Was ist WiFi-Sicherheit? Ein umfassender Leitfaden zur drahtlosen Netzwerksicherheit

Eine umfassende technische Referenz für IT-Leiter zur Absicherung von drahtlosen Unternehmensnetzwerken. Dieser Leitfaden behandelt die Entwicklung von Verschlüsselungsprotokollen, Best Practices für die Segmentierung der Netzwerkarchitektur und Abwehrstrategien gegen gängige WiFi-Bedrohungen.

📖 5 Min. Lesezeit📝 1,243 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Moderator, und heute befassen wir uns mit einem entscheidenden Thema für jeden erfahrenen IT-Spezialisten, der Netzwerke an Veranstaltungsorten verwaltet: WiFi-Sicherheit. Dies ist ein umfassender Leitfaden zur Absicherung drahtloser Netzwerke in Unternehmensumgebungen – ganz gleich, ob Sie ein Stadion, eine Einzelhandelskette, ein Krankenhaus oder einen Unternehmenscampus betreuen.

Beginnen wir mit dem Kontext. Warum sprechen wir gerade jetzt darüber? Weil noch nie so viel auf dem Spiel stand. Ein kompromittiertes Gästenetzwerk ist nicht mehr nur ein IT-Problem, sondern eine direkte Bedrohung für den Ruf Ihrer Marke, das Kundenvertrauen und die Einhaltung gesetzlicher Vorschriften, insbesondere bei Rahmenwerken wie GDPR und PCI DSS. Die Zeiten, in denen ein einfacher Pre-Shared Key ausreichte, sind vorbei. Heute benötigen wir robuste, skalierbare und segmentierte Sicherheitsarchitekturen.

Tauchen wir also tief in die technischen Details ein. 

Zunächst müssen wir die Entwicklung der WiFi-Sicherheitsprotokolle verstehen. Wenn Sie schon länger in der Branche tätig sind, erinnern Sie sich an WEP – Wired Equivalent Privacy. Es wurde 1997 eingeführt, nutzte die RC4-Verschlüsselung und war bekanntermaßen leicht zu knacken. Heute ist es völlig veraltet. Wenn Sie WEP in Ihrem Netzwerk finden, haben Sie eine kritische Schwachstelle.

Danach folgten WPA und WPA2. Das 2004 eingeführte WPA2 wurde zum Standard für Unternehmen und nutzte die AES-Verschlüsselung. Es war lange Zeit zuverlässig, ist jedoch anfällig für Offline-Wörterbuchangriffe, insbesondere für die vor einigen Jahren entdeckte KRACK-Schwachstelle.

Das bringt uns zum aktuellen Standard: WPA3. Das 2018 eingeführte WPA3 ersetzt den Pre-Shared Key-Austausch durch Simultaneous Authentication of Equals (SAE). Dies bietet Forward Secrecy und schützt vor diesen Offline-Wörterbuchangriffen, selbst wenn Benutzer schwache Passwörter wählen. Für den Einsatz in Unternehmen bietet WPA3-Enterprise eine 192-Bit-Verschlüsselungsstärke. Wenn Sie heute neue Hardware implementieren, ist WPA3 unverzichtbar.

Aber Protokolle sind nur die Grundlage. Lassen Sie uns über die Architektur sprechen. Die goldene Regel für die WiFi-Sicherheit in Unternehmen lautet Segmentierung. Ihr Gästenetzwerk, Ihr Unternehmensnetzwerk, Ihre IoT-Geräte und Ihre Point-of-Sale-Systeme müssen in separaten VLANs liegen. 

Für den Gastzugang ist ein robustes Captive Portal unerlässlich. Hier zeichnet sich Purple aus. Ein Captive Portal dient nicht nur der Akzeptanz von Nutzungsbedingungen; es ist das Gateway zur Authentifizierung von Benutzern, zur Verwaltung der Bandbreite und zur Gewährleistung, dass der Gästedatenverkehr von Ihrer Kerninfrastruktur isoliert ist. Wenn sich ein Gast über eine Splash-Page anmeldet, sollte sein Datenverkehr direkt ins Internet geleitet werden und die internen Subnetze vollständig umgehen.

Für Unternehmensbenutzer sollten Sie eine 802.1X-Authentifizierung über einen RADIUS-Server implementieren. Dadurch wird der Netzwerkzugriff direkt mit Ihren Verzeichnisdiensten wie Active Directory oder Okta verknüpft, sodass sich nur autorisierte Geräte und Benutzer verbinden können.

Werfen wir nun einen Blick auf die Bedrohungslandschaft. Welches sind die häufigsten Angriffe, vor denen Sie sich schützen müssen?

