Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich sowie WPA3-Unterstützung. Ein technisches Briefing von Purple. Einführung und Kontext. Willkommen zur technischen Briefing-Reihe von Purple. Ich werde Sie durch eines der praktisch wichtigsten – und am häufigsten missverstandenen – Themen im Bereich Enterprise-WiFi führen: gerätespezifische Pre-Shared Keys (Per-Device PSK). Konkret werden wir vergleichen, wie die einzelnen großen Anbieter diese Funktion implementieren, wie sie sie nennen, wie sie unter der Haube tatsächlich funktioniert und – ganz entscheidend – was passiert, wenn Sie versuchen, auf WPA3 umzustellen. Wenn Sie IT-Manager, Netzwerkarchitekt oder Betriebsleiter für Veranstaltungsorte sind und WiFi in einem Hotelkomplex, einer Einzelhandelskette, einem Stadion oder auf einem Campus im öffentlichen Sektor betreiben, ist dieses Briefing genau das Richtige für Sie. Sie haben wahrscheinlich schon von dem Buchstabensalat gehört: iPSK, DPSK, MPSK, PPSK. Sie alle beziehen sich auf dasselbe Konzept – jedem Gerät oder Benutzer ein eigenes, eindeutiges Passwort auf einer einzigen SSID zuzuweisen –, aber die Implementierungen unterscheiden sich erheblich, und diese Unterschiede spielen eine Rolle, wenn Sie Ihre nächste Infrastruktur-Modernisierung planen. Letst start mit den Grundlagen, gehen wir dann die einzelnen Anbieter durch und schließen wir mit der WPA3-Frage ab, mit der sich derzeit alle beschäftigen. Technischer Deep-Dive. Was also ist Per-Device PSK und warum gibt es das? Das herkömmliche WPA2-Personal verwendet eine einzige gemeinsame Passphrase für eine gesamte SSID. Jeder in Ihrem Gästenetzwerk verwendet dasselbe Passwort. Das führt zu zwei Problemen. Erstens können Sie den Zugriff für ein einzelnes Gerät nicht sperren, ohne das Passwort für alle anderen zu ändern. Zweitens haben Sie keine Transparenz oder Richtliniendurchsetzung pro Gerät. Per-Device PSK löst beide Probleme. Jedes Gerät oder jeder Benutzer erhält eigene Anmeldedaten. Sie können einen Schlüssel sperren, ohne die anderen zu beeinträchtigen. Sie können pro Schlüssel unterschiedliche VLANs, Bandbreitenrichtlinien oder Zugriffszeitpläne zuweisen. Es ist der Mittelweg zwischen der Einfachheit von WPA2-Personal und der Komplexität einer vollständigen 802.1X-Enterprise-Authentifizierung. Sehen wir uns nun an, wie die einzelnen Anbieter dies implementieren. Cisco Meraki nennt es iPSK – Identity Pre-Shared Key. Meraki unterstützt zwei Modi. Ohne RADIUS konfigurieren Sie bis zu fünf eindeutige PSKs direkt im Meraki-Dashboard, die jeweils einem VLAN zugeordnet sind. Das ist schnell eingerichtet und erfordert keine externe Infrastruktur. Mit RADIUS – in der Regel Cisco ISE – können Sie auf Tausende von Schlüsseln skalieren. Der Client stellt eine Verbindung her, der AP sendet die MAC-Adresse und einen PSK-Hinweis an den RADIUS-Server, der Server gibt den korrekten gerätespezifischen Schlüssel zurück, und der standardmäßige WPA2-Vier-Wege-Handshake wird mit diesem Schlüssel als Pairwise Master Key abgeschlossen. Die entscheidende Erkenntnis hierbei ist, dass der RADIUS-Server die Suche durchführt, nicht der AP. Der AP erleichtert lediglich den Austausch. HPE Aruba nennt es MPSK – Multiple Pre-Shared Key. Aruba Central und Aruba Instant unterstützen MPSK in zwei Modi: MPSK Local, bei dem die Schlüssel auf dem Controller oder AP-Cluster gespeichert werden, und MPSK mit ClearPass, der RADIUS- und Richtlinien-Engine von Aruba. ClearPass kann Zehntausende von Schlüsseln speichern, dynamische VLANs zuweisen und rollenbasierte Richtlinien pro Schlüssel anwenden. Der Authentifizierungsfluss ist im Wesentlichen derselbe wie im RADIUS-Modus von Meraki – eine MAC-basierte Suche gibt den gerätespezifischen Schlüssel vor dem Vier-Wege-Handshake zurück. Ruckus – heute Teil von CommScope – nennt es