Die sicherste Methode der WiFi-Authentifizierung: Ein Vergleich

Dieser technische Leitfaden bietet einen definitiven, nach Sicherheitsstufe geordneten Vergleich von WiFi-Authentifizierungsmethoden — vom veralteten WEP-Standard bis hin zur zertifikatsbasierten EAP-TLS-Authentifizierung. Er unterstützt IT-Manager, Netzwerkarchitekten und CTOs an Enterprise-Standorten dabei, fundierte und compliance-konforme Sicherheitsentscheidungen zu treffen. Der Leitfaden behandelt die technische Architektur der einzelnen Protokolle, reale Bereitstellungsszenarien im Gastgewerbe und im Einzelhandel sowie praktische Implementierungshilfen für Organisationen, die PCI DSS- und GDPR-Verpflichtungen unterliegen. Für Standortbetreiber und IT-Teams übersetzt dieser Leitfaden komplexe kryptografische Standards in umsetzbare Bereitstellungsentscheidungen mit messbarem geschäftlichem Nutzen.

📖 9 Min. Lesezeit📝 2,150 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zu diesem technischen Briefing über WiFi-Authentifizierung für Unternehmen. Ich bin Ihr Gastgeber, und heute entschlüsseln wir die komplexen Anforderungen der Wireless-Sicherheit. Dabei konzentrieren wir uns ganz pragmatisch auf den Vergleich der sichersten WiFi-Authentifizierungsmethoden, die Organisationen heute zur Verfügung stehen.

Wenn Sie als IT-Manager, Netzwerkarchitekt oder CTO für die Absicherung eines Hotels, einer Einzelhandelskette, eines Stadions oder eines großen öffentlichen Veranstaltungsortes verantwortlich sind, ist dieses Briefing genau das Richtige für Sie. Wir verzichten auf akademische Theorie und konzentrieren uns auf direkt umsetzbare, praxisnahe Bereitstellungsstrategien, die Sie noch in diesem Quartal mit Ihrem Team umsetzen können.

Beginnen wir mit dem Kontext. Drahtlose Netzwerke stellen eine grundlegend andere Sicherheitsherausforderung dar als kabelgebundene Infrastrukturen. Wenn Daten über ein Kabel übertragen werden, bleiben sie innerhalb der physischen Grenzen Ihres Gebäudes. Wenn sie über Wi-Fi übertragen werden, werden sie über die Luft übertragen – potenziell über Ihre Wände, Ihren Parkplatz und bis auf die Straße hinaus. Ohne eine robuste Authentifizierung und Verschlüsselung sind Ihre Unternehmenswerte und Gastdaten für jeden sichtbar, der einen Laptop und die richtige Software besitzt.

Yahrelang verließ sich die Branche auf Pre-Shared Keys. Sie kennen das Modell: WPA2-PSK. Sie drucken ein Passwort auf ein Schild in der Lobby oder auf die Rückseite einer Zimmerkarte, und jeder gibt es ein. Aus Sicherheitssicht ist dies ein erhebliches Risiko. Es bietet keine individuelle Zurechenbarkeit. Jedes Gerät in diesem Netzwerk nutzt denselben Verschlüsselungsschlüssel. Wenn dieses eine Passwort kompromittiert wird – was in einer Hotel- oder Einzelhandelsumgebung fast sicher der Fall sein wird –, kann potenziell der gesamte Datenverkehr des Netzwerks entschlüsselt werden. Für jede ernsthafte Bereitstellung im Unternehmen ist PSK für Unternehmensdaten keine Option.

Daher wechseln wir zum Unternehmensstandard: IEEE 802.1X. Dies ist eine portbasierte Netzwerkzugriffskontrolle, die die Architektur grundlegend verändert. Anstatt dass der Access Point ein Gerät einfach in das Netzwerk lässt, weil es ein Passwort kennt, fungiert der AP als Gatekeeper. Er pausiert die Verbindung und fordert einen Identitätsnachweis. Er nimmt die Anmeldedaten des Clients entgegen und leitet sie über das Extensible Authentication Protocol (EAP) an einen zentralen RADIUS-Server weiter. Der RADIUS-Server gleicht die Identität mit dem Active Directory, LDAP oder einem Cloud-Identity-Provider wie Microsoft Entra ID ab. Erst wenn der Server eine Access-Accept-Nachricht zurückgibt, gewährt der AP dem Gerät vollen Netzwerkzugriff.

Innerhalb von 802.1X müssen Sie sich nun für eine EAP-Methode entscheiden. Hier werden die tatsächlichen Sicherheitsentscheidungen getroffen und hier sehe ich Organisationen oft die kostspieligsten Fehler machen. Die beiden Schwergewichte sind PEAP und EAP-TLS.

Werfen wir zuerst einen Blick auf PEAP – Protected EAP. Es ist in Unternehmensumgebungen unglaublich weit verbreitet. Warum? Weil es die richtige Balance zwischen Sicherheit und Bereitstellungsaufwand bietet. PEAP baut einen sicheren TLS-Tunnel – eine verschlüsselte Leitung – zwischen dem Client-Gerät und dem RADIUS-Server auf. Innerhalb dieses geschützten Tunnels sendet der Benutzer seinen standardmäßigen Benutzernamen und sein Passwort. Aus betrieblicher Sicht ist dies äußerst attraktiv, da Sie keine komplexe Zertifikatsinfrastruktur auf jedem Client-Gerät bereitstellen müssen. Benutzer verwenden einfach ihre vorhandenen Active Directory-Anmeldedaten.

PEAP weist jedoch eine kritische Schwachstelle auf, die in der Praxis häufig übersehen wird. Die Sicherheit des gesamten Austauschs hängt davon ab, dass der Client dem korrekten Zertifikat des RADIUS-Servers vertraut. Wenn ein Benutzer dazu verleitet wird, sich mit einem betrügerischen Access Point zu verbinden – und dies ist ein bestens dokumentierter Angriffsvektor –, und er ein gefälschtes Serverzertifikat akzeptiert, kann der Angreifer seine Anmeldedaten im Klartext innerhalb dieses Tunnels abfangen. Aus diesem Grund ist eine strikte Zertifikatsvalidierung auf der Client-Seite bei der Bereitstellung von PEAP nicht verhandelbar. Sie müssen Ihre Geräte über Gruppenrichtlinien so konfigurieren, dass sie explizit nur der Zertifizierungsstelle Ihres Unternehmens vertrauen und es Benutzern niemals erlauben, nicht vertrauenswürdige Zertifikate manuell zu akzeptieren.

