Netzwerke sichern mit Wi-Fi 7: Ein technischer Deep Dive

Dieser Leitfaden bietet eine umfassende technische Referenz zu den Wi-Fi 7-Sicherheitsfunktionen für IT-Teams in Unternehmen. Er behandelt die obligatorische Durchsetzung der WPA3-Verschlüsselung, die Sicherheitsimplikationen von Multi-Link Operation (MLO) und die praktischen Herausforderungen bei der Unterstützung von Legacy-Geräten während der Migration. Er bietet Netzwerkarchitekten, IT-Managern und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors umsetzbare Bereitstellungsstrategien, Compliance-Richtlinien im Einklang mit PCI DSS und GDPR sowie Praxisbeispiele mit messbaren Ergebnissen. Das Verständnis dieser Änderungen ist für jedes Unternehmen, das in diesem Jahr ein Upgrade seiner Wireless-Infrastruktur plant, von entscheidender Bedeutung, da Wi-Fi 7 eine grundlegende Verschiebung der Sicherheitsbasis für drahtlose Unternehmensnetzwerke darstellt.

📖 10 Min. Lesezeit📝 2,445 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

NETZWERKE SICHERN MIT WI-FI 7: EIN TECHNISCHER DEEP DIVE
Ein Purple Enterprise WiFi Intelligence Podcast

--- EINFÜHRUNG UND KONTEXT (ca. 1 Minute) ---

Willkommen beim Purple Enterprise Network Intelligence Podcast. Ich bin Ihr Host, und heute befassen wir uns mit einem Thema, das jeder Netzwerkarchitekt, IT-Manager und CTO in der Hotellerie, im Einzelhandel und in Organisationen des öffentlichen Sektors jetzt verstehen muss: die Sicherheitsimplikationen von Wi-Fi 7.

Wi-Fi 7 – formal der Standard IEEE 802.11be – ist nicht nur ein weiteres inkrementelles Upgrade. Es ist ein grundlegender Wandel in der Art und Weise, wie drahtlose Netzwerke konzipiert und, was noch wichtiger ist, wie sie gesichert werden. Mit einem theoretischen Durchsatz von bis zu 46 Gigabit pro Sekunde und der Einführung von Multi-Link Operation, kurz MLO, ist die Performance-Story überzeugend. Aber die Sicherheitsaspekte sind für Enterprise-Betreiber wohl noch wichtiger.

Hier ist die wichtigste Nachricht: Wi-Fi 7 schreibt die WPA3-Verschlüsselung über alle Verbindungen hinweg zwingend vor. Nicht optional. Nicht empfohlen. Obligatorisch. Und das hat erhebliche Auswirkungen auf Ihre bestehende Infrastruktur, Ihren Bestand an Legacy-Geräten, Ihre Compliance-Situation und Ihre Investitionsplanung.

In den nächsten zehn Minuten werde ich Sie genau durch die Änderungen führen, was sie für Ihr Netzwerk bedeuten und was Sie in diesem Quartal tun sollten.

--- TECHNISCHER DEEP DIVE (ca. 5 Minuten) ---

Beginnen wir mit den Grundlagen dessen, was sich bei Wi-Fi 7 aus Sicherheitsperspektive tatsächlich ändert.

Die erste und wichtigste Änderung ist die obligatorische Durchsetzung von WPA3. In früheren Generationen – Wi-Fi 5 und Wi-Fi 6 – war WPA3 zwar verfügbar, aber optional. Sie konnten WPA2 auf einem Wi-Fi 6 Access Point ohne Probleme betreiben. Wi-Fi 7 ändert diese Dynamik grundlegend. Um die Hauptfunktionen von Wi-Fi 7 nutzen zu können – insbesondere Multi-Link Operation und die vollen 802.11be-Datenraten –, müssen Ihre Geräte WPA3 unterstützen. Punkt.

Was bietet Ihnen WPA3 nun eigentlich, was WPA2 nicht bietet? Es gibt vier entscheidende Verbesserungen.

Erstens: die Authentifizierung. WPA3-Personal ersetzt das Pre-Shared-Key-Modell durch SAE – Simultaneous Authentication of Equals. SAE verwendet einen Dragonfly-Schlüsselaustauschmechanismus, der gegen Offline-Wörterbuchangriffe resistent ist. In der Praxis bedeutet das: Selbst wenn ein Angreifer den Handshake zwischen einem Gerät und Ihrem Access Point abfängt, kann er diesen Handshake nicht offline mit einem Passwort-Wörterbuch abgleichen. Das ist eine erhebliche Verbesserung gegenüber WPA2-PSK, das seit Jahren genau für diesen Angriff anfällig ist.

Zweitens: die Verschlüsselungsstärke. Wi-Fi 7 führt GCMP-256 – das Galois Counter Mode Protocol mit 256-Bit-Schlüsseln – als primäre Cipher Suite ein und ersetzt damit das in WPA2 verwendete AES-128 CCMP. GCMP-256 bietet eine stärkere Vertraulichkeit, Authentifizierung, Integrität und einen besseren Replay-Schutz für Daten. Für Enterprise-Umgebungen, die Zahlungsdaten oder personenbezogene Daten verarbeiten, ist dies nicht nur ein Nice-to-have, sondern eine Compliance-Anforderung.
Drittens: Protected Management Frames (PMF). Unter WPA2 waren Management-Frames – die Steuersignale, die regeln, wie sich Geräte mit Access Points verbinden und zwischen ihnen wechseln – weitgehend ungeschützt. Dies machte Netzwerke anfällig für Deauthentifizierungsangriffe, bei denen ein Angreifer Geräte gewaltsam aus dem Netzwerk werfen konnte. WPA3 schreibt 802.11w zwingend vor, wodurch diese Management-Frames verschlüsselt und authentifiziert werden, was diesen Angriffsvektor vollständig schließt.

Viertens, und besonders relevant für das Gastgewerbe und öffentliche Veranstaltungsorte: Opportunistic Wireless Encryption, oder OWE. OWE bietet Verschlüsselung in offenen Netzwerken – der Art von Captive Portal WiFi, die Sie in einer Hotellobby oder einem Konferenzzentrum finden –, ohne dass ein Passwort erforderlich ist. Jedes Gerät erhält eine individuell verschlüsselte Sitzung, was bedeutet, dass selbst in einem gemeinsam genutzten offenen Netzwerk ein Benutzer den Datenverkehr eines anderen nicht abhören kann. Für die GDPR-Konformität ist dies enorm wertvoll.

Sprechen wir nun über Multi-Link Operation, denn hier wird die Wi-Fi 7-Sicherheit wirklich neuartig.

MLO ermöglicht es einem einzelnen Gerät, gleichzeitig Verbindungen über mehrere Funkbänder aufrechtzuerhalten – 2,4 Gigahertz, 5 Gigahertz und 6 Gigahertz. Die Leistungsvorteile sind erheblich: geringere Latenz, höherer Durchsatz und bessere Resilienz. MLO bringt jedoch neue Sicherheitsanforderungen mit sich.

Der Standard IEEE 802.11be schreibt vor, dass WPA3 auf jeder einzelnen Verbindung einer MLO-Verbindung aktiv sein muss. Sie können nicht WPA3 auf der 6-Gigahertz-Verbindung und WPA2 auf der 5-Gigahertz-Verbindung ausführen. Der Standard verbietet den WPA3-Übergangsmodus – den gemischten WPA2- und WPA3-Modus – auf jeder MLO-fähigen Verbindung ausdrücklich. Dies ist eine bewusste Designentscheidung, um Sicherheits-Downgrade-Angriffe zu verhindern, bei denen ein Angreifer ein Gerät dazu zwingen könnte, das schwächere Protokoll auszuhandeln.

MLO führt außerdem ein neues Authentifizierungskonzept ein: das Multi-Link Device, oder MLD. Die Authentifizierung in Wi-Fi 7 verwendet einen einzigen Pairwise Master Key über alle Verbindungen hinweg, mit neuen AKM-Suites – speziell AKM 24 und AKM 25 –, die eine Authentifizierung pro MLD ermöglichen. Dies stellt sicher, dass die Schlüsselhierarchie über alle Bänder hinweg synchronisiert ist, was Szenarien verhindert, in denen eine kompromittierte Verbindung verwendet werden könnte, um die anderen anzugreifen.

Für Unternehmensumgebungen gibt es noch ein weiteres Sicherheitsmerkmal, das hervorzuheben ist: WPA3-Enterprise mit 192-Bit-Modus. Dies ist das Suite-B-Kryptografieprofil, das für Regierungs- und Hochsicherheitsumgebungen entwickelt wurde. Es verwendet GCMP-256 für die Datenverschlüsselung, SHA-384 für das Hashing sowie ECDH und ECDSA mit elliptischen 384-Bit-Kurven für den Schlüsselaustausch und die Authentifizierung. Wenn Sie im Gesundheitswesen, in der Verteidigung oder im Finanzsektor tätig sind, ist dies das Profil, das Sie anstreben sollten.

--- IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE (ca. 2 Minuten) ---

Gut. Sie verstehen also die Sicherheitsarchitektur. Sprechen wir nun darüber, was tatsächlich passiert, wenn Sie versuchen, dies in der Praxis bereitzustellen, denn es gibt einige Fallstricke, über die Unternehmen stolpern.