DPSK, Dynamic Pre-Shared Key. Dies ist wohl die ausgereifteste Implementierung auf dem Markt. Ruckus DPSK ist seit den Anfängen von SmartZone verfügbar. Im lokalen Modus läuft der DPSK-Dienst auf dem Controller und verwaltet die Schlüsseldatenbank. Im RADIUS-Modus lässt er sich in Cloudpath integrieren, die eigene Netzwerkzugriffskontrollplattform von Ruckus. Was Ruckus besonders auszeichnet, ist DPSK3 – ihre WPA3-Erweiterung von DPSK, auf die wir gleich noch zurückkommen werden. DPSK3 ist auf Wi-Fi 6-, 6E- und 7-Access-Points mit der Firmware-Version 7.0 oder höher verfügbar und läuft im WPA2/WPA3-Mixed-Mode. Juniper Mist nennt es PPSK – Private Pre-Shared Key – oder manchmal Multi-PSK. Mist speichert Schlüssel in der Cloud, in der Mist-Organisations- oder Standort-Schlüsseldatenbank, mit einem Limit von 5.000 Schlüsseln pro Standort. Schlüssel können pro Benutzer, pro Gerät oder pro Gruppe zugewiesen werden. Mist lässt sich auch in seinen Access Assurance-Dienst integrar – die Cloud-native NAC –, was eine RADIUS-basierte PSK-Suche hinzufügt. Entscheidend ist, dass Juniper die Unterstützung von WPA3-RADIUS-PSK über Access Assurance angekündigt hat, sodass eine einzige WPA3-Personal-SSID mehrere Passphrasen bedienen kann. Dies ist eine der zukunftsorientierteren Implementierungen auf dem Markt. Extreme Networks – das Aerohive übernommen hat – nennt es PPSK, Private Pre-Shared Key, über ExtremeCloud IQ. Die Implementierung von Extreme unterstützt die lokale Speicherung von Schlüsseln auf dem AP selbst, was für Filialen oder Remote-Standorte mit eingeschränkter Konnektivität nützlich ist. Sie unterstützt auch die RADIUS-basierte Suche über den Cloud-RADIUS-Dienst von ExtremeCloud IQ. Eine MAC-Bindung ist verfügbar, die einen PPSK für zusätzliche Sicherheit an eine bestimmte Geräte-MAC-Adresse koppelt. Fortinet nennt es MPSK, Multiple Pre-Shared Key, verwaltet über FortiAP und den drahtlosen FortiGate-Controller. Die Implementierung von Fortinet ist bemerkenswert, da sie in ihren MPSK-Profilen explizit die Sicherheitsmodi WPA3-SAE und WPA3-SAE-Transition unterstützt – ab der FortiAP-Firmware 8.0. Sie können ein MPSK-Profil mit WPA3-SAE-Schlüsseln erstellen, diese einer VAP zuweisen und eine dynamische VLAN-Zuweisung pro Schlüssel aktivieren. Dies ist eine der saubereren WPA3-MPSK-Implementierungen, die heute verfügbar sind. Ubiquiti UniFi nennt es Private Pre-Shared Keys oder Private PSK. Die Implementierung von UniFi ist nur lokal – die Schlüssel werden im UniFi Network Controller gespeichert, nicht auf einem externen RADIUS-Server. Sie können pro Schlüssel unterschiedliche VLANs zuweisen und Client-Limits pro Schlüssel festlegen. Die wesentliche Einschränkung: Ab Mitte 2026 funktioniert UniFi Private PSK nur in WPA2-Netzwerken auf 2,4 GHz und 5 GHz. WPA3 und 6 GHz werden nicht unterstützt. Für kleinere Bereitstellungen ist das in Ordnung, aber es ist eine Einschränkung, die man kennen sollte, bevor man sich für eine größere UniFi-Infrastruktur entscheidet. Nun zur WPA3-Frage. Hier wird es technisch interessant. WPA2-Personal verwendet einen Vier-Wege-Handshake. Der Client und der AP leiten einen Pairwise Transient Key von einem gemeinsamen Pairwise Master Key ab, der wiederum von der Passphrase abgeleitet wird. Da die PMK-Ableitung nach der RADIUS-Suche erfolgt, kann der AP an dieser Stelle einen gerätespezifischen Schlüssel einsetzen. Dem Standard ist das egal – er sieht einfach einen gültigen PMK. WPA3-Personal ersetzt den Vier-Wege-Handshake durch SAE – Simultaneous Authentication of Equals. SAE ist ein Diffie-Hellman-basiertes Protokoll. Beide Seiten einigen sich auf ein gemeinsames Passwortelement, das von der Passphrase abgeleitet wird, bevor die Zuordnung abgeschlossen wird. Der entscheidende Unterschied: Das Passwort muss beiden Seiten bekannt sein, bevor