Das bringt uns zum Goldstandard: EAP-TLS. Transport Layer Security. Wenn Sie als CTO nach der absolut sichersten Methode für die WiFi-Authentifizierung suchen, die heute verfügbar ist, dann ist es diese. EAP-TLS eliminiert Passwörter vollständig aus dem Authentifizierungsprozess. Stattdessen erfordert es eine gegenseitige Zertifikatsauthentifizierung. Der RADIUS-Server präsentiert ein digitales Zertifikat, um seine Identität gegenüber dem Client nachzuweisen, und – was entscheidend ist – das Client-Gerät präsentiert ein eindeutiges digitales Zertifikat, um seine Identität gegenüber dem Server nachzuweisen. Beide Seiten müssen sich gegenseitig validieren, bevor auch nur ein einziges Byte an Daten ausgetauscht wird.

Warum ist das so effektiv? Weil Zertifikate kryptografisch an das Gerät gebunden sind. Selbst wenn ein Mitarbeiter auf eine hochentwickelte Phishing-Kampagne hereinfällt und seinen Benutzernamen und sein Passwort preisgibt, kann der Angreifer nicht auf das WiFi-Netzwerk des Unternehmens zugreifen, es sei denn, er stiehlt physisch das Gerät des Mitarbeiters, das den privaten Schlüssel enthält. Dadurch werden Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffe vollständig verhindert. Für Unternehmen, die in regulierten Branchen tätig sind – Finanzdienstleistungen, Gesundheitswesen, Behörden –, ist EAP-TLS zunehmend der erwartete Standard und kein optionales Extra mehr.EAP-TLS bringt jedoch Implementierungskosten mit sich, die Sie einplanen müssen. Sie müssen eine Public-Key-Infrastruktur – eine PKI – entwerfen und bereitstellen. Sie benötigen eine Zertifizierungsstelle (Certificate Authority), um Zertifikate auszustellen und zu verwalten. Sie benötigen ein Mobile-Device-Management-System wie Microsoft Intune oder Jamf, um diese Zertifikate auf Ihre Unternehmensgeräte zu übertragen und den Widerruf zu verwalten, wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt. Dies setzt architektonische Reife voraus und erfordert Investitionen. Doch der betriebliche Nutzen ist beträchtlich: Wenn ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie sein Zertifikat in der PKI, und sein Gerät verliert sofort den Netzwerkzugriff. Keine Passwortänderungen. Keine netzwerkweiten Unterbrechungen.

Sprechen wir nun über WPA3. Die Wi-Fi Alliance hat WPA3 eingeführt, um die Schwachstellen von WPA2 zu beheben, insbesondere bei privaten und kleinen Unternehmensnetzwerken. Die wichtigste Neuerung von WPA3 ist die Simultaneous Authentication of Equals – SAE –, die den traditionellen Vier-Wege-Handshake ersetzt. SAE ist resistent gegen Offline-Wörterbuchangriffe. Das bedeutet: Selbst wenn ein Angreifer den ersten Handshake abfängt, kann er das Passwort nicht offline mittels Brute-Force knacken. WPA3 bietet zudem Forward Secrecy, was bedeutet, dass vergangene Sitzungen selbst dann nicht entschlüsselt werden können, wenn das Passwort später kompromittiert wird. Für Standorte, an denen sich der Infrastruktur-Overhead von 802.1X nicht rechtfertigen lässt – wie kleinere Einzelhandelsgeschäfte oder Netzwerke für IoT-Geräte –, ist WPA3-SAE der richtige Upgrade-Pfad von WPA2-PSK.

Wie setzen wir das nun in realen Szenarien um? Lassen Sie mich Ihnen zwei Beispiele vorstellen.

Erstes Szenario: Ein Luxushotel mit 400 Zimmern. Das Ziel ist es, den Gastzugang zu sichern, die Nutzung des Netzwerks durch Nicht-Gäste zu verhindern und Marketingdaten der Gäste für das CRM zu erfassen. Es ist nicht möglich, Zertifikate auf nicht verwaltete Smartphones von Gästen aufzuspielen. Hier ist EAP-TLS für Gäste keine praktikable Lösung. Stattdessen schaltet die Architektur ein Captive Portal vor eine offene oder leicht gesicherte SSID. Gäste authentifizieren sich über das Portal und geben ihre Daten im Austausch für den Zugang an. Die Plattform – wie die Gast-WiFi-Lösung von Purple – installiert dann ein sicheres Passpoint- oder Hotspot-2.0-Profil auf dem Gerät des Gasts. Bei zukünftigen Besuchen verbindet sich das Gerät automatisch und sicher über dieses Profil, ohne dass eine Interaktion mit dem Portal erforderlich ist. Das Hotel erhält die Marketingdaten. Der Gast genießt eine nahtlose, verschlüsselte Benutzererfahrung. Und das IT-Team behält die Kontrolle über die einzelnen Sitzungen.

Zweites Szenario: Eine regionale Einzelhandelskette mit 50 Standorten. Sie nutzt WPA2-PSK für Unternehmensgeräte wie Handscanner und Inventar-Tablets. Jedes Mal, wenn ein Mitarbeiter das Unternehmen verlässt, muss das IT-Team den PSK an allen 50 Standorten manuell aktualisieren. Das ist ein Albtraum für die Sicherheit und den Betrieb. Die richtige Lösung ist die Migration auf EAP-TLS. Richten Sie einen cloudbasierten RADIUS-Server ein. Nutzen Sie das MDM, um Maschinenzertifikate auf alle Unternehmensgeräte zu verteilen. Verlässt ab diesem Zeitpunkt ein Mitarbeiter das Unternehmen, entzieht die IT einfach das Zertifikat für sein spezifisches Gerät. Erledigt. Keine Besuche vor Ort. Keine Passwortänderungen. Keine Unterbrechung für andere Geräte.

Lassen Sie mich Ihnen nun drei Best Practices für die Implementierung nennen, die in der Praxis häufig übersehen werden.

Erstens: Netzwerksegmentierung ist nicht verhandelbar. Gast-Traffic, Unternehmensdaten und IoT-Geräte müssen in separaten VLANs mit strengen Firewall-Regeln dazwischen liegen. Erlauben Sie unter keinen Umständen, dass ein Gast-Gerät Ihr Point-of-Sale-Netzwerk erreicht. Das ist die absolute Grundlage.

