SCHNELLES Q&A — ca. 1 Minute]

Lassen Sie mich kurz auf einige Fragen eingehen, die mir häufig gestellt werden.

Kann ich sowohl EAP-TLS als auch PEAP im selben Netzwerk betreiben? Ja. Viele Unternehmen nutzen EAP-TLS für firmeneigene Geräte auf einer SSID und PEAP für BYOD oder den Gastzugang auf einer separaten SSID, mit einer entsprechenden Netzwerksegmentierung dazwischen.

Ändert WPA3 diese Entscheidung? WPA3 Enterprise schreibt für Hochsicherheitsumgebungen den 192-Bit-Sicherheitsmodus vor, was mit EAP-TLS übereinstimmt. WPA3 Personal nutzt SAE anstelle von PSK, aber für 802.1X-Unternehmensbereitstellungen bleibt die Auswahl der EAP-Methode weiterhin relevant.

Ist PEAP konform mit PCI DSS? Ja, sofern es korrekt konfiguriert ist und die Serverzertifikatsvalidierung erzwungen wird. Für Umgebungen, in denen Karteninhaberdaten verarbeitet werden, wird EAP-TLS bei Sicherheitsbewertungen jedoch zunehmend als bevorzugter Ansatz empfohlen.

Wie sieht es mit OpenRoaming aus? OpenRoaming nutzt im Hintergrund eine zertifikatsbasierte Authentifizierung, die den Prinzipien von EAP-TLS entspricht. Plattformen wie Purple können als Identitätsanbieter für OpenRoaming fungieren und ermöglichen so ein nahtloses, sicheres Roaming zwischen verschiedenen Standorten ohne erneute Authentifizierung.

[ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE — ca. 1 Minute]

Zusammenfassend lässt sich sagen: EAP-TLS ist die sicherste Option, da Passwörter durch gegenseitige Zertifikatsauthentifizierung vollständig überflüssig werden. Es erfordert eine PKI- und MDM-Infrastruktur, bietet jedoch die stärkste Compliance-Position und die granularste Zugriffskontrolle auf Geräteebene. PEAP ist die pragmatische Wahl für BYOD und Umgebungen ohne Zertifikatsverwaltungsinfrastruktur. Es bietet eine starke verschlüsselte Authentifizierung unter Verwendung vorhandener Anmeldedaten – jedoch nur, wenn die Serverzertifikatsvalidierung konsequent erzwungen wird.

Der Entscheidungsrahmen ist einfach: Wenn Sie Ihre Geräte verwalten, verwenden Sie EAP-TLS. Wenn Ihre Benutzer ihre eigenen Geräte mitbringen, verwenden Sie PEAP – aber konfigurieren Sie es richtig.

Für Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Authentifizierungskonfiguration, bewerten Sie Ihre PKI- und MDM-Bereitschaft und überprüfen Sie Ihre RADIUS-Infrastruktur auf Redundanz und Latenz. Wenn Sie neben Ihrem Unternehmensnetzwerk auch ein Gäste-WiFi bereitstellen oder aktualisieren, sollten Sie sich überlegen, wie eine Plattform wie Purple in Ihr Authentifizierungs-Framework integriert werden kann, um sowohl Sicherheit als auch verwertbare Analysen aus Ihrem Netzwerk bereitzustellen.

Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓EAP-TLS bietet das höchste Maß an Enterprise-WiFi-Sicherheit durch gegenseitige Zertifikatsauthentifizierung, wodurch Passwörter vollständig aus dem Authentifizierungsfluss eliminiert werden.
✓PEAP bietet robuste Sicherheit, indem es die Standard-Passwortauthentifizierung in einer verschlüsselten TLS-Sitzung tunnelt, wofür nur ein serverseitiges Zertifikat erforderlich ist.
✓EAP-TLS ist die richtige Wahl für Umgebungen mit vom Unternehmen verwalteten Geräten, in denen eine PKI- und MDM-Infrastruktur vorhanden ist – insbesondere in regulierten Branchen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor.
✓PEAP ist die pragmatische Wahl für BYOD-Umgebungen und Organisationen, denen automatisierte Funktionen zur Zertifikatsverwaltung fehlen, vorausgesetzt, die Validierung des Serverzertifikats wird streng durchgesetzt.
✓Die primäre und am häufigsten ausgenutzte Schwachstelle bei PEAP-Bereitstellungen ist das Versäumnis, eine strikte Validierung des Serverzertifikats auf Client-Geräten zu erzwingen – dies muss als obligatorischer Konfigurationsschritt behandelt werden.
✓Beide Protokolle erfordern eine robuste, hochverfügbare RADIUS-Infrastruktur; der Ausfall eines einzelnen RADIUS-Servers führt zu einem vollständigen Authentifizierungsausfall.
✓Die Integration einer sicheren 802.1X-Authentifizierung mit einer Plattform wie Purple ermöglicht es Veranstaltungsorten, Sicherheit auf Enterprise-Niveau mit nutzbaren WiFi-Analysen und nahtlosem Gäste-Onboarding zu kombinieren.