der SAE-Austausch beginnt. Es gibt im Protokoll keinen Punkt, an dem ein RADIUS-Server einen anderen Schlüssel pro Gerät einspeisen kann. Der AP und der Client führen bereits einen kryptografischen Austausch mit einem einzigen gemeinsamen Wert durch. Aus diesem Grund erlaubt WPA3 in seiner Standardform derzeit nur einen Schlüssel pro SSID. Dies ist keine Einschränkung der Firmware, sondern eine Einschränkung des Protokolls. Die Übergangslösungen lassen sich in drei Kategorien einteilen. Erstens der WPA3-Übergangsmodus – auch WPA2/WPA3-Mixed-Mode genannt. Die SSID signalisiert sowohl WPA2-PSK als auch WPA3-SAE. WPA2-Clients nutzen den Vier-Wege-Handshake und können gerätespezifische Schlüssel über RADIUS erhalten. WPA3-Clients nutzen SAE mit einem einzigen gemeinsamen Passwort. Dies ist der heute am weitesten verbreitete Ansatz und wird unter anderem von Cisco Meraki, HPE Aruba und Ruckus unterstützt. Zweitens proprietäre Erweiterungen. Ruckus DPSK3 is das deutlichste Beispiel. Durch den Betrieb im WPA2/WPA3-Mixed-Mode mit Cloudpath als RADIUS-Backend ermöglicht DPSK3 WPA3-fähigen Geräten die Nutzung von SAE, während das System die gerätespezifische Schlüsselbindung über die Cloudpath-Integration verwaltet. Der WPA3-RADIUS-PSK-Ansatz von Juniper Access Assurance verfolgt einen ähnlichen Ansatz. Mit dem MPSK von Fortinet mit WPA3-SAE-Übergangsmodus können Sie WPA2-Personal- und WPA3-SAE-Schlüssel im selben MPSK-Profil mischen. Drittens der Wechsel zu 802.1X. Für verwaltete Endpunkte – Laptops von Unternehmen, Geräte von Mitarbeitern, alles, worauf Sie ein Zertifikat übertragen können – ist WPA3-Enterprise mit EAP-TLS die sauberste Lösung. Es ist vollständig kompatibel mit WPA3 und 6 GHz, bietet eine gerätespezifische Identität und lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren. Der Kompromiss liegt in der Komplexität der Bereitstellung und der Notwendigkeit einer Zertifikatsinfrastruktur. Empfehlungen für die Implementierung und Fallstricke. Was sollten Sie also konkret tun? Wenn Sie einen Hotelkomplex mit einer Mischung aus Gästegeräten, IoT-Sensoren und Mitarbeitergeräten betreiben, ist die pragmatische Antwort im Jahr 2026 ein hybrides SSID-Design. Behalten Sie eine WPA2-Personal-SSID mit Per-Device PSK für ältere IoT- und Gästegeräte bei. Betreiben Sie eine WPA3-Enterprise-SSID für von Ihnen kontrollierte Mitarbeitergeräte. Verwenden Sie den Übergangsmodus auf Ihrer primären Gäste-SSID, um sowohl WPA2- als auch WPA3-Clients zu unterstützen, ohne die Anzahl Ihrer SSIDs unnötig zu erhöhen. Wenn Sie Ruckus nutzen und Wi-Fi 6 oder neuere Hardware betreiben, ist DPSK3 im WPA2/WPA3-Mixed-Mode mit Cloudpath eine Evaluierung wert. Es bietet Ihnen die am ehesten mit nativem WPA3-Per-Device-PSK vergleichbare Lösung, die heute verfügbar ist. Wenn Sie Fortinet nutzen, ist das MPSK-Profil mit WPA3-SAE-Transition einfach zu konfigurieren und bietet Ihnen einen sauberen Migrationspfad. Wenn Sie UniFi nutzen, weisen Sie Ihre Stakeholder ausdrücklich darauf hin, dass Private PSK nur für WPA2 verfügbar ist. Für Veranstaltungsorte, die Wi-Fi 6E oder Wi-Fi 7 mit 6-GHz-Funkmodulen bereitstellen, benötigen Sie eine andere Authentifizierungsstrategie für dieses Band. Der größte Fallstrick, den wir beobachten, ist die Annahme von Teams, dass die Aktivierung von WPA3 auf einer bestehenden Per-Device-PSK-SSID einfach so funktioniert. Das tut es nicht. Testen Sie dies zuerst an einem Pilotstandort. Überprüfen Sie Ihre AP-Firmware-Versionen – DPSK3 erfordert beispielsweise die Firmware 7.0 oder höher auf Ruckus. Und überprüfen Sie die Kompatibilität Ihres RADIUS-Servers – Ruckus DPSK3 im Mixed-Mode erfordert speziell Cloudpath, keinen generischen RADIUS-Server. Ein zweiter Fallstrick ist der unkontrollierte Zuwachs an Schlüsseln (Key Sprawl). Per-Device PSK eignet sich