Die größte Herausforderung ist die Kompatibilität mit Legacy-Geräten. Die Realität in den meisten Unternehmensstandorten – Hotels, Einzelhandelsketten, Stadien – ist ein gemischter Gerätebestand. Sie haben brandneue Smartphones, die Wi-Fi 7 und WPA3 unterstützen. Sie haben drei Jahre alte Laptops, die WPA3, aber kein Wi-Fi 7 unterstützen. Und Sie haben IoT-Geräte – Raumsteuerungen, POS-Terminals, Inventarscanner, IPTV-Systeme –, die möglicherweise nur WPA2 oder sogar WPA2-Personal mit TKIP unterstützen.

Der entscheidende Fehler, den es zu vermeiden gilt, ist die Implementierung des WPA3-Übergangsmodus als langfristige Strategie. Der Übergangsmodus – bei dem eine SSID gleichzeitig WPA2 und WPA3 ankündigt – klingt nach einem pragmatischen Kompromiss. In der Praxis setzt er Sie jedoch Downgrade-Angriffen aus. Das bedeutet, dass Ihr sogenanntes WPA3-Netzwerk für jedes Gerät, das das ältere Protokoll aushandelt, tatsächlich auf WPA2-Sicherheitsniveau arbeitet.

Der empfohlene Ansatz ist die Netzwerksegmentierung nach Sicherheitsstufen. Richten Sie drei separate SSIDs ein. Erstens: Eine WPA3-Enterprise-SSID auf dem 6-Gigahertz-Band für moderne Unternehmensgeräte, Mitarbeiter-Endgeräte und Wi-Fi 7-fähige Hardware. Dies ist Ihre höchste Sicherheitsstufe, die eine 802.1X-Authentifizierung gegenüber Ihrem RADIUS-Server nutzt. Zweitens: Eine WPA3-Personal- oder WPA3-Enterprise-SSID auf 5 Gigahertz für BYOD- und Gastgeräte, die WPA3, aber nicht zwingend Wi-Fi 7 unterstützen. Drittens: Eine WPA2-Personal-SSID auf 2,4 Gigahertz, isoliert in einem eigenen VLAN, für ältere IoT-Geräte. Diese dritte Stufe sollte über strenge Firewall-Regeln, keinen Zugriff auf Unternehmensressourcen und eine Richtlinie zur Geräteinventarisierung verfügen, um unbefugte Hinzufügungen zu verhindern.

Für die GDPR-Konformität ist die OWE-Implementierung in Ihrem Gastnetzwerk Ihr wichtigstes Werkzeug. OWE bietet eine individuelle Verschlüsselung, ohne dass eine Benutzerregistrierung erforderlich ist. Das bedeutet, dass Sie verschlüsselte Konnektivität auf einem Captive Portal anbieten können, ohne Anmeldedaten zu erfassen – was Ihre Datenverarbeitungspflichten reduziert.

Für die PCI-DSS-Konformität – entscheidend für jedes Unternehmen, das Kartenzahlungen verarbeitet – müssen Ihre Zahlungsterminals in einem dedizierten, isolierten Netzwerksegment angesiedelt sein. WPA3-Enterprise mit 802.1X ist hier das angemessene Sicherheitsprofil. Unter PCI DSS Version 4.0 fordert Anforderung 4 eine starke Kryptografie für Karteninhaberdaten bei der Übertragung. Die GCMP-256-Verschlüsselung von WPA3 erfüllt diese Anforderung in einer Weise, wie es WPA2 zunehmend nicht mehr tut.

Eine praktische Empfehlung: Führen Sie vor dem Start Ihres Wi-Fi 7-Rollouts ein vollständiges Geräte-Audit durch. Kategorisieren Sie jedes Gerät in Ihrem Netzwerk nach seinem maximal unterstützten Sicherheitsprotokoll. Dieses Audit definiert Ihre SSID-Architektur, Ihr VLAN-Design und Ihren Migrationszeitplan. Organisationen, die diesen Schritt überspringen, stellen immer wieder fest, dass sie entweder kritische Betriebsgeräte aussperren oder ihre Sicherheitslage gefährden, um die Kompatibilität aufrechtzuerhalten.

--- SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) ---

Lassen Sie mich die Fragen beantworten, die ich von Netzwerkarchitekten und IT-Managern am häufigsten höre.

Kann ich Wi-Fi 7 Access Points mit WPA2 für Abwärtskompatibilität betreiben? Ja, Sie können WPA2 SSIDs auf einem Wi-Fi 7 Access Point konfigurieren. Diese Geräte profitieren jedoch nicht von Wi-Fi 7-Funktionen wie MLO. Sie verbinden sich mit Wi-Fi 5- oder Wi-Fi 6-Geschwindigkeiten auf den 2,4- oder 5-Gigahertz-Bändern.

Hilft Wi-Fi 7 bei der Erkennung von Rogue Access Points? Indirekt ja. Das obligatorische PMF macht es für Rogue APs erheblich schwieriger, Deauthentifizierungsangriffe auszuführen, was ein häufiger Vorläufer von Evil-Twin-Angriffen ist. Für eine umfassende Erkennung von Rogue APs benötigen Sie jedoch weiterhin ein dediziertes Wireless Intrusion Prevention System.

Wie wirkt sich Wi-Fi 7 auf meine RADIUS-Infrastruktur aus? Wenn Sie in großem Stil auf WPA3-Enterprise umstellen, stellen Sie sicher, dass Ihr RADIUS-Server EAP-TLS mit modernen Cipher Suites unterstützt. Ältere RADIUS-Implementierungen müssen möglicherweise aktualisiert werden, um den WPA3-Enterprise 192-Bit-Modus zu unterstützen.

Ist das 6-Gigahertz-Band immer nur für WPA3 vorgesehen? Ja. Das 6-Gigahertz-Band ist seit Wi-Fi 6E ausschließlich für WPA3 reserviert. Ältere WPA2-Geräte können sich konstruktionsbedingt nicht mit dem 6-Gigahertz-Band verbinden.

--- ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) ---

Lassen Sie mich dies mit den wichtigsten Maßnahmen für Ihr Unternehmen zusammenfassen.

Wi-Fi 7 stellt das bedeutendste Sicherheits-Upgrade im Bereich der drahtlosen Netzwerke dar, seit WPA2 WEP abgelöst hat. Die obligatorische Durchsetzung von WPA3, GCMP-256-Verschlüsselung, Protected Management Frames und OWE für offene Netzwerke schließt gemeinsam Angriffsvektoren, die im Enterprise-WiFi seit über einem Jahrzehnt existieren.

Ihre unmittelbaren nächsten Schritte sind folgende. Erstens: Führen Sie ein Geräte-Audit durch, um Ihren Altbestand zu verstehen. Zweitens: Entwerfen Sie eine segmentierte SSID-Architektur – WPA3-Enterprise für Unternehmen und Mitarbeiter, WPA3-Personal für moderne Gastgeräte, isoliertes WPA2 für ältere IoT-Geräte. Drittens: Überprüfen Sie Ihre RADIUS- und PKI-Infrastruktur auf WPA3-Enterprise-Bereitschaft. Viertens: Aktualisieren Sie Ihre Informationssicherheitsrichtlinien, um WPA3 als Mindeststandard für die Beschaffung neuer Geräte festzulegen. Und fünftens: Gleichen Sie Ihre Wi-Fi 7-Bereitstellung mit Ihren PCI DSS- und GDPR-Verpflichtungen ab, um eventuelle Lücken vor der Liveschaltung zu identifizieren.

Unternehmen, die dieses Upgrade strategisch angehen – anstatt es als reinen Hardware-Austausch zu betrachten –, werden von einer wesentlich stärkeren Sicherheitslage, einem geringeren Compliance-Risiko und einem Netzwerk profitieren, das wirklich für das Gerätewachstum des nächsten Jahrzehnts gerüstet ist.

Vielen Dank fürs Zuhören. Weitere technische Anleitungen zur Bereitstellung von Enterprise WiFi finden Sie unter purple.ai.