Zweitens: Automatisieren Sie das Zertifikats-Lifecycle-Management. Die häufigste Fehlerursache bei EAP-TLS-Bereitstellungen ist ein abgelaufenes Zertifikat, das zu einem plötzlichen, netzwerkweiten Authentifizierungsfehler führt. Implementieren Sie automatisierte Überwachungs- und Erneuerungs-Workflows für alle PKI-Komponenten. Richten Sie Warnmeldungen 90, 60 und 30 Tage vor dem Ablaufdatum ein.

Drittens: Implementieren Sie Wireless Intrusion Prevention. WIPS-Sensoren können Rogue Access Points erkennen, die Ihre Unternehmens-SSID ausstrahlen, und Ihr Team warnen, bevor Anmeldedaten abgefangen werden.

Lassen Sie mich mit einer kurzen Zusammenfassung für all diejenigen schließen, die ein Board oder ein Führungsteam informieren müssen.

WEP ist tot. Verwenden Sie es nicht. Wenn Sie Altsysteme haben, die WEP erfordern, müssen diese ersetzt werden.

WPA2-PSK ist für Heimnetzwerke und Kleinstunternehmen akzeptabel. Für Enterprise-Umgebungen ist es nicht akzeptabel.

WPA3-SAE ist das richtige Upgrade für private und kleine geschäftliche Netzwerke. Stellen Sie es dort bereit, wo 802.1X nicht machbar ist.

PEAP ist eine solide Enterprise-Wahl für BYOD-Umgebungen. Erzwingen Sie eine strenge Serverzertifikatsvalidierung. Immer.

EAP-TLS ist der Goldstandard. Wenn Sie über verwaltete Geräte und eine ausgereifte IT-Abteilung verfügen, ist dies das Ziel, auf das Sie hinarbeiten sollten.

Und schließlich, für große Gastnetzwerke — Hotellerie, Einzelhandel, Transport, öffentlicher Sektor — bietet Ihnen die profilbasierte Authentifizierung über Passpoint und Plattformen wie Purple die Sicherheit von 802.1X gepaart mit der betrieblichen Einfachheit, die Ihr Team benötigt.

Die Investition in eine robuste WiFi-Authentifizierungsarchitektur ist nicht nur eine Sicherheitsentscheidung. Es ist eine geschäftliche Entscheidung. Sie schützt Ihren Compliance-Status gemäß GDPR und PCI DSS. Sie reduziert Ihren betrieblichen Aufwand. Und sie schafft das Fundament für datengestützte Gästeerlebnisse, die echten kommerziellen Wert generieren.

Vielen Dank für Ihre Zeit. Wenn Sie eines dieser Themen vertiefen möchten, insbesondere die Entscheidung zwischen EAP-TLS und PEAP, finden Sie auf der Purple-Website einen speziellen technischen Leitfaden. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓WEP ist kryptografisch gebrochen und darf in keiner Produktivumgebung mehr eingesetzt werden; jede Organisation, die noch WEP betreibt, verstößt gegen PCI DSS.
✓WPA2-PSK bietet eine starke Verschlüsselung, lässt jedoch die individuelle Zurechenbarkeit vermissen und ist anfällig für Offline-Wörterbuchangriffe – es ist für Enterprise- oder regulierte Umgebungen nicht geeignet.
✓WPA3-SAE eliminiert die Sicherheitslücke für Offline-Wörterbuchangriffe und bietet Forward Secrecy, was es zum richtigen Upgrade-Pfad für Umgebungen macht, in denen eine 802.1X-Infrastruktur nicht machbar ist.
✓IEEE 802.1X ist die obligatorische Basis für die WiFi-Sicherheit in Unternehmen und bietet eine individuelle Geräteauthentifizierung sowie ein zentrales Identitätsmanagement via RADIUS.
✓PEAP ist die pragmatische Wahl für BYOD-Umgebungen, aber eine strikte Server-Zertifikatsvalidierung muss über Gruppenrichtlinien oder MDM erzwungen werden, um das Abfangen von Zugangsdaten über gefälschte Access Points zu verhindern.
✓EAP-TLS ist der Goldstandard: Die gegenseitige Zertifikatsauthentifizierung eliminiert passwortbasierte Schwachstellen vollständig und ist der erforderliche Standard für Organisationen, die sensible Daten in regulierten Branchen verarbeiten.
✓Für skalierbare Gastnetzwerke bietet die profilbasierte Passpoint/Hotspot 2.0-Authentifizierung – integriert in Plattformen wie Purple – die Sicherheit von 802.1X mit einer nahtlosen Benutzererfahrung und der Erfassung von Erstanbieterdaten, was den messbaren geschäftlichen ROI steigert.

Management-Zusammenfassung (Executive Summary)

Für Unternehmensstandorte – von weitläufigen Einzelhandelsketten bis hin zu hochfrequentierten Stadien – bestimmt die Wahl der WiFi-Authentifizierungsmethode direkt das Sicherheitsniveau und den Compliance-Status der Organisation. Dieser Leitfaden bietet einen fundierten technischen Vergleich von WiFi-Sicherheitsprotokollen und bewertet deren Architektur, Schwachstellen und praxisnahe Anwendbarkeit im Gastgewerbe, im Einzelhandel, im Gesundheitswesen und im öffentlichen Sektor.

Moderne Bereitstellungen gehen über veraltete Shared-Key-Modelle hinaus und erfordern eine robuste Identitätsprüfung zum Schutz von Unternehmenswerten und Gästedaten. Die Entwicklung von WEP zu EAP-TLS stellt einen grundlegenden architektonischen Wandel dar: von gemeinsamen Geheimnissen auf Netzwerkebene hin zu kryptografischen Identitäten auf Geräteebene. Durch das Verständnis dieser Entwicklung können IT-Leiter sichere Netzwerke aufbauen, die den PCI-DSS- und GDPR-Vorgaben entsprechen und sich gleichzeitig nahtlos in Plattformen wie die Lösungen von Purple für Guest WiFi und WiFi Analytics integrieren.

Die entscheidende Frage für die meisten IT-Teams in Unternehmen ist nicht, ob sie 802.1X bereitstellen sollen, sondern welche EAP-Methode sie wählen und wie sie die resultierende Infrastruktur verwalten. Dieser Leitfaden bietet den Rahmen, um diese Entscheidung mit Zuversicht zu treffen.