Executive Summary

Die Wahl des richtigen Authentifizierungsprotokolls ist eine kritische architektonische Entscheidung, die sich sowohl auf das Sicherheitsniveau als auch auf den betrieblichen Aufwand auswirkt. Für IT-Manager, Netzwerkarchitekten und CTOs in komplexen Umgebungen – wie Hospitality , Retail , Stadien und Organisationen des öffentlichen Sektors – entscheidet die Wahl zwischen EAP-TLS und PEAP oft über die Balance zwischen lückenloser Sicherheit und Machbarkeit der Bereitstellung.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) gilt weithin als Goldstandard für die Sicherheit von Enterprise-WiFi und basiert auf einer gegenseitigen zertifikatsbasierten Authentifizierung. PEAP (Protected Extensible Authentication Protocol) hingegen kapselt die standardmäßige passwortbasierte Authentifizierung in einem verschlüsselten TLS-Tunnel, was die Komplexität der Bereitstellung erheblich reduziert.

Dieser technische Leitfaden bietet einen herstellerneutralen, architektonischen Deep-Dive in beide Protokolle. Wir untersuchen ihre Funktionsweise, bewerten die Komplexität der Bereitstellung und geben praxisnahe Empfehlungen, um sicherzustellen, dass Ihre Netzwerkinfrastruktur modernen Sicherheitsstandards entspricht – einschließlich PCI DSS und GDPR-Konformität – während gleichzeitig eine nahtlose Konnektivität für Ihre Benutzer gewährleistet bleibt.

Technischer Deep-Dive: Protokoll-Architektur

Um eine fundierte Entscheidung zu treffen, ist es wichtig, die zugrunde liegende Funktionsweise dieser Protokolle zur Absicherung des 802.1X-Authentifizierungs-Frameworks zu verstehen. Beide Protokolle nutzen einen RADIUS-Server zur Verarbeitung von Authentifizierungsanfragen, aber ihre Methoden zur Identitätsprüfung unterscheiden sich grundlegend. Für ein grundlegendes Verständnis der RADIUS-Infrastruktur verweisen wir auf unseren Leitfaden What Is RADIUS? How RADIUS Servers Secure WiFi Networks .

EAP-TLS: Gegenseitige Zertifikatsauthentifizierung

EAP-TLS basiert auf dem Prinzip der gegenseitigen Authentifizierung. Sowohl das Client-Gerät (Supplicant) als auch der Authentifizierungsserver (RADIUS) müssen gültige digitale Zertifikate vorlegen, um eine Verbindung herzustellen.

Der Handshake: Wenn ein Gerät versucht, eine Verbindung herzustellen, präsentiert der RADIUS-Server dem Client sein Zertifikat. Der Client validiert dieses Zertifikat anhand seiner vertrauenswürdigen Root-Zertifizierungsstellen (CAs). Sobald der Server verifiziert ist, präsentiert der Client dem Server sein eigenes, eindeutiges Zertifikat. Wenn beide Zertifikate gültig sind und nicht widerrufen wurden – überprüft über CRL oder OCSP –, wird eine sichere TLS-Sitzung aufgebaut und der Netzwerkzugriff gewährt.