Wichtigste Erkenntnisse

✓Wi-Fi 7 (IEEE 802.11be) schreibt die WPA3-Verschlüsselung für alle Geräte vor, die Multi-Link Operation und die vollen 802.11be-Datenraten nutzen — dies ist nicht optional und stellt die bedeutendste Änderung der Sicherheits-Baseline im Enterprise-Wireless-Bereich seit WPA2 dar.
✓WPA3 bietet vier entscheidende Verbesserungen gegenüber WPA2: SAE-Authentifizierung (resistent gegen Offline-Wörterbuchangriffe), GCMP-256-Verschlüsselung (256-Bit im Vergleich zu AES-128), obligatorische Protected Management Frames (802.11w) und OWE für verschlüsselte offene Netzwerke.
✓MLO erfordert WPA3 auf jeder simultanen Bandverbindung — der WPA3-Übergangsmodus ist für MLO-Verbindungen explizit verboten, wodurch der Downgrade-Angriffsvektor, der im Enterprise-Wireless-Bereich fortbestand, eliminiert wird.
✓Die Kompatibilität mit älteren Geräten erfordert eine dreistufige SSID-Architektur: WPA3-Enterprise auf 6 GHz für moderne Unternehmensgeräte, WPA3-Personal/OWE auf 5 GHz für Gäste und BYOD sowie WPA2-Personal auf 2.4 GHz in einem isolierten VLAN für ältere IoT-Geräte — mischen Sie niemals Sicherheitsstufen auf derselben SSID.
✓Der WPA3-Übergangsmodus ist ein Migrationswerkzeug, kein Endziel — für jede SSID, die im Übergangsmodus betrieben wird, muss ein dokumentiertes Enddatum vorliegen, da sie anfällig für Downgrade-Angriffe ist und für WPA2-Clients keine Sicherheit auf WPA3-Niveau bietet.
✓Die PCI DSS v4.0-Anforderung 4 und die GDPR-Artikel 32 werden durch eine ordnungsgemäß implementierte Wi-Fi 7-Architektur beide wesentlich erfüllt: GCMP-256 für Karteninhaber-Datennetzwerke, OWE für Gästenetzwerke und 802.1X für die Mitarbeiterauthentifizierung.
✓Führen Sie ein Geräte-Audit durch, bevor Sie Ihre Architektur entwerfen — das Ergebnis des Audits bestimmt Ihr SSID-Design, Ihre VLAN-Struktur, Ihren Migrationszeitplan und Ihre Roadmap für den Hardwareaustausch. Das Überspringen dieses Schritts ist die Hauptursache für Bereitstellungsfehler.

Executive Summary

Wi-Fi 7 (IEEE 802.11be) ist kein routinemäßiges Hardware-Upgrade. Es ist die bedeutendste Sicherheitsverbesserung im Bereich der drahtlosen Unternehmensnetzwerke seit der Ablösung von WEP durch WPA2 und bringt zwingende Compliance-Anforderungen mit sich, die jeder CTO und IT-Leiter verstehen muss, bevor er einen Investitionsplan genehmigt.

Die wichtigste Änderung ist eindeutig: Die WPA3-Verschlüsselung ist für alle Wi-Fi 7-Geräte obligatorisch, die Multi-Link Operation (MLO) und die vollen 802.11be-Datenraten nutzen. Diese Vorgabe erstreckt sich gleichzeitig über alle Funkbänder und schließt die Downgrade-Angriffsvektoren, die in drahtlosen Unternehmensnetzwerken seit Jahren bestehen. Neben WPA3 führt Wi-Fi 7 die GCMP-256-Verschlüsselung (die AES-128 CCMP ersetzt), obligatorische Protected Management Frames (802.11w) und Opportunistic Wireless Encryption (OWE) für offene Captive Portal-Netzwerke ein.

Für Betreiber von Veranstaltungsorten – Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors – sind die praktischen Auswirkungen dreifach. Erstens erfordert Ihr Bestand an älteren IoT-Geräten (Kassenterminals, Raumsteuerungen, IPTV-Systeme) eine Netzwerksegmentierung und keinen sofortigen Austausch am ersten Tag. Zweitens verbessert sich Ihre Compliance-Position unter PCI DSS v4.0 und GDPR mit einer ordnungsgemäß bereitgestellten Wi-Fi 7-Architektur erheblich. Drittens sind die Leistungsgewinne durch MLO – der gleichzeitige Mehrbandbetrieb mit einem theoretischen Durchsatz von bis zu 46 Gbit/s – nur für Geräte zugänglich, die die WPA3-Sicherheitsanforderungen erfüllen.

Die Organisationen, die dies als strategisches Sicherheits-Upgrade und nicht als einfachen Hardware-Austausch betrachten, werden mit einer wesentlich stärkeren Risikoposition und einer Netzwerkinfrastruktur hervorgehen, die für das nächste Jahrzehnt gerüstet ist.

Technischer Deep-Dive

Das WPA3-Mandat und was es tatsächlich ändert

Der Standard IEEE 802.11be schreibt die WPA3-Unterstützung für alle Geräte vor, die Wi-Fi 7-Funktionen nutzen möchten. Dies ist eine Abkehr von früheren Generationen: Wi-Fi 6 und Wi-Fi 6E Access Points konnten WPA2 ohne Einschränkungen ausführen. Unter Wi-Fi 7 ist WPA3 eine Voraussetzung für Multi-Link Operation und die vollen EHT-Datenraten (Extremely High Throughput). Das Zertifizierungsprogramm der Wi-Fi Alliance setzt diese Anforderung durch, was bedeutet, dass jedes Gerät mit dem Wi-Fi 7-Zertifizierungssiegel WPA3 unterstützen muss.

WPA3 bietet vier wesentliche Sicherheitsverbesserungen gegenüber seinem Vorgänger.

Authentifizierung: SAE ersetzt PSK. WPA3-Personal ersetzt das Pre-Shared Key (PSK)-Modell durch Simultaneous Authentication of Equals (SAE), das das Dragonfly-Schlüsselaustauschprotokoll nutzt. SAE ist resistent gegen Offline-Wörterbuchangriffe – eine kritische Schwachstelle in WPA2-PSK, bei der ein abgefangener Vier-Wege-Handshake unbegrenzten Offline-Brute-Force-Versuchen ausgesetzt werden konnte. Der Zero-Knowledge-Proof-Mechanismus von SAE stellt sicher, dass selbst ein abgefangener Handshake ohne Zugriff auf die ursprüngliche Passphrase keine verwertbaren Informationen liefert.

Verschlüsselung: GCMP-256 ersetzt AES-128 CCMP. Wi-Fi 7 führt das Galois/Counter Mode Protocol mit 256-Bit-Schlüsseln (GCMP-256) als primäre Cipher Suite ein. GCMP-256 verschlüsselt das Frame-Body-Feld jeder MPDU und bietet gleichzeitig Vertraulichkeit, Authentifizierung, Integrität und Replay-Schutz für Daten. Wi-Fi 7 Access Points signalisieren sowohl GCMP-256 als auch das ältere AES-128 CCMP in ihren RSN-Informationselementen, sodass ältere Clients mit reduzierter Verschlüsselungsstärke eine Verbindung herstellen können, während neuere Clients das stärkere Protokoll aushandeln.

Schutz von Management-Frames: Obligatorisches 802.11w. Unter WPA2 wurden Management-Frames – die 802.11-Steuersignale für Zuordnung, Trennung und Roaming – im Klartext übertragen. Dies ermöglichte Deauthentifizierungsangriffe und die Nachahmung von Access Points durch Evil Twins. WPA3 schreibt 802.11w (Protected Management Frames oder PMF) vor, wodurch Unicast- und Broadcast-Management-Frames authentifiziert und verschlüsselt werden. Dies ist sowohl für den Single-Link- als auch für den Multi-Link-Betrieb in Wi-Fi 7 obligatorisch.

Sicherheit in offenen Netzwerken: OWE. Opportunistic Wireless Encryption bietet eine Verschlüsselung pro Sitzung in offenen Netzwerken, ohne dass ein Passwort erforderlich ist. Jedes verbundene Gerät handelt über einen Diffie-Hellman-Schlüsselaustausch eine individuelle verschlüsselte Sitzung aus. Dies bedeutet, dass der Datenverkehr in einem gemeinsam genutzten offenen Netzwerk verschlüsselt ist und nicht von anderen Benutzern auf derselben SSID abgefangen werden kann. Für Betreiber im Gastgewerbe und im öffentlichen Sektor, die ein Captive Portal für Gäste-WiFi betreiben, ist OWE der Mechanismus, der DSGVO-konformen Datenschutz für den offenen drahtlosen Zugang bietet.

Multi-Link-Betrieb: Performance- und Sicherheitsarchitektur

MLO ist das entscheidende Performance-Merkmal von Wi-Fi 7, das es einem einzelnen Gerät ermöglicht, gleichzeitig aktive Verbindungen über die Frequenzbänder 2,4 GHz, 5 GHz und 6 GHz aufrechtzuerhalten. Die Sicherheitsarchitektur von MLO ist anspruchsvoller als der Single-Link-Betrieb, und ihr Verständnis ist für die Planung von Enterprise-Bereitstellungen unerlässlich.

Der Standard IEEE 802.11be führt zwei neue Authentication and Key Management (AKM) Suites speziell für MLO ein: AKM 24 (00-0F-AC:24) und AKM 25 (00-0F-AC:25). Diese bieten eine Authentifizierung pro MLD (Multi-Link Device) und etablieren einen einzigen Pairwise Master Key (PMK), der über alle aktiven Links synchronisiert wird. Dieses Design stellt sicher, dass die Hierarchie der Schlüssel über alle Bänder hinweg konsistent ist, wodurch verhindert wird, dass eine kompromittierte Verbindung mit geringerer Sicherheit genutzt werden kann, um die Sitzung auf einem Band mit höherer Sicherheit anzugreifen.

Entscheidend ist, dass der Standard den WPA3-Transitionsmodus auf jeder MLO-fähigen Verbindung explizit verbietet. Der Transitionsmodus – die gemischte WPA2/WPA3-Konfiguration, die beide Protokollversionen auf einer einzigen SSID zulässt – ist für MLO untersagt. Dies ist eine gezielte Maßnahme gegen Downgrade-Angriffe. In einer Transitionsmodus-Umgebung kann ein Angreifer einen Client zwingen, WPA2 auszuhandeln, selbst wenn WPA3 verfügbar ist; die Sicherheitsarchitektur von MLO eliminiert diesen Angriffsvektor vollständig, indem sie WPA3 auf jeder Verbindung vorschreibt.