Technische Detailanalyse

Die grundlegende Sicherheitsherausforderung drahtloser Netzwerke

Drahtlose Netzwerke stellen eine einzigartige Sicherheitsherausforderung dar: Das Übertragungsmedium ist von Natur aus öffentlich. Über Funkfrequenzen übertragene Daten bewegen sich über die physischen Grenzen des Gebäudes, des Parkplatzes und möglicherweise bis auf die Straße hinaus. Jedes Gerät in Reichweite kann versuchen, diesen Datenverkehr abzufangen. Aus diesem Grund ist die Wahl des Authentifizierungs- und Verschlüsselungsprotokolls kein bloßes Konfigurationsdetail, sondern eine grundlegende architektonische Entscheidung.

Die IEEE 802.11-Arbeitsgruppe hat die Sicherheitsstandards kontinuierlich weiterentwickelt, um dieser Herausforderung zu begegnen, und die Geschichte dieser Entwicklung ist eine nützliche Perspektive zur Bewertung aktueller Optionen.

Protokollanalyse im Detail

WEP (Wired Equivalent Privacy) – Veraltet

Eingeführt im Jahr 1997 als Teil des ursprünglichen Standards IEEE 802.11, nutzte WEP die RC4-Stromverschlüsselung für die Vertraulichkeit und CRC-32 für die Integritätsprüfung. Kryptographische Forscher identifizierten bereits wenige Jahre nach der Einführung grundlegende Schwachstellen im Key-Scheduling-Algorithmus von RC4. Tools wie Aircrack-ng können einen WEP-Schlüssel in weniger als zwei Minuten knacken, indem sie passiv ein ausreichendes Datenaufkommen abfangen. WEP ist vom IEEE vollständig als veraltet eingestuft und stellt ein kritisches Sicherheitsrisiko dar. Jede Organisation, die noch immer WEP-geschützte Netzwerke betreibt, verstößt gegen die PCI DSS-Anforderungen und sollte die Behebung als Notfall behandeln.

Protokoll	Verschlüsselung	Schlüssellänge	Status
WEP	RC4	40/104-Bit	Veraltet — Nicht verwenden
WPA	TKIP/RC4	128-Bit	Veraltet
WPA2-PSK	AES-CCMP	128/256-Bit	Akzeptabel (eingeschränkte Anwendungsfälle)
WPA3-SAE	AES-CCMP + SAE	128/256-Bit	Empfohlen (Privatanwender/Kleinunternehmen)
WPA2-Enterprise	AES-CCMP + 802.1X	128/256-Bit	Empfohlen (Unternehmen)
WPA3-Enterprise	AES-GCMP + 802.1X	192/256-Bit	Gold-Standard

WPA und WPA2-PSK (Pre-Shared Key)

WPA ersetzte WEP durch die Implementierung von TKIP (Temporal Key Integrity Protocol), welches wiederum selbst durch WPA2 und seine robuste AES-CCMP-Verschlüsselung abgelöst wurde. Während WPA2-PSK eine starke Verschlüsselung über die Luft bietet, basiert es auf einem einzigen, gemeinsamen Passwort, das an alle Benutzer verteilt wird. Diese Architektur bringt zwei kritische Schwachstellen für den Unternehmenseinsatz mit sich.

Erstens ist sie anfällig für Offline-Wörterbuchangriffe. Ein Angreifer, der den vierstufigen EAPOL-Handshake während der Zuordnung eines Clients abfängt, kann diesen Handshake offline nehmen und das Passwort mithilfe von GPU-beschleunigten Tools in aller Ruhe per Brute-Force knacken. Zweitens bietet sie keine individuelle Verantwortlichkeit für Benutzer. Jedes Gerät im Netzwerk teilt sich denselben Verschlüsselungsschlüssel. Das bedeutet, dass ein kompromittiertes Gerät den Datenverkehr jedes anderen Geräts im selben Netzwerksegment entschlüsseln kann. Für Einzelhandels -Umgebungen, die Zahlungskartendaten verarbeiten, stellt dies einen direkten Verstoß gegen PCI DSS dar.

WPA3-SAE (Simultaneous Authentication of Equals)

WPA3 behebt die grundlegenden kryptographischen Schwachstellen von WPA2-PSK, indem es den vierstufigen Handshake durch den Dragonfly-Schlüsselaustausch ersetzt, der formal als Simultaneous Authentication of Equals (SAE) bezeichnet wird. SAE bietet zwei entscheidende Verbesserungen: Resistenz gegen Offline-Wörterbuchangriffe (jeder Authentifizierungsversuch erfordert eine aktive Interaktion mit dem Access Point, was Brute-Force-Angriffe rechnerisch unmöglich macht) und Forward Secrecy (vergangener Sitzungsdatenverkehr kann selbst dann nicht entschlüsselt werden, wenn das Passwort nachträglich kompromittiert wird). WPA3 ist der richtige Upgrade-Pfad für Standorte, die den Infrastruktur-Overhead von 802.1X nicht rechtfertigen können — wie kleinere Einzelhandelsstandorte, IoT-Gerätenetzwerke und Zweigstellen.

WPA2/WPA3-Enterprise (IEEE 802.1X)

Enterprise-Umgebungen erfordern eine individuelle Identitätsprüfung. Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle und nutzt das Extensible Authentication Protocol (EAP), um Anmeldedaten vom Client-Gerät (dem Supplicant) über den Access Point (den Authenticator) an einen zentralen RADIUS-Server (den Authentication Server) zu übertragen. Der RADIUS-Server gleicht die Anmeldedaten mit einem Identitätsspeicher ab – Active Directory, LDAP oder einem Cloud-Identitätsanbieter – und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück. Erst nach Erhalt von Access-Accept gewährt der AP dem Client vollen Netzwerkzugriff.

Diese Drei-Parteien-Architektur ist das Fundament der Enterprise-WiFi-Sicherheit und die zwingende Grundlage für jede Organisation, die mit sensiblen Daten arbeitet oder in einer regulierten Branche tätig ist.

EAP-Methoden: Die entscheidende Wahl

Innerhalb des 802.1X-Frameworks bestimmt die Wahl der EAP-Methode die tatsächliche Stärke des Authentifizierungsaustauschs. Die beiden am häufigsten in Enterprise-Umgebungen eingesetzten Methoden sind PEAP und EAP-TLS.