Diese gegenseitige Verifizierung macht EAP-TLS äußerst resistent gegen Diebstahl von Anmeldedaten, Wörterbuchangriffe und Man-in-the-Middle-Angriffe (MitM). Da keine Passwörter übertragen werden, können kompromittierte Benutzerdaten nicht für den Zugriff auf das Netzwerk missbraucht werden.

PEAP: Tunnelled Password Authentication

PEAP wurde als einfacher bereitzustellende Alternative zu EAP-TLS entwickelt. Es macht clientseitige Zertifikate überflüssig und bietet dennoch robuste Sicherheit.

Tunnelaufbau: Der RADIUS-Server präsentiert dem Client sein Zertifikat. Der Client validiert den Server und baut einen verschlüsselten TLS-Tunnel auf. Innerhalb dieses sicheren Tunnels führt der Client eine standardmäßige passwortbasierte Authentifizierung – in der Regel MSCHAPv2 – gegenüber einem Identitätsanbieter wie Active Directory durch. Der RADIUS-Server validiert die Anmeldedaten und gewährt den Zugriff.

Obwohl PEAP bei korrekter Konfiguration sehr sicher ist, hängt es davon ab, dass Benutzer starke Passwörter verwenden. Wenn das Gerät eines Benutzers nicht so konfiguriert ist, dass es das Serverzertifikat validiert, kann ein gefälschter Access Point die Anmeldedaten abfangen. Dies ist kein theoretisches Risiko, sondern ein gut dokumentierter Angriffsvektor, der bei realen Penetrationstests eingesetzt wird.

Dimension	EAP-TLS	PEAP
Sicherheitsniveau	Sehr hoch – gegenseitige Zertifikatsauthentifizierung	Hoch – verschlüsselter Tunnel, nur Serverzertifikat
Anmeldetyp	Digitale Client- und Serverzertifikate	Benutzername und Passwort (im TLS-Tunnel)
Komplexität der Bereitstellung	Höher – erfordert PKI und MDM	Geringer – lässt sich in bestehende Verzeichnisdienste integrieren
Bestens geeignet für	Unternehmenseigene Geräteflotten, regulierte Branchen	BYOD-Umgebungen, Organisationen ohne PKI
Client-Zertifikat erforderlich	Ja	Nein
PCI DSS / GDPR Eignung	Hervorragend – bevorzugt für Umgebungen mit hohen Compliance-Anforderungen	Gut – konform, wenn die Servervalidierung erzwungen wird

Implementierungsleitfaden: Bereitstellungsstrategien

Der Hauptunterschied zwischen EAP-TLS und PEAP liegt in der Komplexität der Bereitstellung und dem Lifecycle-Management.

Bereitstellung von EAP-TLS

Die Implementierung von EAP-TLS erfordert eine robuste Public-Key-Infrastruktur (PKI), um Zertifikate für jedes Gerät im Netzwerk auszustellen, zu verwalten und zu widerrufen. Mobile-Device-Management- (MDM) oder Enterprise-Mobility-Management-Lösungen (EMM) sind praktisch zwingend erforderlich, um die Zertifikatsbereitstellung auf Endgeräten im großen Stil zu automatisieren. IT-Teams müssen den Lebenszyklus von Zertifikaten verwalten, Verlängerungen vor dem Ablaufdatum abwickeln und den sofortigen Widerruf für verlorene Geräte oder ausscheidende Mitarbeiter sicherstellen. EAP-TLS eignet sich am besten für Unternehmensnetzwerke mit unternehmenseigenen Geräten, stark regulierte Umgebungen wie das Gesundheitswesen oder das Finanzwesen sowie für Zero-Trust-Architekturen.

Bereitstellung von PEAP

PEAP ist erheblich einfacher bereitzustellen, da es vorhandene Identitätsspeicher – Active Directory, LDAP oder Cloud-Verzeichnisse – nutzt, ohne dass Client-Zertifikate erforderlich sind. Ein RADIUS-Server mit einem gültigen Serverzertifikat (idealerweise von einer öffentlichen Zertifizierungsstelle) und die Integration in Ihren bestehenden Verzeichnisdienst reichen aus, um zu starten. Der betriebliche Aufwand ist minimal: Benutzer authentifizieren sich mit ihren standardmäßigen Unternehmensdaten. Richtlinien zur Passwortrotation greifen hierbei, was zu einem geringen Aufwand für den Helpdesk führen kann, wenn Benutzer vergessen, ihre WiFi-Profile nach einer Passwortänderung zu aktualisieren. PEAP eignet sich am besten für BYOD-Umgebungen, den Bildungssektor und Organisationen ohne eine etablierte PKI- oder MDM-Infrastruktur.