Für Unternehmensarchitekten hat dies eine direkte Konsequenz: Jedes Gerät, das WPA3 nicht unterstützen kann, kann nicht an MLO teilnehmen. Solche Geräte fallen auf den Einband- und Einverbindungsbetrieb auf dem jeweils unterstützten Band und mit dem jeweils unterstützten Sicherheitsniveau zurück. Dies ist kein Fehler des Netzwerks, sondern das korrekte Verhalten einer ordnungsgemäß konfigurierten Wi-Fi 7-Bereitstellung.

WPA3-Enterprise 192-Bit-Modus

Für Organisationen in regulierten Branchen – Behörden, Verteidigung, Gesundheitswesen und Finanzdienstleistungen – bietet der WPA3-Enterprise 192-Bit-Modus (Suite B) das höchste verfügbare drahtlose Sicherheitsprofil. Dieser Modus verwendet GCMP-256 für die Datenverschlüsselung, SHA-384 für das Hashing und ECDH/ECDSA mit 384-Bit-elliptischen Kurven für den Schlüsselaustausch und die Authentifizierung. Er entspricht den Anforderungen der CNSA (Commercial National Security Algorithm) Suite und eignet sich für Netzwerke, die klassifizierte oder hochsensible Daten verarbeiten.

Implementierungsleitfaden

Phase 1: Geräte-Audit und Segmentierungsdesign

Führen Sie vor der Installation auch nur eines einzigen Access Points ein umfassendes Geräte-Audit durch. Jedes Gerät in Ihrem Netzwerk muss nach seinem maximal unterstützten Sicherheitsprotokoll kategorisiert werden: WPA3-Enterprise, WPA3-Personal, WPA2-Enterprise, WPA2-Personal oder Legacy (WPA/TKIP). Dieses Audit bestimmt jede nachfolgende Architekturentscheidung.

Das Ergebnis dieses Audits sollte drei Netzwerk-Ebenen definieren:

Ebene	Band	Sicherheitsprotokoll	Zielgeräte
Ebene 1 — Unternehmen/Mitarbeiter	6 GHz	WPA3-Enterprise (802.1X)	Mitarbeiter-Laptops, firmeneigene Mobilgeräte, Wi-Fi 7-Endpunkte
Ebene 2 — Gäste/BYOD	5 GHz	WPA3-Personal (SAE) oder WPA3-Enterprise	Gästegeräte, BYOD, moderne Smartphones
Ebene 3 — Legacy/IoT	2,4 GHz	WPA2-Personal (isoliertes VLAN)	POS-Terminals, Raumsteuerungen, IPTV, ältere Scanner

Jede Ebene muss durch ein VLAN mit Inter-VLAN-Firewall-Richtlinien isoliert werden, die laterale Bewegungen explizit verhindern. Geräte der Ebene 3 sollten keinen Zugriff auf die Netzwerksegmente der Ebene 1 oder Ebene 2 haben, und der Internetzugang sollte auf die spezifischen Ziele beschränkt sein, die für den Gerätebetrieb erforderlich sind.

Phase 2: Bereitschaft der RADIUS- und PKI-Infrastruktur

WPA3-Enterprise-Bereitstellungen erfordern einen RADIUS-Server (typischerweise FreeRADIUS, Cisco ISE oder Aruba ClearPass), der für die Unterstützung von EAP-TLS mit modernen Cipher Suites konfiguriert ist. Überprüfen Sie, ob Ihre RADIUS-Implementierung TLS 1.2 oder 1.3 unterstützt und ob Ihre Zertifizierungsstellen-Infrastruktur in der Lage ist, Client-Zertifikate im erforderlichen Umfang auszustellen. Bestätigen Sie für den WPA3-Enterprise 192-Bit-Modus, dass Ihr RADIUS-Server EAP-TLS mit Suite B Cipher Suites unterstützt.

Wenn Ihre bestehende RADIUS-Infrastruktur vor mehr als fünf Jahren bereitgestellt wurde, ist eine Bereitschaftsprüfung ratsam, bevor Sie sich auf einen Wi-Fi 7-Einführungszeitplan festlegen.

Phase 3: SSID-Architektur und Vermeidung des Transition Mode

Konfigurieren Sie Ihre SSIDs gemäß dem oben beschriebenen dreistufigen Modell. Widerstehen Sie der Versuchung, den WPA3-Transition Mode als dauerhafte Konfiguration bereitzustellen. Der Transition Mode ist eine angemessene kurzfristige Maßnahme während einer kontrollierten Migration, sollte aber nicht der Endzustand sein. Der Transition Mode signalisiert sowohl WPA2 als auch WPA3 gleichzeitig auf derselben SSID; jedes Gerät, das WPA2 auf dieser SSID aushandelt, reduziert die effektive Sicherheit des gesamten Netzwerksegments auf WPA2-Niveau.

Die richtige langfristige Architektur ist striktes WPA3 auf Tier-1- und Tier-2-SSIDs, wobei ältere Geräte explizit der isolierten Tier-3-SSID zugewiesen werden. Dieser Ansatz bietet das stärkste Sicherheitsniveau für moderne Geräte, während die Betriebskontinuität für ältere Hardware gewahrt bleibt.

Phase 4: OWE-Bereitstellung für Gastnetzwerke

Stellen Sie für Captive Portal-Gastnetzwerke OWE als Sicherheitsmechanismus bereit. OWE arbeitet für Endbenutzer transparent – es ist kein Passwort erforderlich, und der Authentifizierungsablauf im Captive Portal bleibt unverändert. Der Unterschied besteht darin, dass der Datenverkehr jedes Geräts mit einem individuellen Sitzungsschlüssel verschlüsselt wird, was einen GDPR-konformen Datenschutz bietet, ohne den Registrierungsprozess für Gäste zu erschweren.

Beachten Sie, dass der OWE-Transition Mode (analog zum WPA3-Transition Mode) Nicht-OWE-Geräten die Verbindung mit derselben SSID ermöglicht. Wie beim WPA3-Transition Mode sollte dies als vorübergehende Maßnahme während der Migration und nicht als dauerhafte Konfiguration behandelt werden.

Phase 5: Überwachung, Richtlinien und fortlaufende Governance

Stellen Sie ein Wireless Intrusion Prevention System (WIPS) bereit, um nach Rogue Access Points, Deauthentifizierungsangriffen und nicht autorisierten Geräten zu suchen. Während das bei WPA3 obligatorische PMF die Wirksamkeit von Deauthentifizierungsangriffen erheblich verringert, bietet ein WIPS die für die Reaktion auf Vorfälle und Compliance-Berichte erforderliche Transparenz.

Aktualisieren Sie Ihre Informationssicherheitsrichtlinie, um die WPA3-Unterstützung als Mindestanforderung für die Beschaffung aller neuen drahtlosen Geräte vorzuschreiben. Diese Richtlinienänderung ist die effektivste langfristige Einzelmaßnahme zur Reduzierung der Anhäufung veralteter Geräte.

Best Practices

Die folgenden herstellerneutralen Best Practices spiegeln die aktuellen Branchenstandards wider und sind auf allen wichtigen Wireless-Plattformen für Unternehmen anwendbar.

Netzwerksegmentierung ist unverhandelbar. Eine IEEE 802.1X-basierte Netzwerkzugriffskontrolle in Kombination mit VLAN-Segmentierung ist das Fundament einer vertretbaren drahtlosen Unternehmensarchitektur. Keine Gerätekategorie — Gäste, Mitarbeiter, IoT oder POS — sollte ein Netzwerksegment mit Geräten einer anderen Vertrauensstufe teilen.

Vermeiden Sie den WPA3-Übergangsmodus als dauerhafte Konfiguration. Wie von Sicherheitsforschern dokumentiert, ist der Übergangsmodus anfällig für Downgrade-Angriffe. Nutzen Sie ihn nur als zeitlich begrenzte Migrationshilfe mit einem definierten Enddatum für die WPA2-Unterstützung auf jeder SSID.

Erzwingen Sie zertifikatsbasierte Authentifizierung für Mitarbeiternetzwerke. WPA3-Enterprise mit EAP-TLS und Client-Zertifikaten bietet die stärkste Authentifizierung für Unternehmens-Endgeräte. Passwortbasierte EAP-Methoden (PEAP-MSCHAPv2) bleiben anfällig für Vorfallsdiebstahl; eine zertifikatsbasierte Authentifizierung eliminiert dieses Risiko.

Behandeln Sie das 6-GHz-Band standardmäßig als reines WPA3-Band. Das 6-GHz-Band ist seit Wi-Fi 6E exklusiv für WPA3 reserviert. Nutzen Sie dieses Band ausschließlich für Ihre Sicherheits- und Leistungsstufe mit den höchsten Anforderungen. Versuchen Sie nicht, die Unterstützung für ältere Geräte auf 6 GHz auszudehnen.