PEAP (Protected EAP) baut einen sicheren TLS-Tunnel mithilfe eines serverseitigen Zertifikats auf und schützt so den anschließenden Austausch von MSCHAPv2-Anmeldedaten (Benutzername und Passwort). Es ist betrieblich attraktiv, da keine Zertifikatsverteilung auf Client-Geräten erforderlich ist – Benutzer authentifizieren sich mit ihren vorhandenen Active Directory-Anmeldedaten. Die Sicherheit von PEAP hängt jedoch vollständig davon ab, dass der Client das Zertifikat des RADIUS-Servers korrekt validiert. Wenn ein Benutzer dazu verleitet wird, ein gefälschtes Serverzertifikat zu akzeptieren – ein gut dokumentierter Angriffsvektor –, kann der Angreifer die Anmeldedaten im Klartext innerhalb des Tunnels abfangen. Eine strikte Zertifikatsvalidierung, die über Gruppenrichtlinien oder MDM erzwungen wird, ist bei jeder PEAP-Bereitstellung unverzichtbar.

EAP-TLS (EAP-Transport Layer Security) ist die Authentifizierungsmethode mit der höchsten Sicherheit, die für WiFi-Netzwerke verfügbar ist. Sie erfordert eine gegenseitige Zertifikatsauthentifizierung: Der RADIUS-Server legt dem Client ein Zertifikat vor, und der Client präsentiert dem RADIUS-Server ein eindeutiges Zertifikat. Beide Parteien müssen das Zertifikat des jeweils anderen erfolgreich validieren, bevor ein Netzwerkzugriff gewährt wird. Dadurch werden passwortbasierte Schwachstellen vollständig eliminiert. Ein kompromittiertes Passwort kann keinen Netzwerkzugriff gewähren, da der Angreifer nicht über den privaten Schlüssel verfügt, der mit dem Client-Zertifikat verknüpft ist. Einen detaillierten Vergleich dieser beiden Methoden finden Sie in unserem speziellen Leitfaden: EAP-TLS vs. PEAP: ¿Qué protocolo de autenticación es el adecuado para su red?

Feature	PEAP	EAP-TLS
Server-Zertifikat erforderlich	Ja	Ja
Client-Zertifikat erforderlich	Nein	Ja
Passwort verwendet	Ja (MSCHAPv2)	Nein
Schutz vor Phishing	Mittel	Sehr hoch
PKI Infrastructure Required	Partial	Full
BYOD Suitability	High	Low-Medium
Managed Device Suitability	High	Very High
Regulatory Compliance Alignment	Good	Excellent

Implementation Guide

Deploying robust WiFi security, particularly 802.1X, requires careful architectural planning across four key workstreams.

Step 1: Infrastructure Assessment and Hardware Validation

Ensure all access points and wireless LAN controllers support the target WPA3 or 802.1X standards. Audit firmware versions across the estate. Legacy hardware may require firmware upgrades or replacement. For Hospitality environments with large, distributed AP estates, this assessment should be conducted before any procurement decisions are made.

Step 2: RADIUS and Identity Store Architecture

Deploy a highly available RADIUS infrastructure. For enterprise deployments, this typically means a pair of RADIUS servers (primary and secondary) at each major site, or a cloud-hosted RADIUS service for distributed organisations. Integrate the RADIUS servers with the corporate identity store. When integrating with Purple's platform, the RADIUS infrastructure communicates securely to validate user profiles and feed session data into the WiFi Analytics dashboard, enabling venue operators to correlate authentication events with visitor behaviour analytics.

Step 3: Certificate Management for EAP-TLS

For EAP-TLS deployments, establish a robust PKI. This involves deploying a Root Certificate Authority and, for larger organisations, one or more Intermediate CAs. Automate the provisioning and revocation of client certificates using an MDM solution (Microsoft Intune, Jamf, or VMware Workspace ONE). Certificate lifecycle management — including automated renewal and revocation workflows — is the most operationally critical component of an EAP-TLS deployment. A lapsed certificate is the most common cause of sudden, unexplained authentication failures. This is equally important in Healthcare environments where device availability is mission-critical.

Step 4: Phased Rollout and Monitoring

Implement the new secure SSID alongside the legacy network. Migrate users in cohorts — starting with IT staff, then department by department. Monitor RADIUS authentication logs for failure patterns. Track the authentication success rate as a key operational metric. For Transport venues such as airports and rail stations, ensure the rollout plan accounts for the high volume of transient, unmanaged devices connecting to guest networks.

Best Practices

Erzwingen Sie die Zertifikatsvalidierung auf allen PEAP-Clients. Konfigurieren Sie Client-Geräte über Gruppenrichtlinien oder MDM so, dass sie das Zertifikat des RADIUS-Servers streng validieren und explizit nur der ausstellenden Root-CA vertrauen. Verhindern Sie, dass Benutzer nicht vertrauenswürdige Zertifikate manuell akzeptieren. Dieser einzige Konfigurationsschritt eliminiert den primären Angriffsvektor gegen PEAP-Bereitstellungen.

Implementieren Sie Netzwerksegmentierung. Trennen Sie Gast-Traffic, Unternehmensdaten und IoT-Geräte in verschiedene VLANs mit strengen Inter-VLAN-Firewall-Regeln. Dies ist eine grundlegende Sicherheitsmaßnahme, die den Schadensradius eines einzelnen kompromittierten Geräts begrenzt. Die Prinzipien der SD-WAN-Architektur, die in The Core SD WAN Benefits for Modern Businesses beschrieben werden, ergänzen diesen Ansatz, indem sie eine zentralisierte Richtliniendurchsetzung an verteilten Standorten ermöglichen.

Automatisieren Sie das Zertifikats-Lifecycle-Management. Richten Sie automatisierte Benachrichtigungen 90, 60 und 30 Tage vor dem Ablauf von Zertifikaten für alle PKI-Komponenten ein. Implementieren Sie nach Möglichkeit eine automatische Verlängerung. Das Ablaufen von Zertifikaten ist die am einfachsten zu vermeidende Ursache für Authentifizierungsausfälle.

Stellen Sie Wireless Intrusion Prevention (WIPS) bereit. WIPS-Sensoren können Rogue Access Points erkennen, die Ihre Unternehmens-SSID ausstrahlen, und das Sicherheitsteam alarmieren, bevor Anmeldedaten abgefangen werden. Dies ist besonders in hochfrequentierten Bereichen wichtig, in denen ein Angreifer physisch einen Rogue AP installieren könnte, ohne bemerkt zu werden.

Nutzen Sie Passpoint/Hotspot 2.0 für Gastnetzwerke. Für die Skalierung der Gast-Authentifizierung ermöglicht Passpoint (IEEE 802.11u / Hotspot 2.0) Geräten, sich automatisch und sicher über bereitgestellte Profile zu verbinden, wodurch Interaktionen mit einem Captive Portal bei wiederholten Besuchen überflüssig werden. Dies ist die Architektur, die OpenRoaming, dem globalen WiFi-Roaming-Verbund, zugrunde liegt.