Best Practices und Branchenstandards

Unabhängig vom gewählten Protokoll ist die Einhaltung von Branchenstandards zur Risikominderung nicht verhandelbar.

Serverzertifikatsvalidierung erzwingen: Die häufigste Schwachstelle bei PEAP-Bereitstellungen sind falsch konfigurierte Client-Geräte, die das Zertifikat des RADIUS-Servers nicht validieren. Dies ermöglicht es Angreifern, betrügerische Access Points einzurichten und Anmeldedaten abzugreifen. Die IT muss Gruppenrichtlinien oder MDM-Profile nutzen, um eine strikte Servervalidierung auf jedem Endpunkt zu erzwingen.

RADIUS-Redundanz implementieren: Die Authentifizierung ist ein kritischer Pfad. Stellen Sie sicher, dass Ihre RADIUS-Infrastruktur hochverfügbar ist. Cloud-basierte RADIUS-Lösungen können Single Points of Failure vor Ort entschärfen. Die architektonischen Überlegungen für eine verteilte Netzwerkresilienz werden in The Core SD WAN Benefits for Modern Businesses näher erläutert.

Integration mit modernen Identitätsanbietern: Für öffentlich zugängliche Standorte kann die Nutzung einer robusten Guest WiFi -Plattform, die als sicherer Identitätsanbieter fungiert, den Zugriff optimieren und gleichzeitig die Sicherheit gewährleisten. Die Connect-Lizenz von Purple bietet beispielsweise einen kostenlosen Identitätsanbieter für Dienste wie OpenRoaming und schließt so die Lücke zwischen Sicherheit auf Enterprise-Niveau und nahtlosem Onboarding von Gästen.

Netzwerksegmentierung nach der Authentifizierung: Eine erfolgreiche 802.1X-Authentifizierung sollte keinen uneingeschränkten Zugriff auf das gesamte Unternehmens-Subnetz gewähren. Nutzen Sie dynamische VLAN-Zuweisungsrichtlinien, um Benutzer in entsprechenden Netzwerksegmenten mit eingeschränkten ACLs zu platzieren.

Fehlerbehebung & Risikominderung

Bei der Verwaltung von 802.1X-Netzwerken müssen IT-Teams auf typische Fehlerszenarien vorbereitet sein.

Zertifikatsablauf (EAP-TLS): Wenn das Zertifikat der Zertifizierungsstelle oder das Zertifikat des RADIUS-Servers abläuft, schlagen alle Authentifizierungen gleichzeitig fehl. Implementieren Sie eine proaktive Überwachung und Alarmierung für die Gültigkeitsdauer von Zertifikaten – richten Sie Warnmeldungen 90, 30 und 7 Tage vor dem Ablaufdatum ein.

Supplicant-Fehlkonfiguration (PEAP): Das Versäumnis, das Serverzertifikat zu validieren, stellt ein kritisches Risiko dar. Überprüfen Sie regelmäßig die Endpunktkonfigurationen, um sicherzustellen, dass „Serverzertifikat validieren“ strikt erzwungen wird. Nehmen Sie dies als Standardpunkt in Ihre Sicherheitsaudit-Checkliste auf.

RADIUS-Timeout-Probleme: Hohe Latenzzeiten zwischen dem Wireless-Controller und dem RADIUS-Server oder zwischen dem RADIUS-Server und Active Directory können zu EAP-Timeouts und Authentifizierungsfehlern führen. Sorgen Sie für eine robuste Konnektivität und ziehen Sie lokale RADIUS-Proxys für verteilte Standorte in Betracht. Dies ist besonders relevant für standortübergreifende Transport - und Einzelhandels-Infrastrukturen.