Implementieren Sie Network Access Control (NAC) zur Geräteprofilierung. Eine NAC-Lösung, die verbindende Geräte profiliert und Sicherheitsrichtlinien basierend auf Gerätetyp und Compliance-Status durchsetzt, ist in Umgebungen mit gemischten Geräten unerlässlich. Geräte, die die Mindestsicherheitsrichtlinien nicht erfüllen, sollten unter Quarantäne gestellt oder in ein Remediation-VLAN umgeleitet werden.

Richten Sie die Beschaffungsrichtlinien an den Sicherheitsanforderungen von Wi-Fi 7 aus. Jedes neue Gerät, das für die Nutzung in Ihrem Netzwerk beschafft wird, sollte mindestens WPA3 unterstützen müssen. Diese konsequent angewendete Richtlinie wird Ihren Bestand an Altgeräten im Zuge eines drei- bis fünfjährigen Hardware-Aktualisierungszyklus auf natürliche Weise reduzieren.

Fehlerbehebung und Risikominderung

Verbindungsprobleme bei älteren Geräten. Das häufigste Problem bei der Bereitstellung ist, dass ältere Geräte nach einem Wi-Fi 7-Rollout keine Verbindung herstellen können. Die Ursache ist fast immer, dass das Gerät WPA3 nicht unterstützt und die SSID im strikten WPA3-Modus konfiguriert wurde. Lösung: Überprüfen Sie das maximal unterstützte Sicherheitsprotokoll des Geräts, weisen Sie es der entsprechenden Tier-3-SSID zu und stellen Sie sicher, dass die SSID auf einem Band sendet, das das Gerät unterstützt (2,4 GHz für die meisten älteren IoT-Geräte).

Downgrade-Angriffe im WPA3-Übergangsmodus. Wenn Sie während der Migration den Übergangsmodus nutzen, überwachen Sie Ihr WIPS auf Clients, die sich über WPA2 mit WPA3-fähigen SSIDs verbinden. Dies kann auf einen laufenden Downgrade-Angriff oder einen falsch konfigurierten Client hinweisen. Untersuchen und beheben Sie dies umgehend.

RADIUS-Authentifizierungsfehler mit WPA3-Enterprise. Wenn Clients nach einer WPA3-Enterprise-Migration die 802.1X-Authentifizierung nicht bestehen, überprüfen Sie, ob das TLS-Zertifikat des RADIUS-Servers von den Client-Geräten als vertrauenswürdig eingestuft wird, ob die EAP-Methode sowohl auf dem RADIUS-Server als auch auf dem Client-Supplicant korrekt konfiguriert ist und ob der RADIUS-Server die von WPA3-Enterprise geforderten Cipher Suites unterstützt. MLO-Konnektivitätsprobleme. Bei Geräten, die Wi-Fi 7 unterstützen, aber keine MLO-Verbindungen herstellen können, liegt in der Regel ein WPA3-Aushandlungsfehler auf einem oder mehreren Bändern vor. Stellen Sie sicher, dass alle Bänder auf dem Access Point für WPA3 konfiguriert sind und dass der Wi-Fi 7-Treiber des Clients aktuell ist. Treiber-Updates für die Wi-Fi 7 MLO-Unterstützung wurden im Laufe der Jahre 2024 und 2025 aktiv veröffentlicht.

Erkennung von Rogue Access Points. Das obligatorische PMF in WPA3 reduziert die Effektivität von Evil-Twin-Angriffen erheblich, beseitigt jedoch nicht das Risiko von Rogue Access Points in Ihrem Netzwerk. Betreiben Sie ein WIPS mit aktivem Scannen und alarmieren Sie bei jedem Access Point, der Ihre SSIDs ausstrahlt und sich nicht in Ihrem autorisierten AP-Inventar befindet.

ROI und geschäftliche Auswirkungen

Reduzierung von Compliance-Risiken

Der messbarste ROI einer Wi-Fi 7-Sicherheitsbereitstellung ist die Reduzierung von Compliance-Risiken. Gemäß PCI DSS v4.0 fordert Anforderung 4 eine starke Kryptografie für Karteninhaberdaten bei der Übertragung. Die GCMP-256-Verschlüsselung von WPA3 erfüllt diese Anforderung; das AES-128 CCMP von WPA2 wird von QSAs zunehmend als unzureichend für neue Bereitstellungen eingestuft. Eine ordnungsgemäß segmentierte Wi-Fi 7-Architektur mit WPA3-Enterprise auf POS-Netzwerksegmenten reduziert Ihren PCI DSS-Audit-Umfang und die damit verbundenen Behebungskosten.

Unter der GDPR fordern Artikel 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und Artikel 32 (Sicherheit der Verarbeitung) geeignete technische Maßnahmen zum Schutz personenbezogener Daten. OWE in Gastnetzwerken, kombiniert mit WPA3 in authentifizierten Netzwerken, bietet eine nachweisbare technische Kontrolle, die die GDPR-Compliance-Dokumentation unterstützt.

Gewinne bei der betrieblichen Effizienz

Die MLO-Funktion von Wi-Fi 7 liefert messbare Durchsatzverbesserungen in Umgebungen mit hoher Dichte. In Stadion- und Konferenzzentrum-Szenarien, in denen Hunderte oder Tausende von gleichzeitigen Nutzern um Bandbreite konkurrieren, reduziert die Fähigkeit von MLO, Kapazitäten über mehrere Bänder gleichzeitig zu aggregieren, Überlastungen und verbessert das Nutzererlebnis. Für Hotelbetreiber führt dies direkt zu besseren Bewertungen der Gästezufriedenheit und weniger Support-Anrufen im Zusammenhang mit der WiFi-Leistung.

Vermeidung von Kosten bei Sicherheitsvorfällen

Die durchschnittlichen Kosten einer Datenpanne in Großbritannien übersteigen laut Branchen-Benchmarks 3,4 Millionen Pfund. Die Kompromittierung von Drahtlosnetzwerken — durch Diebstahl von Anmeldedaten aufgrund von WPA2-PSK-Schachstellen, Deauthentifizierungsangriffen oder das Abfangen durch Rogue Access Points — ist ein dokumentierter Angriffsvektor in Hotellerie- und Einzelhandelsumgebungen. Die SAE-Authentifizierung von WPA3, das obligatorische PMF und die OWE-Verschlüsselung pro Sitzung eliminieren gemeinsam die häufigsten drahtlosen Angriffsvektoren und verringern die Wahrscheinlichkeit einer Sicherheitsverletzung, die auf der drahtlosen Ebene ihren Ursprung hat.

Investitionsplanung

Eine schrittweise Wi-Fi 7-Einführung – beginnend mit stark frequentierten, geschäftskritischen Bereichen und einer progressiven Erweiterung der Abdeckung – ermöglicht es Unternehmen, ihre Investitionsausgaben zu verteilen und gleichzeitig sofortige Sicherheitsvorteile in den Bereichen mit dem größten Risiko zu erzielen. Das 6-GHz-Band, das ausschließlich Wi-Fi 7- und Wi-Fi 6E-Geräten zur Verfügung steht, bietet eine völlig neue, reine WPA3-Umgebung, die ohne Bedenken hinsichtlich der Abwärtskompatibilität sofort bereitgestellt werden kann, während die 2,4- und 5-GHz-Bänder während der Übergangsphase weiterhin den bestehenden Gerätebestand bedienen.

Schlüsseldefinitionen

WPA3 (Wi-Fi Protected Access 3)

Die dritte Generation der Wi-Fi Protected Access-Sicherheitszertifizierung, die 2018 von der Wi-Fi Alliance eingeführt wurde und für alle Wi-Fi 7-Geräte obligatorisch ist. WPA3 ersetzt die PSK-Authentifizierung durch SAE, aktualisiert die Verschlüsselung auf GCMP-256, schreibt Protected Management Frames (802.11w) vor und führt OWE für offene Netzwerke ein. WPA3 gibt es in zwei Varianten: WPA3-Personal (unter Verwendung von SAE) und WPA3-Enterprise (unter Verwendung der 802.1X/EAP-Authentifizierung).

IT-Teams begegnen WPA3 als obligatorischer Sicherheitsbasis für Wi-Fi 7-Bereitstellungen. Das Verständnis des Unterschieds zwischen WPA3-Personal und WPA3-Enterprise ist entscheidend für den Entwurf der richtigen Authentifizierungsarchitektur für jedes Netzwerksegment.

SAE (Simultaneous Authentication of Equals)

Das in WPA3-Personal verwendete Authentifizierungsprotokoll, das das Pre-Shared Key (PSK)-Modell von WPA2 ersetzt. SAE verwendet den Dragonfly-Schlüsselaustauschmechanismus, ein Zero-Knowledge-Proof-Protokoll, das resistent gegen Offline-Wörterbuchangriffe ist. Selbst wenn ein Angreifer den SAE-Handshake abfängt, kann er keine Offline-Brute-Force-Angriffe gegen die Passphrase durchführen.

SAE ist der Grund, warum WPA3-Personal in Umgebungen, in denen eine gemeinsame Passphrase verwendet wird, wesentlich sicherer ist als WPA2-PSK, wie z. B. beim Hotel-Gäste-WiFi mit ausgehängtem Passwort oder beim WiFi für Einzelhandelskunden.