Fehlerbehebung & Risikominderung

RADIUS-Timeout und Latenzprobleme. Eine hohe Latenz zwischen dem Access Point und dem RADIUS-Server kann zu EAP-Timeouts und damit zu fehlgeschlagenen Authentifizierungen führen. Stellen Sie sicher, dass die RADIUS-Server geografisch verteilt im Verhältnis zum AP-Bestand positioniert sind. Erwägen Sie für Zweigstellen die Bereitstellung einer lokalen RADIUS-Überlebensfähigkeit (Survivability), um die Authentifizierungsfähigkeit bei WAN-Ausfällen aufrechterhalten zu können.

Fehler durch abgelaufene Zertifikate. Ein abgelaufenes Server- oder Client-Zertifikat führt zu sofortigen Authentifizierungsfehlern mit minimaler Diagnoseausgabe in den Client-Ereignisprotokollen. Implementieren Sie ein zentralisiertes PKI-Monitoring mit automatisierter Alarmierung. Erwägen Sie bei großen Zertifikatsbeständen eine dedizierte Plattform für das Zertifikats-Lifecycle-Management.

Uhrzeit-Abweichung und NTP-Synchronisation. Die Gültigkeit von Zertifikaten ist zeitgebunden. Wenn die Systemzeit auf einem Client-Gerät oder dem RADIUS-Server erheblich abweicht, schlägt die Zertifikatsvalidierung fehl. Stellen Sie sicher, dass die gesamte Netzwerkinfrastruktur und alle verwalteten Geräte mit einer zuverlässigen NTP-Quelle synchronisiert sind. Rogue Access Point Attacks. In high-footfall environments, an attacker can deploy a rogue AP broadcasting a legitimate SSID to harvest credentials from misconfigured clients. WIPS deployment and strict client-side certificate validation are the primary mitigations.

BYOD Onboarding Complexity. EAP-TLS on unmanaged personal devices requires a secure onboarding workflow. Use a Network Access Control (NAC) solution or a dedicated onboarding portal to guide users through certificate installation. For guest networks, route users through a captive portal and provision Passpoint profiles for subsequent secure access.

ROI & Business Impact

Investing in robust WiFi security architecture delivers measurable business value that extends well beyond risk mitigation. The financial case for upgrading from PSK to 802.1X can be built across three dimensions.

Operational Cost Reduction. Transitioning to EAP-TLS eliminates the recurring cost of password rotation across distributed sites. For a retail chain with 50 locations, the IT overhead of manually updating PSKs following staff turnover — and the security risk during the window between an employee's departure and the password change — represents a quantifiable cost. Certificate-based authentication reduces this to a single revocation action in the PKI.

Compliance Risk Mitigation. Operating a WEP or WPA2-PSK network in an environment that processes payment card data is a direct PCI DSS violation. The cost of a single data breach — including forensic investigation, card reissuance, fines, and reputational damage — vastly exceeds the capital investment required to deploy 802.1X infrastructure.

Revenue Generation Through Secure Guest Access. Secure, profile-based guest authentication — deployed via platforms like Purple — transforms the WiFi network from a cost centre into a revenue-generating asset. By capturing verified first-party data through the authentication process, venue operators in Hospitality and Retail can build rich guest profiles, power personalised marketing campaigns, and drive measurable increases in repeat visits and spend per visit. The WiFi Analytics platform provides the intelligence layer that connects authentication events to business outcomes.

Schlüsseldefinitionen

IEEE 802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung mit einem LAN oder WLAN herstellen möchten. Er definiert die Rollen von Supplicant, Authenticator und Authentication Server.

Das grundlegende Framework für Enterprise WiFi-Sicherheit. IT-Teams stoßen darauf, wenn sie eine RADIUS-basierte Authentifizierung auf Access Points konfigurieren und wenn sie Verbindungsfehler auf Firmengeräten beheben.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung (AAA) für Benutzer bereitstellt, die eine Verbindung zu einem Netzwerkdienst herstellen und diesen nutzen. Definiert in RFC 2865.

Die zentrale Serverinfrastruktur, die Authentifizierungsanfragen von WiFi-Access-Points verarbeitet und die Identitätsdatenbank abfragt. Netzwerkarchitekten müssen eine hohe RADIUS-Verfügbarkeit einplanen, um Authentifizierungsausfälle zu verhindern.

Supplicant

Das Client-Gerät oder die Softwareanwendung, die den Zugriff auf das Netzwerk anfordert und während des 802.1X-Authentifizierungsaustauschs Anmeldedaten bereitstellt.

Bei der Behebung von Verbindungsfehlern müssen IT-Teams die Supplicant-Konfiguration – die WiFi-Einstellungen auf dem Client-Gerät – überprüfen, um sicherzustellen, dass sie so konfiguriert ist, dass sie dem richtigen Serverzertifikat vertraut und die richtige EAP-Methode verwendet.

Authenticator

Das Netzwerkgerät, in der Regel ein WiFi-Access-Point oder ein Managed Switch, das als Vermittler im 802.1X-Austausch fungiert und EAP-Nachrichten zwischen dem Supplicant und dem RADIUS-Server weiterleitet.

Der AP setzt die Sicherheitsrichtlinie durch, indem er den gesamten Netzwerkverkehr eines Clients blockiert, bis der RADIUS-Server eine Access-Accept-Nachricht zurückgibt. Falsch konfigurierte Authenticator-Einstellungen sind eine häufige Ursache für Authentifizierungsfehler.

EAP (Extensible Authentication Protocol)

Ein in RFC 3748 definiertes Authentifizierungs-Framework, das mehrere Authentifizierungsmethoden unterstützt. EAP ist selbst kein Protokoll, sondern ein Framework, das bestimmte Authentifizierungsdaten über die drahtlose Verbindung überträgt.

IT-Teams wählen eine EAP-Methode (PEAP, EAP-TLS, EAP-TTLS) basierend auf ihren Infrastrukturkapazitäten und Sicherheitsanforderungen aus. Die Wahl der EAP-Methode ist die folgenreichste Sicherheitsentscheidung bei einer 802.1X-Bereitstellung.

PKI (Public Key Infrastructure)

Die Gesamtheit der Rollen, Richtlinien, Hardware, Software und Verfahren, die erforderlich sind, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu nutzen, zu speichern und zu widerrufen sowie die Public-Key-Verschlüsselung zu verwalten.