Rogue Access Point-Angriffe: Führen Sie regelmäßige Sicherheitsbewertungen für Drahtlosnetzwerke durch, um Rogue APs zu erkennen. In Ihre Access-Point-Infrastruktur integrierte Wireless Intrusion Detection Systeme (WIDS) können eine kontinuierliche Überwachung gewährleisten.

ROI & geschäftliche Auswirkungen

Die Entscheidung zwischen EAP-TLS und PEAP hat erhebliche geschäftliche Auswirkungen, die über die technische Architektur hinausgehen.

EAP-TLS erfordert höhere anfängliche CapEx für PKI- und MDM-Lösungen sowie laufende OpEx für das Zertifikatsmanagement. Es bietet jedoch das höchste Maß an Risikominderung gegen auf Anmeldedaten basierende Sicherheitsverletzungen, die verheerende finanzielle Schäden und Reputationsverluste nach sich ziehen können. Für Veranstaltungsorte, die sensible Daten verarbeiten oder strengen regulatorischen Compliance-Vorschriften unterliegen, realisiert sich der ROI von EAP-TLS durch vermiedene Kosten für Sicherheitsverletzungen und optimierte Compliance-Audits. Eine einzige auf Anmeldedaten basierende Sicherheitsverletzung in einer Einzelhandels- oder Hospitality-Umgebung kann Millionen an Schadensbehebung, behördlichen Bußgeldern und Markenschäden kosten.

PEAP bietet eine schnellere Wertschöpfung und geringere Implementierungskosten. Es ist äußerst effektiv für Umgebungen, in denen das Hauptziel ein sicherer, verschlüsselter Zugriff ohne den Aufwand einer Geräteverwaltung ist. Durch die Integration von PEAP mit einer umfassenden WiFi Analytics -Lösung können Veranstaltungsorte den Zugriff sicher verwalten und gleichzeitig wertvolle betriebliche Erkenntnisse aus den Netzwerknutzungsdaten gewinnen – und so die Authentifizierungsinfrastruktur mit messbaren Geschäftsergebnissen wie Verweildaueranalysen, Besucherströmen und Wiederkehrerraten verknüpfen.

Schlüsseldefinitionen

EAP (Extensible Authentication Protocol)

Ein in IEEE 802.1X definiertes Authentifizierungs-Framework, das den Transportmechanismus für verschiedene Authentifizierungsmethoden über die Netzwerkzugriffsinfrastruktur bereitstellt.

EAP ist das übergeordnete Framework; EAP-TLS und PEAP sind spezifische Methoden, die darin ausgeführt werden. IT-Teams stoßen auf EAP, wenn sie RADIUS-Richtlinien und Profile für Wireless-Supplicants konfigurieren.

Supplicant

Das Client-Gerät – Laptop, Smartphone, Scanner oder IoT-Gerät –, das die Authentifizierungsanfrage für den Beitritt zum Netzwerk initiiert.

IT-Teams müssen sicherstellen, dass Supplicants korrekt konfiguriert sind, insbesondere im Hinblick auf die Zertifikatsvalidierung, um Man-in-the-Middle-Angriffe zu verhindern. Die Konfiguration des Supplicants ist die häufigste Quelle für PEAP-Schachstellen.

Authenticator

Das Netzwerkgerät – in der Regel ein Wireless Access Point oder ein Managed Switch –, das den gesamten Datenverkehr vom Supplicant blockiert, bis der RADIUS-Server eine erfolgreiche Authentifizierung bestätigt.

Der Authenticator fungiert als Gatekeeper und leitet EAP-Nachrichten zwischen dem Supplicant und dem RADIUS-Server weiter, ohne die Authentifizierung selbst zu verarbeiten.

RADIUS Server

Remote Authentication Dial-In User Service. Der zentrale Server, der Authentifizierungsanfragen vom Authenticator empfängt, Anmeldedaten mit einem Identitätsspeicher abgleicht und eine Access-Accept- oder Access-Reject-Antwort zurückgibt.

Der RADIUS-Server ist das Gehirn der 802.1X-Architektur. Hohe Verfügbarkeit und geringe Latenzzeiten zwischen dem RADIUS-Server und dem Identitätsspeicher (Active Directory, LDAP) sind entscheidend für eine zuverlässige Authentifizierung.