hervorragend für die Nachverfolgbarkeit, aber nur, wenn Sie über einen Prozess zur Sperrung von Schlüsseln verfügen, wenn Geräte außer Betrieb genommen werden. Ohne Lifecycle-Management haben Sie am Ende Tausende von verwaisten Schlüsseln und keinen Audit-Trail. Integrieren Sie Ihre Schlüsselbereitstellung vom ersten Tag an in Ihren Geräteverwaltungs-Workflow. Schnelle Fragen und Antworten. Kann ich Per-Device PSK auf einer 6-GHz-SSID verwenden? Nein. 6 GHz schreibt ausschließlich WPA3 vor, und WPA3 unterstützt Per-Device PSK nicht nativ. Verwenden Sie 802.1X oder eine separate 2,4/5-GHz-SSID für Geräte, die Per-Device PSK benötigen. Erfüllt Per-Device PSK die PCI-DSS-Anforderungen? Per-Device PSK auf WPA2 kann die Anforderungen an die Netzwerksegmentierung gemäß PCI DSS 4.0 erfüllen, wenn jeder Schlüssel einem isolierten VLAN zugeordnet ist. PCI DSS empfiehlt jedoch dringend 802.1X für Karteninhaber-Datenumgebungen. Wenden Sie sich an Ihren QSA. Wie hoch ist die maximale Anzahl von Schlüsseln pro SSID? Das variiert erheblich. Cisco Meraki mit ISE unterstützt sehr große Bereitstellungen. Ruckus DPSK unterstützt Zehntausende von Schlüsseln. Juniper Mist ist auf 5.000 pro Standort begrenzt. UniFi ist praktisch durch den Speicher des Controllers begrenzt. Überprüfen Sie immer die Dokumentation des Anbieters für Ihre spezifische Firmware-Version. Wie fügt sich Purple hier ein? Purple fungiert als Cloud-Overlay auf Ihrer vorhandenen Hardware. Wir integrieren uns in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Bei Bereitstellungen von Gäste-WiFi und Mitarbeiter-WiFi übernimmt Purple die Identitätsebene – Authentifizierung, Datenerfassung, Einwilligungsmanagement – und gibt die entsprechende VLAN- oder Richtlinienzuweisung über RADIUS oder API an Ihre Hardware zurück. Sie behalten Ihre bestehende Per-Device-PSK-Infrastruktur; Purple fügt die Identitäts- und Analyseebene darüber hinzu. Zusammenfassung und nächste Schritte. Fassen wir das zusammen. Per-Device PSK – ob Sie es nun iPSK, DPSK, MPSK oder PPSK nennen – ist eine ausgereifte, gut unterstützte Funktion bei allen großen Enterprise-WiFi-Anbietern. Die Implementierungen unterscheiden sich darin, wo die Schlüssel gespeichert werden, wie sie skalieren und wie sie sich in RADIUS integrieren lassen. Das SAE-Protokoll von WPA3 stellt eine echte technische Einschränkung für Per-Device PSK dar. Der Standard unterstützt dies nicht nativ. Die praktischen Antworten heute sind der Übergangsmodus, proprietäre Erweiterungen wie DPSK3 oder der Wechsel zu 802.1X für Geräte, die dies unterstützen. Die Zusammenfassung nach Anbietern: Cisco Meraki iPSK funktioniert gut mit ISE im RADIUS-Modus; die WPA3-Unterstützung erfolgt über den Übergangsmodus. HPE Aruba MPSK mit ClearPass ist hochgradig skalierbar; WPA3-MPSK befindet sich in der aktiven Entwicklung. Ruckus DPSK3 ist die ausgereifteste WPA3-Per-Device-PSK-Lösung auf dem Markt. Juniper Mist Access Assurance fügt WPA3-RADIUS-PSK hinzu. Fortinet MPSK unterstützt WPA3-SAE explizit in seinen MPSK-Profilen. Extreme PPSK ist solide für den lokalen und den RADIUS-Modus. UniFi Private PSK ist nur für WPA2 und nur lokal verfügbar. Für Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Per-Device-PSK-Bereitstellung, identifizieren Sie, welche Geräte WPA3-fähig sind, und entwerfen Sie eine hybride SSID-Strategie, die beide bedient. Wenn Sie eine Hardware-Modernisierung planen, priorisieren Sie Wi-Fi 6- oder Wi-Fi 7-APs mit bestätigter DPSK3- oder WPA3-MPSK-Unterstützung. Wenn Sie verstehen möchten, wie sich Purple in Ihren spezifischen Hardware-Anbieter integrieren lässt, um eine Identitätsverwaltung und Analysen auf Ihre Per-Device-PSK-Bereitstellung aufzusetzen, besuchen Sie purple.ai oder sprechen Sie mit Ihrem Account-Team. Das war's mit diesem Briefing. Vielen Dank fürs Zuhören.