Eine zwingende Voraussetzung für die Bereitstellung von EAP-TLS. IT-Teams müssen eine PKI-Architektur – einschließlich Root-CA, Intermediate-CAs und Zertifikatsvorlagen – entwerfen, bevor sie eine zertifikatsbasierte WiFi-Authentifizierung bereitstellen.

WPA3-SAE (Simultaneous Authentication of Equals)

Der in WPA3 eingeführte Authentifizierungsmechanismus, der den WPA2-Vier-Wege-Handshake durch den Dragonfly-Schlüsselaustausch ersetzt und so Schutz vor Offline-Wörterbuchangriffen sowie Forward Secrecy bietet.

Der empfohlene Upgrade-Pfad von WPA2-PSK für Umgebungen, in denen eine 802.1X-Infrastruktur nicht machbar ist. IT-Teams sollten der WPA3-SAE-Bereitstellung in jedem Netzwerk Priorität einräumen, das derzeit WPA2-PSK verwendet.

Passpoint / Hotspot 2.0

Ein Standard der Wi-Fi Alliance (basierend auf IEEE 802.11u), der es Geräten ermöglicht, sich automatisch und sicher über bereitgestellte Profile mit Wi-Fi-Netzwerken zu verbinden, ohne dass eine manuelle Interaktion mit einem Captive Portal erforderlich ist.

Entscheidend für moderne Gast-WiFi-Bereitstellungen im Hotel- und Einzelhandelsbereich. Passpoint ermöglicht nahtloses, verschlüsseltes Roaming für wiederkehrende Gäste und bildet die Grundlage für den globalen OpenRoaming-WiFi-Verbund, den Purple als Identitätsanbieter unterstützt.

Forward Secrecy

Eine kryptografische Eigenschaft eines Schlüsselaustauschprotokolls, die sicherstellt, dass Sitzungsschlüssel selbst dann nicht kompromittiert werden können, wenn der langfristige private Schlüssel später offengelegt wird. Jede Sitzung verwendet einen eindeutigen, flüchtigen Schlüssel.

WPA3-SAE und EAP-TLS bieten beide Forward Secrecy. IT-Teams sollten diese Eigenschaft anführen, wenn sie das Upgrade von WPA2-PSK begründen, insbesondere in Umgebungen, in denen die historische Aufzeichnung des Datenverkehrs ein Risiko darstellt.

Ausgearbeitete Beispiele

Ein Luxushotel mit 400 Zimmern aktualisiert seine Netzwerkinfrastruktur. Das aktuelle Gäste-WiFi verwendet ein einziges WPA2-PSK-Passwort, das auf den Zimmer-Schlüsselkarten aufgedruckt ist. Das Management möchte die Sicherheit verbessern, den Zugriff durch Nicht-Gäste verhindern und Gästedaten für CRM und Marketing erfassen. Gleichzeitig soll ein nahtloses Verbindungserlebnis gewährleistet werden, bei dem sich die Gäste nicht wiederholt anmelden müssen.

Implementieren Sie die Guest WiFi-Plattform von Purple als Identitäts- und Onboarding-Ebene, integriert in das Property Management System (PMS) des Hotels. Bei der ersten Verbindung werden die Gäste zu einem Captive Portal geleitet, das ihre Buchungsreferenz mit dem PMS abgleicht. Nach erfolgreicher Validierung stellt die Purple-Plattform ein Passpoint-Profil (Hotspot 2.0) auf dem Gerät des Gasts bereit. Dieses Profil enthält die für die 802.1X-Authentifizierung erforderlichen Anmeldedaten. Bei allen nachfolgenden Verbindungen – einschließlich des Roamings zwischen APs auf dem gesamten Gelände – verbindet sich das Gerät automatisch und sicher, ohne dass eine Interaktion mit dem Portal erforderlich ist. Das Marketingteam des Hotels erhält verifizierte Gästeprofile im WiFi Analytics Dashboard. Das IT-Team erhält eine individuelle Sitzungsverwaltung und kann den Zugriff für bestimmte Geräte bei Bedarf widerrufen.

Kommentar des Prüfers: Diese Architektur löst den grundlegenden Interessenkonflikt im Hotel-WiFi: Das Unternehmen benötigt verifizierte Gästeprofile für das Marketing, während der Gast eine nahtlose Konnektivität erwartet. Das Captive Portal übernimmt die anfängliche Identitätserfassung, während Passpoint die laufende sichere Authentifizierung abwickelt. Dies ist das richtige Architekturmuster für jeden stark frequentierten Veranstaltungsort, an dem BYOD die Norm ist und die Bereitstellung von EAP-TLS-Zertifikaten auf Gästegeräten nicht machbar ist.

Eine regionale Einzelhandelskette mit 50 Filialen verwendet WPA2-PSK für ihre Unternehmensgeräte – Handscanner, Inventar-Tablets und Backoffice-Arbeitsplätze. Das IT-Team muss den PSK an allen Standorten manuell aktualisieren, sobald ein Mitarbeiter das Unternehmen verlässt. Das Sicherheitsteam hat festgestellt, dass der aktuelle PSK seit 14 Monaten nicht mehr geändert wurde. Das Unternehmen verarbeitet auch Kreditkartendaten und unterliegt dem PCI DSS.

Migrieren Sie alle Unternehmensgeräte auf WPA2/WPA3-Enterprise unter Verwendung von EAP-TLS. Implementieren Sie einen in der Cloud gehosteten RADIUS-Dienst (wie Cisco Duo, JumpCloud oder einen selbst gehosteten FreeRADIUS-Cluster), der in das firmeneigene Active Directory integriert ist. Registrieren Sie alle Unternehmensgeräte in Microsoft Intune. Verwenden Sie Intune, um eindeutige Gerätezertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden, auf jedes Gerät zu übertragen. Konfigurieren Sie das WiFi-Profil über Intune so, dass EAP-TLS mit dem Gerätezertifikat verwendet wird. Wenn ein Mitarbeiter das Unternehmen verlässt, widerruft das IT-Team das Zertifikat für sein spezifisches Gerät in der PKI. Der Zugriff wird sofort beendet, ohne dass andere Geräte beeinträchtigt werden. Die Netzwerksegmentierung zwischen der Unternehmens-SSID und der Gäste-SSID stellt sicher, dass der Datenverkehr mit Kreditkartendaten isoliert ist, was die PCI DSS-Anforderung 1.3 erfüllt.