PKI (Public Key Infrastructure)

Das Framework aus Rollen, Richtlinien, Hardware und Software, das zum Erstellen, Verwalten, Verteilen und Widerrufen digitaler Zertifikate erforderlich ist.

Eine robuste PKI ist eine absolute Voraussetzung für die erfolgreiche Bereitstellung von EAP-TLS in großem Maßstab. Ohne PKI wird das Lebenszyklusmanagement von Zertifikaten unüberschaubar und birgt erhebliche betriebliche Risiken.

MDM (Mobile Device Management)

Software, die von der IT-Abteilung zur Überwachung, Verwaltung und Sicherung von mobilen Unternehmensgeräten eingesetzt wird, einschließlich der Möglichkeit, Konfigurationsprofile, Zertifikate und Richtlinien geräuschlos auf registrierte Geräte zu übertragen.

MDM ist für EAP-TLS-Bereitstellungen von entscheidender Bedeutung, um die geräuschlose Bereitstellung von Client-Zertifikaten auf Endbenutzergeräten zu automatisieren. Microsoft Intune, Jamf und VMware Workspace ONE sind gängige MDM-Plattformen.

Mutual Authentication

Ein Sicherheitsprozess, bei dem sich beide Parteien einer Kommunikationsverbindung gegenseitig authentifizieren, bevor Daten ausgetauscht werden – im Gegensatz zur einseitigen Authentifizierung, bei der nur eine Partei überprüft wird.

Das entscheidende Merkmal von EAP-TLS. Die gegenseitige Authentifizierung stellt sicher, dass der Client weiß, dass er mit dem legitimen Netzwerkserver kommuniziert, und der Server weiß, dass er mit einem autorisierten Client-Gerät kommuniziert.

MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol v2)

Ein passwortbasiertes Authentifizierungsprotokoll, das häufig als innere Authentifizierungsmethode in PEAP-Tunneln verwendet wird. Es nutzt ein Challenge-Response-Verfahren, um die Übertragung von Passwörtern im Klartext zu vermeiden.

MSCHAPv2-Hashes können abgefangen und offline geknackt werden, wenn der PEAP-Tunnel durch einen gefälschten Access Point kompromittiert wird. Aus diesem Grund ist die Serverzertifikatsvalidierung in PEAP nicht verhandelbar.

OpenRoaming

Ein WiFi-Federation-Standard, der es Nutzern ermöglicht, sich automatisch und sicher mit teilnehmenden Netzwerken an verschiedenen Veranstaltungsorten und bei verschiedenen Betreibern zu verbinden, ohne sich erneut authentifizieren zu müssen, unter Verwendung einer zertifikatsbasierten Authentifizierung.

Purple fungiert im Rahmen seiner Connect-Lizenz als kostenloser Identitätsanbieter für OpenRoaming und ermöglicht es Veranstaltungsorten, eine nahtlose, sichere Konnektivität anzubieten, die den Prinzipien der EAP-TLS-Zertifikatsauthentifizierung entspricht.

Ausgearbeitete Beispiele

Eine nationale Einzelhandelskette mit 500 Standorten muss den Zugriff auf das Unternehmensnetzwerk für die Tablets der Filialleiter und mobile Inventarscanner sichern. Derzeit wird an allen Standorten ein gemeinsamer WPA2-PSK verwendet. Für die Geräteverwaltung ist Microsoft Intune im Einsatz.

EAP-TLS bereitstellen. Da das Unternehmen bereits Microsoft Intune nutzt, ist die größte Hürde bei der Zertifikatsverteilung bereits genommen. Konfigurieren Sie Intune so, dass eindeutige Client-Zertifikate über ein SCEP- oder PKCS-Zertifikatsprofil an alle firmeneigenen Tablets und Scanner verteilt werden. Die Wireless-Infrastruktur wird so konfiguriert, dass sie 802.1X verwendet und auf einen zentralen oder cloudbasierten RADIUS-Server (wie Microsoft NPS oder einen Cloud-RADIUS-Dienst) verweist. Der RADIUS-Server wird so konfiguriert, dass er nur Authentifizierungen von Geräten akzeptiert, die ein von der internen CA des Unternehmens ausgestelltes Zertifikat vorweisen. Nach der Authentifizierung werden die Geräte durch dynamische VLAN-Zuweisung in das entsprechende Segment für den Filialbetrieb eingeordnet.