MLO (Multi-Link Operation)

Das wichtigste Leistungsmerkmal von Wi-Fi 7, das es einem einzelnen Gerät (einem Multi-Link-Gerät oder MLD) ermöglicht, gleichzeitig aktive Verbindungen über mehrere Funkbänder – 2,4 GHz, 5 GHz und 6 GHz – aufrechtzuerhalten. MLO bündelt die Bandbreite über die Bänder hinweg, reduziert die Latenzzeit durch Lastverteilung und verbessert die Ausfallsicherheit, indem die Verbindung aufrechterhalten wird, wenn ein Band überlastet ist. WPA3 ist auf allen Verbindungen einer MLO-Verbindung obligatorisch.

Netzwerkarchitekten müssen die WPA3-Anforderung von MLO bei der Planung der Gerätekompatibilität berücksichtigen. Geräte, die WPA3 nicht unterstützen, profitieren nicht von MLO und verbinden sich als Single-Link-Clients.

OWE (Opportunistic Wireless Encryption)

Ein Wi-Fi-Sicherheitsmechanismus, der eine Verschlüsselung pro Sitzung in offenen Netzwerken bietet, ohne dass ein Passwort erforderlich ist. OWE verwendet den Diffie-Hellman-Schlüsselaustausch, um eine individuelle verschlüsselte Sitzung für jedes verbundene Gerät aufzubauen, wodurch verhindert wird, dass andere Benutzer im selben offenen Netzwerk den Datenverkehr abfangen. OWE ist für Endbenutzer transparent.

OWE ist der empfohlene Sicherheitsmechanismus für Captive Portal-Gästenetzwerke im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor. Es bietet einen GDPR-konformen Datenschutz, ohne den Onboarding-Prozess für Gäste zu erschweren.

PMF (Protected Management Frames) / 802.11w

Eine IEEE 802.11-Erweiterung, die drahtlose Management-Frames authentifiziert und verschlüsselt, einschließlich Deauthentifizierungs- und Disassoziierungs-Frames. Ohne PMF werden diese Frames im Klartext übertragen und können von einem Angreifer gefälscht werden, um Geräte gewaltsam vom Netzwerk zu trennen. PMF ist in WPA3 obligatorisch und eine Voraussetzung für alle Wi-Fi 7-Verbindungen.

PMF ist die technische Kontrolle, die Deauthentifizierungsangriffe verhindert und die Wirksamkeit von Evil-Twin-Access-Point-Angriffen erheblich reduziert. IT-Sicherheitsteams sollten überprüfen, ob PMF auf allen WPA3-fähigen SSIDs aktiviert ist.

GCMP-256 (Galois/Counter Mode Protocol, 256-bit)

Die primäre Verschlüsselungssuite für Wi-Fi 7, die das in WPA2 verwendete AES-128 CCMP ersetzt. GCMP-256 verwendet 256-Bit-Schlüssel und bietet authentifizierte Verschlüsselung mit zugeordneten Daten (AEAD), wodurch gleichzeitig Vertraulichkeit, Integrität und Authentifizierung für jeden übertragenen Frame gewährleistet werden. GCMP-256 ist bei hohen Datenraten rechnerisch effizienter als CCMP.

GCMP-256 ist der Verschlüsselungsstandard, der die Anforderung 4 von PCI DSS v4.0 für starke Kryptografie in Karteninhaber-Datenumgebungen erfüllt. IT-Teams sollten überprüfen, ob ihre drahtlose Infrastruktur GCMP-256 unterstützt und ob dies von WPA3-fähigen Clients korrekt ausgehandelt wird.

WPA3-Enterprise 192-Bit Mode (Suite B)

Das WPA3-Profil mit der höchsten Sicherheitsstufe, das GCMP-256 für die Datenverschlüsselung, SHA-384 für das Hashing und ECDH/ECDSA mit elliptischen 384-Bit-Kurven für den Schlüsselaustausch und die Authentifizierung verwendet. Suite B entspricht der Commercial National Security Algorithm (CNSA) Suite der US-amerikanischen NSA und ist für Regierungs-, Verteidigungs-, Gesundheits- und Finanzdienstleistungsumgebungen konzipiert.

Organisationen des öffentlichen Sektors und regulierter Branchen sollten den WPA3-Enterprise 192-Bit-Modus für ihre Netzwerksegmente mit der höchsten Sicherheitsstufe evaluieren. Die Bereitstellung erfordert einen RADIUS-Server und eine PKI-Infrastruktur, die Suite B-Verschlüsselungssuiten unterstützen können.

802.1X (Port-Based Network Access Control)

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der ein Authentifizierungs-Framework für Geräte bietet, die versuchen, sich mit einem Netzwerk zu verbinden. Bei drahtlosen Bereitstellungen wird 802.1X mit WPA3-Enterprise verwendet, um Benutzer oder Geräte an einem RADIUS-Server mithilfe von EAP-Methoden wie EAP-TLS (zertifikatsbasiert) oder PEAP-MSCHAPv2 (passwortbasiert) zu authentifizieren.

802.1X ist das Authentifizierungs-Rückgrat von WPA3-Enterprise-Bereitstellungen. IT-Teams, die eine Wi-Fi 7-Einführung planen, müssen sicherstellen, dass ihre RADIUS-Infrastruktur korrekt konfiguriert ist und dass die Client-Supplicants für die Verwendung der richtigen EAP-Methode konfiguriert sind.

MLD (Multi-Link Device)

Ein Wi-Fi 7-Gerät, das zu Multi-Link Operation fähig ist und gleichzeitige Verbindungen über mehrere Funkbänder aufrechterhält. Ein MLD hat eine einzige MAC-Adresse auf der logischen Ebene (die MLD-MAC-Adresse), kann aber über mehrere physische Funkschnittstellen verfügen. Die Authentifizierung erfolgt bei Wi-Fi 7 auf MLD-Ebene, wobei ein einziger Pairwise Master Key über alle Verbindungen hinweg geteilt wird.

Netzwerkarchitekten sollten sich darüber im Klaren sein, dass sich MLDs in Netzwerkmanagement-Tools anders darstellen als Single-Link-Geräte. DHCP-Leases, RADIUS-Accounting-Datensätze und Netzwerküberwachungsdaten beziehen sich auf die MLD-MAC-Adresse, nicht auf die MAC-Adressen der einzelnen Verbindungen.

WPA3 Transition Mode

Ein Konfigurationsmodus, in dem eine einzelne SSID gleichzeitig die Unterstützung für WPA2 und WPA3 ankündigt, sodass Geräte, die nur WPA2 unterstützen, sich neben WPA3-fähigen Geräten verbinden können. Der Übergangsmodus ist als temporäre Migrationshilfe gedacht. Er ist für Multi-Link Operation in Wi-Fi 7 ausdrücklich verboten und anfällig für Downgrade-Angriffe.

IT-Teams sollten den WPA3-Übergangsmodus nur als zeitlich begrenzte Migrationsmaßnahme mit einem definierten Enddatum verwenden. Der Übergangsmodus sollte niemals die dauerhafte Konfiguration für eine SSID sein, die sensible Daten überträgt oder in den Geltungsbereich von PCI DSS fällt.

Ausgearbeitete Beispiele

Ein Hotel mit 350 Zimmern führt ein Upgrade von Wi-Fi 5 auf Wi-Fi 7 durch. Das Anwesen betreibt ein Captive Portal Guest WiFi-Netzwerk, ein Personalnetzwerk für Mitarbeiter im Service- und Backoffice-Bereich sowie ein Gebäudemanagement-Netzwerk für IPTV-Systeme, Türschlosssteuerungen und HLK-Sensoren. Der Anbieter des IPTV-Systems hat bestätigt, dass seine Geräte nur WPA2-Personal unterstützen. Der IT-Leiter des Hotels möchte auf dem gesamten Gelände WPA3 implementieren und die PCI DSS-Anforderungen für die Zahlungsterminals an der Rezeption erfüllen. Wie sollte die Netzwerkarchitektur gestaltet werden?

Die Bereitstellung sollte in vier separate Netzwerksegmente unterteilt werden, die jeweils einer dedizierten SSID und einem VLAN zugeordnet sind. Segment 1 (Personal/Unternehmen): WPA3-Enterprise mit 802.1X-Authentifizierung im 6-GHz-Band. Alle Laptops, Tablets und geschäftlichen Mobilgeräte des Personals verbinden sich hier. Der RADIUS-Server authentifiziert Benutzer gegenüber dem Active Directory mittels EAP-TLS mit Client-Zertifikaten. Dieses Segment hat vollen Zugriff auf das PMS des Hotels, Backoffice-Anwendungen und das Internet. Segment 2 (PCI DSS-Zone): Eine separate WPA3-Enterprise SSID, ebenfalls über 802.1X authentifiziert, die ausschließlich für Zahlungsterminals an der Rezeption und andere Transaktionspunkte mit physischer Karte reserviert ist. Dieses Segment ist durch eine Firewall von allen anderen VLANs isoliert, wobei der ausgehende Datenverkehr auf die IP-Bereiche des Zahlungsabwicklers beschränkt ist. Dies erfüllt die Anforderung 4 von PCI DSS v4.0 und reduziert den Audit-Umfang auf dieses Segment allein. Segment 3 (Guest WiFi): Eine OWE-fähige SSID im 5-GHz-Band, der das Captive Portal vorgeschaltet ist. OWE bietet eine Verschlüsselung pro Sitzung, ohne dass ein Passwort erforderlich ist, was die Anforderungen von DSGVO Artikel 32 für geeignete technische Maßnahmen erfüllt. Das Captive Portal erfasst nur die für den Netzwerkzugriff erforderlichen Mindestdaten. Dieses Segment hat ausschließlich Internetzugang und keinen Zugriff auf interne Ressourcen des Hotels. Segment 4 (Legacy IoT/Gebäudemanagement): Eine WPA2-Personal SSID im 2,4-GHz-Band, isoliert in einem eigenen VLAN. Die IPTV-Systeme, Türschlosssteuerungen und HLK-Sensoren verbinden sich hier. Strikte Firewall-Regeln erlauben nur die für den Gerätebetrieb erforderlichen spezifischen Datenflüsse. Kein Internetzugang. Kein Zugriff auf andere VLANs. Eine Network Access Control-Richtlinie erzwingt eine Geräte-Allowlist, um zu verhindern, dass sich nicht autorisierte Geräte mit diesem Segment verbinden. Der Migrationszeitplan sollte in der ersten Phase die Segmente 1 und 2 (Personal und PCI) priorisieren, gefolgt vom Guest WiFi (Segment 3), während das Legacy-IoT-Segment (Segment 4) auf der bestehenden Wi-Fi 5-Infrastruktur verbleibt, bis ein geplanter Austauschzyklus für das IPTV-System ansteht.