Kommentar des Prüfers: EAP-TLS ist die eindeutig richtige Wahl für eine verwaltete Geräteflotte in einer PCI DSS-Umgebung. Die wichtigste Erkenntnis ist, dass der betriebliche Aufwand für die Zertifikatsverwaltung (über Intune) erheblich geringer ist als der wiederkehrende Aufwand für die PSK-Rotation an 50 Standorten, und die Sicherheitsverbesserung ist substanziell. Der Aspekt der PCI DSS-Compliance bietet eine klare geschäftliche Rechtfertigung für die Investition.

Übungsfragen

Q1. Ein Universitätscampus möchte sicheres WiFi für 20.000 Studierende bereitstellen. Derzeit nutzen sie ein Captive Portal mit Active Directory-Anmeldedaten. Sie möchten auf 802.1X umstellen, um den Datenverkehr über die Luft zu verschlüsseln. Sie verfügen über keine MDM-Lösung für studentische Geräte (BYOD). Welche EAP-Methode sollte der Netzwerkarchitekt empfehlen, und was ist der wichtigste Konfigurationsschritt, der erzwungen werden muss?

Hinweis: Bedenken Sie den betrieblichen Aufwand für die Verwaltung von Zertifikaten auf 20.000 unmanaged persönlichen Geräten und identifizieren Sie den primären Angriffsvektor gegen die empfohlene Methode.

Musterlösung anzeigen

Der Architekt sollte PEAP empfehlen. Während EAP-TLS eine höhere Sicherheit bietet, ist die Bereitstellung und Verwaltung von Client-Zertifikaten auf 20.000 unmanaged BYOD-Geräten ohne ein MDM operativ nicht machbar. PEAP ermöglicht es Studierenden, ihre vorhandenen Active Directory-Anmeldedaten innerhalb eines sicheren TLS-Tunnels zu verwenden. Der wichtigste Konfigurationsschritt besteht darin, sicherzustellen, dass das RADIUS-Serverzertifikat von einer bekannten öffentlichen CA (wie DigiCert oder Sectigo) signiert ist, und die Onboarding-Dokumentation für das WiFi der Universität so zu konfigurieren, dass Studierende angewiesen werden, den Namen des Serverzertifikats vor der Annahme zu überprüfen. Andernfalls könnten Studierende gefälschte Serverzertifikate akzeptieren, was ihre Anmeldedaten Man-in-the-Middle-Angriffen aussetzt.

Q2. Ein Finanzdienstleistungsunternehmen verlangt die höchste Sicherheitsstufe für sein Unternehmens-WiFi. Es verfügt über eine vollständig verwaltete Geräteflotte, die über Microsoft Intune gesteuert wird. Nach einem jüngsten Phishing-Vorfall, bei dem mehrere Mitarbeiter ihre Active Directory-Passwörter preisgegeben haben, hat der CISO vorgeschrieben, dass die WiFi-Authentifizierung nicht mehr auf Benutzerpasswörtern basieren darf. Welches Protokoll erfüllt diese Anforderung und welche Infrastrukturkomponenten sind erforderlich?

Hinweis: Die Lösung muss Passwörter vollständig aus dem Authentifizierungsprozess eliminieren. Überlegen Sie, was das Passwort als Identitätsnachweis ersetzt.

Musterlösung anzeigen

Das Unternehmen muss EAP-TLS einführen. Dieses Protokoll eliminiert Passwörter vollständig, indem es eine gegenseitige Zertifikatsauthentifizierung erfordert. Die erforderlichen Infrastrukturkomponenten sind: (1) eine interne Zertifizierungsstelle (Root CA und Intermediate CA) zur Ausstellung von Zertifikaten; (2) Microsoft Intune, das so konfiguriert ist, dass es eindeutige Gerätezertifikate auf alle Unternehmensgeräte verteilt; (3) ein RADIUS-Server (wie NPS auf Windows Server oder Cisco ISE), der so konfiguriert ist, dass er Client-Zertifikate anhand der internen CA validiert; und (4) ein Zertifikatssperrmechanismus (CRL oder OCSP), um die sofortige Sperrung kompromittierter oder verlorener Geräte zu ermöglichen. Da EAP-TLS auf dem auf dem Gerät gespeicherten privaten Schlüssel und nicht auf einem Benutzerpasswort basiert, kann ein gestohlenes Passwort keinen Netzwerkzugriff gewähren.

Q3. Der IT-Leiter eines Stadions prüft ein Angebot zur Modernisierung des öffentlichen Gast-WiFi. Der Anbieter schlägt vor, WPA3-SAE zu verwenden, um eine bessere Sicherheit als das derzeitige offene Netzwerk zu bieten. Der Marketingleiter hat die separate Anforderung, E-Mail-Adressen und Telefonnummern der Fans zu erfassen, um eine CRM-Datenbank für die Kommunikation nach der Veranstaltung aufzubauen. Sind diese beiden Anforderungen unter der vorgeschlagenen Architektur kompatibel? Wenn nein, was ist die richtige Lösung?

Hinweis: Überlegen Sie, was WPA3-SAE im Hinblick auf die Erfassung der Benutzeridentität leistet und was nicht. Denken Sie darüber nach, wie das geschäftliche Ziel der Datenerfassung neben einer sicheren Verbindung erreicht werden kann.

Musterlösung anzeigen

Die beiden Anforderungen sind unter der vorgeschlagenen WPA3-SAE-Architektur nicht kompatibel. WPA3-SAE bietet starke Verschlüsselung und Schutz vor Wörterbuchangriffen, erfasst jedoch keine Benutzeridentität oder Marketingdaten – es sichert lediglich die Verbindung mithilfe eines gemeinsamen Passworts. Ein Fan, der sich mit einem WPA3-SAE-Netzwerk verbindet, bleibt für den Veranstaltungsort anonym. Die richtige Architektur besteht darin, eine offene SSID (oder ein leicht gesichertes Netzwerk) bereitzustellen, das verbindende Geräte auf ein Captive Portal umleitet – wie die Guest WiFi-Plattform von Purple –, auf dem Fans ihre Daten im Austausch für den Zugang angeben. Die Plattform erfasst die verifizierten First-Party-Daten für das CRM. Nach der ersten Registrierung kann die Plattform ein Passpoint-Profil auf dem Gerät des Fans einrichten, was automatische, verschlüsselte und identitätsgeprüfte Verbindungen bei allen zukünftigen Besuchen ermöglicht. Diese Architektur erfüllt sowohl die Sicherheitsanforderung (verschlüsselte Folgeverbindungen) als auch die Marketinganforderung (verifizierte Identitätserfassung).

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.