Kommentar des Prüfers: Dieser Ansatz eliminiert das enorme Sicherheitsrisiko eines gemeinsam genutzten PSK an 500 Standorten – ein kompromittierter PSK in einer Filiale hätte zuvor jeden Standort gefährdet. Wenn bei EAP-TLS ein Scanner verloren geht oder gestohlen wird, widerruft die IT einfach das spezifische Zertifikat über die PKI, wodurch der Netzwerkzugriff sofort gesperrt wird, ohne andere Geräte zu beeinträchtigen. EAP-TLS ist hier die optimale Wahl, da die MDM-Infrastruktur das Lebenszyklusmanagement von Zertifikaten skalierbar macht. Das wichtigste zu überwachende Risiko ist der Ablauf von Zertifikaten – stellen Sie sicher, dass in Intune Richtlinien für die automatische Verlängerung konfiguriert sind.

Ein großes Konferenzzentrum muss sicheres WiFi für 3.000 interne Mitarbeiter bereitstellen, die ihre eigenen persönlichen Geräte nutzen (BYOD). Sie verwenden Google Workspace für die Unternehmensidentität, verwalten jedoch nicht die privaten Telefone oder Laptops der Mitarbeiter.

PEAP (speziell PEAP-MSCHAPv2 oder EAP-TTLS/PAP gegen Google Secure LDAP) bereitstellen. Das IT-Team richtet einen RADIUS-Server ein, der in Google Workspace Secure LDAP integriert ist. Mitarbeiter verbinden sich mit der SSID „Staff_WiFi“ unter Verwendung ihrer standardmäßigen Google Workspace-E-Mail-Adresse und ihres Passworts. Das IT-Team stellt eine Onboarding-Dokumentation bereit – idealerweise über ein Captive Portal oder ein Netzwerk-Onboarding-Tool –, die die Mitarbeiter anweist, ihre Geräte so zu konfigurieren, dass sie dem spezifischen RADIUS-Serverzertifikat vertrauen und den Domänennamen des Servers validieren. Eine separate Gäste-SSID wird für Event-Teilnehmer bereitgehalten, die über die Guest WiFi-Plattform von Purple für Analysen und Zugriffskontrolle verwaltet wird.

Kommentar des Prüfers: EAP-TLS ist hier nicht machbar, da das Unternehmen keine MDM-Kontrolle über persönliche Geräte hat, um Zertifikate zu verteilen. PEAP bietet einen sicheren, verschlüsselten Tunnel für die Authentifizierung unter Verwendung vorhandener Anmeldedaten. Dadurch ist es für BYOD-Szenarien hochgradig einsatzbereit und schützt dennoch vor Abhören. Der kritische operative Schritt ist der Onboarding-Prozess – das IT-Team muss sicherstellen, dass das Gerät jedes Mitarbeiters korrekt konfiguriert ist, um das Serverzertifikat zu validieren. Dies nicht zu tun, ist das größte Risiko bei dieser Bereitstellung.

Übungsfragen

Q1. Die IT-Abteilung einer Universität stellt auf dem gesamten Campus sicheres WiFi für 20.000 Studierende bereit. Die Studierenden bringen ihre eigenen Laptops und Smartphones mit einer Mischung aus Windows, macOS, iOS und Android mit. Der IT-Leiter besteht auf maximaler Sicherheit und schlägt EAP-TLS vor. Wie lautet Ihre architektonische Empfehlung?

Hinweis: Berücksichtigen Sie den betrieblichen Aufwand der Zertifikatsverwaltung auf nicht verwalteten, persönlichen Geräten in einer heterogenen Gerätelandschaft.