Kommentar des Prüfers: Diese Architektur wendet das Prinzip der minimalen Rechtevergabe auf der Netzwerkschicht korrekt an. Die entscheidende Designentscheidung ist die Trennung der PCI DSS-Zone in eine eigene dedizierte SSID und ein eigenes VLAN, anstatt sich auf eine Netzwerksegmentierung innerhalb einer gemeinsam genutzten SSID zu verlassen. Dieser Ansatz minimiert den PCI DSS-Audit-Umfang und eliminiert das Risiko von Lateral Movement von einem kompromittierten Gäste- oder Mitarbeitergerät auf das Zahlungsnetzwerk. Die Verwendung von OWE im Gästenetzwerk – anstelle von WPA3-Personal mit einem gemeinsam genutzten Passwort – ist die richtige Wahl für eine Hotelumgebung, in der die Gästepopulation flüchtig ist und die Weitergabe von Zugangsdaten nicht kontrolliert werden kann. Die Entscheidung, das Legacy-IoT-Segment auf WPA2 zu belassen, anstatt einen vorzeitigen Austausch des IPTV-Systems zu erzwingen, ist pragmatisch und betrieblich sinnvoll, sofern das Segment ordnungsgemäß isoliert ist. Der alternative Ansatz – die Bereitstellung des WPA3-Übergangsmodus auf einer einzigen SSID für alle Gerätetypen – wäre ein erheblicher Sicherheitskompromiss und wird ausdrücklich nicht empfohlen.

Eine nationale Einzelhandelskette mit 120 Filialen plant die Einführung von Wi-Fi 7. Jede Filiale verfügt über einen Mix aus Geräten: moderne Android- und iOS-Kassentablets (WPA3-fähig), ältere Barcodescanner mit Embedded-Linux-Firmware, die nur WPA2-Personal unterstützt, kundenorientiertes WiFi für das Surfen im Geschäft und ein Backoffice-Netzwerk für Bestandsverwaltungssysteme. Das IT-Sicherheitsteam hat darauf hingewiesen, dass das aktuelle WPA2-PSK-Netzwerk für Barcodescanner ein einziges gemeinsam genutztes Passwort verwendet, das seit drei Jahren nicht mehr geändert wurde. Wie sollte die Sicherheitsarchitektur gestaltet werden und was ist der empfohlene Ansatz für den Bestand an Legacy-Scannern?

Die Einzelhandelsarchitektur sollte vier SSIDs pro Filiale bereitstellen, die zentral über eine cloudbasierte Wireless-Management-Plattform verwaltet werden. SSID 1 (Kassentablets – WPA3-Enterprise): Die modernen Kassentablets verbinden sich mit einer WPA3-Enterprise SSID unter Verwendung von 802.1X mit zertifikatsbasiertem EAP-TLS. Zertifikate werden über die PKI der Kette ausgestellt und verwaltet, mit automatischer Verlängerung. Diese SSID arbeitet im 5-GHz- und 6-GHz-Band. Das Kassen-VLAN ist isoliert und hat nur ausgehenden Zugriff auf den Zahlungsabwickler und die Einzelhandelsmanagement-Plattform der Kette. SSID 2 (Kunden-WiFi – OWE + Captive Portal): Eine OWE-fähige SSID im 5-GHz-Band bietet verschlüsselten Gastzugang. Das Captive Portal ist so konfiguriert, dass es nur die Daten erfasst, die für eine DSGVO-konforme Marketing-Einwilligung erforderlich sind. Der Kundenverkehr ist auf das Internet beschränkt und hat keinen Zugriff auf interne Systeme der Filiale. SSID 3 (Backoffice – WPA3-Personal oder WPA3-Enterprise): Bestandsverwaltungssysteme und Backoffice-PCs verbinden sich mit einer WPA3-SSID. Wenn die Geräteverwaltung dies zulässt, wird WPA3-Enterprise mit 802.1X bevorzugt. SSID 4 (Legacy-Scanner – WPA2-Personal, isoliertes VLAN): Die älteren Barcodescanner werden einer dedizierten WPA2-Personal SSID im 2,4-GHz-Band zugewiesen. Die unmittelbare Priorität ist die Passwortänderung – das drei Jahre alte gemeinsam genutzte Passwort stellt ein kritisches Risiko dar. Die zentrale Management-Plattform sollte eine Richtlinie zur Passwortänderung erzwingen (mindestens alle 90 Tage) und eindeutige Passwörter pro Filiale generieren, um den Schadensradius im Falle einer Kompromittierung zu begrenzen. Das VLAN für dieses Segment sollte nur Zugriff auf die spezifischen API-Endpunkte des Bestandsverwaltungssystems haben, während der gesamte andere Datenverkehr blockiert wird. Eine Geräte-Allowlist sollte implementiert werden, um zu verhindern, dass sich nicht autorisierte Geräte mit diesem Segment verbinden. Die mittelfristige Roadmap sollte einen Business Case für den Ersatz der Legacy-Scanner durch WPA3-fähige Hardware beim nächsten Aktualisierungszyklus vorsehen, mit dem Ziel, WPA2 innerhalb von 24 Monaten vollständig aus dem Bestand zu eliminieren.

Kommentar des Prüfers: Das größte Risiko in diesem Szenario ist das drei Jahre alte, gemeinsam genutzte WPA2-PSK-Passwort im Scanner-Netzwerk. Ein WPA2-PSK-Passwort, das seit drei Jahren in 120 Filialen im Umlauf ist, muss als kompromittiert eingestuft werden. Eine sofortige Änderung ist die richtige erste Maßnahme, noch vor allen Arbeiten zur Wi-Fi 7-Einführung. Die Architektur erkennt korrekt, dass der Bestand an Legacy-Scannern ohne ein Firmware-Update oder einen Hardware-Austausch nicht auf WPA3 gezwungen werden kann, und plant um diese Einschränkung herum, anstatt sie zu ignorieren. Die Verwendung von filialspezifischen, eindeutigen Passwörtern – die zentral verwaltet werden – ist eine erhebliche Verbesserung gegenüber einem einzigen kettenweiten Passwort, da sie die Auswirkungen der Kompromittierung des Passworts einer einzelnen Filiale begrenzt. Die Entscheidung, OWE anstelle einer offenen SSID für das Kunden-WiFi zu verwenden, ist die richtige, DSGVO-konforme Wahl.

Übungsfragen

Q1. Ein Konferenzzentrum veranstaltet 50 Events pro Jahr, von kleinen Vorstandssitzungen bis hin zu Konferenzen mit 5.000 Delegierten. Das IT-Team des Veranstaltungsortes plant ein Wi-Fi 7-Upgrade. Bei einer Standortbegehung stellen sie fest, dass das digitale Beschilderungssystem des Veranstaltungsortes – 120 Bildschirme im gesamten Gebäude – integrierte WiFi-Adapter verwendet, die nur WPA2-Personal mit einer gemeinsamen Passphrase unterstützen. Der Beschilderungsanbieter hat erklärt, dass ein Firmware-Update zur Unterstützung von WPA3 „auf der Roadmap“ steht, es gibt jedoch keinen verbindlichen Liefertermin. Der IT-Leiter möchte im gesamten Gebäude ausschließlich WPA3 bereitstellen. Was ist der empfohlene Ansatz und welche Risiken müssen dokumentiert werden?

Hinweis: Berücksichtigen Sie die betrieblichen Auswirkungen eines Ausfalls des Beschilderungssystems, das Sicherheitsrisiko bei der Beibehaltung von WPA2 für das Beschilderungs-VLAN und den vertraglichen Hebel, der gegenüber dem Beschilderungsanbieter zur Verfügung steht.