Musterlösung anzeigen

Raten Sie von EAP-TLS für diesen speziellen Anwendungsfall ab. Obwohl EAP-TLS die höchste Sicherheit bietet, wird die Bereitstellung und Verwaltung von über 20.000 Client-Zertifikaten auf nicht verwalteten Geräten von Studierenden ohne eine MDM-Lösung eine unüberwindbare Support-Last erzeugen. Studierende wechseln häufig ihre Geräte, und der Onboarding-Prozess für die Zertifikatsinstallation unter iOS, Android, Windows und macOS ist ohne MDM-Automatisierung komplex. Empfehlen Sie PEAP (oder EAP-TTLS) integriert in den Verzeichnisdienst der Universität für Studierende. Stellen Sie sicher, dass robuste Onboarding-Tools verwendet werden, um die Geräte der Studierenden so zu konfigurieren, dass sie das Serverzertifikat streng validieren. Richten Sie optional EAP-TLS auf einer separaten SSID für Geräte von Mitarbeitern ein, die von der Universität verwaltet werden, um eine gestaffelte Sicherheitsarchitektur zu schaffen.

Q2. Während eines Sicherheitsaudits gelingt es einem Penetrationstester, Benutzeranmeldedaten aus Ihrem mit PEAP gesicherten drahtlosen Netzwerk abzugreifen, indem er einen Rogue Access Point einrichtet, der dieselbe SSID ausstrahlt. Was ist die Ursache für diese Sicherheitslücke und wie sieht die Behebung aus?

Hinweis: Überlegen Sie, was während der Phase des TLS-Tunnelaufbaus bei PEAP passiert und was das Client-Gerät prüft – oder eben nicht prüft.

Musterlösung anzeigen

Die Ursache ist eine Fehlkonfiguration des Supplicants. Die Client-Geräte sind nicht so konfiguriert, dass sie das digitale Zertifikat des RADIUS-Servers streng validieren. Als der Rogue AP ein gefälschtes Zertifikat präsentierte, vertrauten die Client-Geräte diesem blind, bauten den TLS-Tunnel mit dem Angreifer auf und übertrug den MSCHAPv2-Authentifizierungsaustausch. Der Angreifer kann diesen offline knacken. Die Behebung ist dreifach: (1) Erzwingen Sie eine strenge Serverzertifikatsvalidierung über Gruppenrichtlinien oder MDM-Profile auf allen Client-Geräten; (2) geben Sie den genauen erwarteten RADIUS-Server-Domänennamen in der Supplicant-Konfiguration an, um die Akzeptanz von Zertifikaten aus anderen Domänen zu verhindern; (3) implementieren Sie ein Wireless Intrusion Detection System (WIDS), um Rogue Access Points zu erkennen und zu melden.

Q3. Ein Gesundheitsdienstleister rüstet sein Netzwerk auf, um mobile Pflegestationen zu unterstützen, die auf Patientenakten zugreifen. Diese Arbeitsstationen sind im Besitz des Unternehmens, werden von der IT streng über Microsoft Intune verwaltet, und die Umgebung muss den Datenschutzbestimmungen im Gesundheitswesen entsprechen. Sollten sie PEAP oder EAP-TLS einsetzen?

Hinweis: Bewerten Sie das regulatorische Umfeld, das Ausmaß der Gerätekontrolle und die Sensibilität der Daten, auf die zugegriffen wird.

Musterlösung anzeigen

Setzen Sie ohne Zögern EAP-TLS ein. Das Gesundheitsumfeld erfordert strenge Compliance und maximale Sicherheit gegen Diebstahl von Anmeldedaten – ein kompromittiertes Passwort in einem Gesundheitsnetzwerk kann Patientenakten offenlegen und erhebliche aufsichtsrechtliche Strafen gemäß GDPR und branchenspezifischen Datenschutzanforderungen nach sich ziehen. Da die Geräte im Besitz des Unternehmens sind und streng über Microsoft Intune verwaltet werden, ist die Bereitstellung von Client-Zertifikaten betrieblich machbar und kann vollständig automatisiert werden. EAP-TLS bietet die erforderliche gegenseitige Authentifizierung, um sicherzustellen, dass nur autorisierte, vom Unternehmen verwaltete Geräte auf das klinische Netzwerk zugreifen können. Darüber hinaus vereinfacht EAP-TLS Compliance-Audits – Auditoren, die die Netzwerkarchitektur überprüfen, sehen ein zertifikatsbasiertes, passwortloses Authentifizierungssystem, das von Natur aus wesentlich sicherer ist als passwortbasierte Alternativen.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.