Musterlösung anzeigen

Der empfohlene Ansatz besteht darin, eine dedizierte WPA2-Personal SSID auf dem 2,4-GHz-Band ausschließlich für das digitale Beschilderungssystem bereitzustellen, isoliert in einem eigenen VLAN mit Firewall-Regeln, die nur den für den Betrieb der Beschilderung erforderlichen spezifischen Datenverkehr zulassen. Alle anderen SSIDs sollten für WPA3 konfiguriert werden. Die zu dokumentierenden Risiken sind: (1) Das Beschilderungs-VLAN stellt ein dauerhaftes WPA2-Segment dar – implementieren Sie eine MAC-Adressen-Zulassungsliste und überwachen Sie auf unbefugte Verbindungen; (2) die gemeinsame Passphrase für das Beschilderungssystem sollte sofort geändert und zentral mit einem Rotationsplan verwaltet werden; (3) die Zusage des Anbieters bezüglich der Firmware-Roadmap sollte schriftlich mit einer vertraglichen Frist für die Bereitstellung der WPA3-Unterstützung formalisiert werden; (4) falls das Beschilderungssystem Daten verarbeitet, die in den Anwendungsbereich der GDPR oder PCI DSS fallen, muss dies bewertet und dokumentiert werden. Das Ziel des IT-Leiters, ausschließlich WPA3 zu nutzen, ist für alle anderen Netzwerksegmente erreichbar; das Beschilderungssystem stellt eine zeitlich begrenzte Ausnahme dar, die durch einen formalen Risikoakzeptanzprozess und einen dokumentierten Behebungszeitplan geregelt werden sollte.

Q2. Ein regionaler Krankenhausverbund führt Wi-Fi 7 an drei Krankenhausstandorten ein. Der CISO des Verbunds hat den WPA3-Enterprise 192-Bit-Modus für alle klinischen Netzwerke vorgeschrieben, die Patientendaten übertragen. Der Netzwerkarchitekt hat festgestellt, dass die vorhandene RADIUS-Infrastruktur des Verbunds (FreeRADIUS 3.0, vor sechs Jahren bereitgestellt) Suite-B-Verschlüsselungssammlungen möglicherweise nicht unterstützt. Der Projektzeitplan sieht vor, dass der erste Standort in acht Wochen live geht. Wie sollte der Architekt vorgehen?

Hinweis: Berücksichtigen Sie den Upgrade-Pfad der RADIUS-Infrastruktur, das Risiko einer Verzögerung des Go-Live und die Frage, ob ein phasenweiser Ansatz für den 192-Bit-Modus machbar ist.

Musterlösung anzeigen

Der Architekt sollte unverzüglich eine RADIUS-Leistungsbewertung durchführen, um zu bestätigen, ob die bestehende FreeRADIUS 3.0-Bereitstellung EAP-TLS mit Suite-B-Verschlüsselungssammlungen unterstützt. FreeRADIUS 3.0 bietet nur eingeschränkte Suite-B-Unterstützung; FreeRADIUS 3.2 und neuere Versionen bieten die volle Suite-B-Funktionalität. Wenn die bestehende Bereitstellung den 192-Bit-Modus nicht unterstützen kann, hat der Architekt zwei Optionen: (1) Upgrade von FreeRADIUS auf Version 3.2 oder neuer vor dem Go-Live-Termin – dies ist der bevorzugte Weg, sofern der achtwöchige Zeitplan dies zulässt; (2) Bereitstellung des WPA3-Enterprise-Standardmodus (128-Bit) für den ersten Go-Live, mit einem dokumentierten Plan zur Migration auf den 192-Bit-Modus nach dem RADIUS-Upgrade. Option 2 ist als Übergangsmaßnahme akzeptabel, da der WPA3-Enterprise-Standardmodus immer noch eine wesentlich stärkere Sicherheit als WPA2-Enterprise bietet. Die Risikoakzeptanz für Option 2 muss dokumentiert und vom CISO genehmigt werden, mit einem verbindlichen Zeitplan für die Migration auf den 192-Bit-Modus. Die PKI-Infrastruktur muss ebenfalls bewertet werden: Der 192-Bit-Modus erfordert ECDSA-Zertifikate mit P-384-Kurven, was möglicherweise neue Zertifikatsvorlagen und eine CA-Konfiguration erfordert.

Q3. Eine große Geschäftsbank führt eine PCI DSS v4.0-Konformitätsbewertung durch. Der QSA hat bemängelt, dass die WiFi-Netzwerke in den Filialen der Bank – die von Mitarbeitern mit Kundenkontakt für tabletbasierte Bankanwendungen genutzt werden – im WPA3-Übergangsmodus laufen, wobei sich WPA2-Clients weiterhin verbinden. Der QSA hat darauf hingewiesen, dass die Konfiguration des Übergangsmodus die Anforderung 4.2.1 nach starker Kryptographie möglicherweise nicht erfüllt. Das IT-Team der Bank argumentiert, dass WPA3 auf der SSID verfügbar ist und es sich bei den WPA2-Clients um Altsysteme handelt, die schrittweise abgeschafft werden. Wie sollte die Bank auf die Feststellung des QSA reagieren und welche Behebungsschritte sind erforderlich?

Hinweis: Konzentrieren Sie sich auf die spezifischen Bedenken des QSA bezüglich der Anforderung 4.2.1, die Definition von „starker Kryptographie“ in PCI DSS v4.0 und die praktischen Schritte zum Nachweis der Konformität.

Musterlösung anzeigen

Die Feststellung des QSA ist technisch korrekt. Der WPA3-Übergangsmodus ermöglicht es WPA2-Clients, sich mit derselben SSID zu verbinden, und jede WPA2-Verbindung auf dieser SSID unterliegt der AES-128-CCMP-Verschlüsselung von WPA2, nicht der GCMP-256-Verschlüsselung von WPA3. Die PCI DSS v4.0-Anforderung 4.2.1 verlangt den Einsatz starker Kryptographie zum Schutz von PAN bei der Übertragung über offene, öffentliche Netzwerke. Die Antwort der Bank sollte die Feststellung anerkennen und einen Behebungsplan mit drei Komponenten vorlegen: (1) Sofort: Identifizierung aller WPA2-Clients, die sich mit den Filial-WiFi-SSIDs im PCI DSS-Bereich verbinden. Dem QSA ist ein dokumentiertes Inventar und ein verbindlicher Zeitplan für deren Austausch oder Entfernung vorzulegen. (2) Kurzfristig (innerhalb von 90 Tagen): Migration aller WPA2-Clients auf WPA3-fähige Hardware oder deren Entfernung aus dem PCI DSS-Bereich durch Zuweisung zu einer separaten, isolierten SSID, die keine Karteninhaberdaten überträgt. (3) Mittelfristig: Umstellung aller SSIDs im PCI DSS-Bereich auf den strikten WPA3-Enterprise-Modus, wodurch der Übergangsmodus entfällt. Die Bank sollte außerdem nachweisen, dass die WPA2-Clients keine Karteninhaberdaten direkt verarbeiten – wenn die tabletbasierten Bankanwendungen die primären Geräte im PCI DSS-Bereich sind und diese alle WPA3-fähig sind, kann der QSA eine kompensierende Maßnahme akzeptieren, während die Behebung der Altsysteme abgeschlossen wird.

Weiterlesen in dieser Reihe

Wi-Fi 7 (802.11be) erklärt: Was sich für Enterprise-WiFi ändert

Dieser Leitfaden bietet eine definitive technische Referenz zu Wi-Fi 7 (IEEE 802.11be) für IT-Manager, Netzwerkarchitekten und CTOs, die für 2026–2027 eine Modernisierung ihrer Infrastruktur planen. Er behandelt die vier zentralen architektonischen Fortschritte – Multi-Link Operation (MLO), 320-MHz-Kanäle, 4K-QAM-Modulation und Multi-RU – mit einem klaren Vergleich zu Wi-Fi 6E, realen Bereitstellungsszenarien aus Hotellerie und Einzelhandel sowie einer ehrlichen Bewertung der erforderlichen Hardware- und Switching-Upgrades. Purple ist hardwareunabhängig und unterstützt jede Wi-Fi 7-Bereitstellung. Damit ist dieser Leitfaden der ideale Einstieg für Teams, die ihr Guest WiFi und ihren Analytics-Stack parallel zu einer AP-Modernisierung evaluieren.

Wi-Fi 6E vs Wi-Fi 7: Sollten Sie 6E überspringen und direkt auf 7 umsteigen?

Ein umfassender Entscheidungsleitfaden für IT-Leiter und Netzwerkarchitekten zur Bewertung eines Hardware-Refreshes im Jahr 2026. Er bietet einen technischen Vergleich von Wi-Fi 6E und Wi-Fi 7, eine aktuelle Preismatrix der Anbieter sowie praxisnahe Bereitstellungsempfehlungen für hochfrequentierte Standorte in den Bereichen Hotellerie, Einzelhandel und öffentlicher Sektor – und hilft Teams bei der Entscheidung, ob der Aufpreis für Wi-Fi 7 für ihre spezifischen betrieblichen Anforderungen gerechtfertigt ist.

Wi-Fi 7 for High-Density Venues: Stadiums, Conference Halls, and Terminals

This technical reference guide provides IT leaders and network architects with actionable strategies for deploying Wi-Fi 7 in high-density venues like stadiums and transit terminals. It explores how Multi-Link Operation (MLO), 4K-QAM, and under-seat AP design drastically improve capacity, reduce hardware requirements, and deliver measurable ROI.