Nummer eins: Der Evil-Twin-Angriff. Hierbei richtet ein Angreifer einen betrügerischen Access Point mit derselben SSID wie Ihr legitimes Netzwerk ein. Ahnungslose Benutzer verbinden sich damit, und der Angreifer kann ihren Datenverkehr abfangen. Um dies zu verhindern, benötigen Sie Wireless Intrusion Prevention Systeme (WIPS), die betrügerische APs erkennen und neutralisieren können.

Nummer zwei: Man-in-the-Middle-Angriffe. Wenn der Datenverkehr nicht verschlüsselt ist, kann ein Angreifer im selben Netzwerk sensible Daten abfangen. Aus diesem Grund sind End-to-End-Verschlüsselung wie HTTPS und eine starke Netzwerkverschlüsselung wie WPA3 von entscheidender Bedeutung.

Nummer drei: Credential Harvesting. Angreifer können gefälschte Captive Portals erstellen, um Benutzeranmeldedaten zu stehlen. Die Implementierung sicherer Authentifizierungsmechanismen und die Aufklärung der Benutzer sind hierbei die wichtigsten Abwehrmassnahmen.

Kommen wir nun zu den Empfehlungen für die Implementierung und den häufigen Fehlern.

Ein häufiger Fehler ist die Überdimensionierung von Gastnetzwerken. Sie möchten nicht, dass Gäste Ihre gesamte Bandbreite verbrauchen oder auf interne Ressourcen zugreifen. Implementieren Sie strikte Ratenbegrenzungen und Client-Isolierung. Die Client-Isolierung stellt sicher, dass Geräte im Gastnetzwerk nicht untereinander kommunizieren können, was das Risiko einer lateralen Bewegung verringert, falls ein Gerät kompromittiert wird.

Eine weitere Empfehlung ist die Nutzung von Passpoint oder Hotspot 2.0. Diese Technologie ermöglicht ein nahtloses, sicheres Roaming zwischen Mobilfunk- und WiFi-Netzwerken. Purple fungiert als kostenloser Identitätsanbieter für Dienste wie OpenRoaming im Rahmen der Connect-Lizenz, sodass sich Benutzer automatisch und sicher authentifizieren können, ohne sich wiederholt bei Captive Portals anmelden zu müssen.

Lassen Sie uns eine schnelle Fragerunde basierend auf häufigen Fragen von CTOs durchführen.

Frage 1: Ist öffentliches WiFi sicher?
Antwort: Von Natur aus nein. Offene Netzwerke übertragen Daten unverschlüsselt. Mit Technologien wie Opportunistic Wireless Encryption (OWE), die Teil von WPA3 ist, können wir den Datenverkehr jedoch selbst in offenen Netzwerken verschlüsseln, was die Sicherheit erheblich verbessert. Für echte Sicherheit sollten Benutzer jedoch immer ein VPN verwenden, und die Betreiber von Standorten müssen eine Client-Isolierung implementieren.

Frage 2: Wie oft sollten wir unsere Pre-Shared Keys rotieren?
Antwort: Wenn Sie PSKs verwenden, sollten Sie diese regelmässig rotieren, insbesondere nach einem Personalwechsel. Idealerweise sollten Sie sich jedoch ganz von gemeinsam genutzten Schlüsseln verabschieden und 802.1X für den Unternehmenszugriff sowie eine sichere, individuelle Authentifizierung für Gäste implementieren.

Zusammenfassend lässt sich sagen, dass WiFi-Sicherheit eine vielschichtige Herausforderung ist. Sie erfordert starke Verschlüsselungsprotokolle wie WPA3, eine robuste architektonische Segmentierung mittels VLANs und eine aktive Bedrohungsüberwachung mit WIPS. Durch die Implementierung dieser Strategien schützen Sie Ihre Infrastruktur, gewährleisten die Einhaltung von Vorschriften (einschliesslich der GDPR) und bieten Ihren Benutzern ein sicheres, zuverlässiges Erlebnis.

Vielen Dank für Ihre Teilnahme an diesem Purple Technical Briefing. Sichern Sie Ihre Netzwerke, und bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓WiFi-Sicherheit erfordert einen Defense-in-Depth-Ansatz, der über eine einfache Verschlüsselung hinausgeht und auf eine robuste architektonische Segmentierung setzt.
✓WPA3 ist der aktuelle verbindliche Standard und ersetzt den anfälligen PSK-Austausch durch den sicheren SAE-Handshake.
✓Eine strikte VLAN-Segmentierung ist entscheidend: Gäste-, Unternehmens- und IoT-Datenverkehr müssen logisch voneinander getrennt werden.
✓Der Unternehmenszugriff sollte eine 802.1X-Authentifizierung nutzen, während der Gästezugang sichere Captive Portals mit Client-Isolierung erfordert.
✓Setzen Sie Wireless Intrusion Prevention Systems (WIPS) ein, um Rogue APs und Evil-Twin-Angriffe aktiv zu erkennen und zu neutralisieren.
✓Nutzen Sie Technologien wie Passpoint und OpenRoaming (unterstützt von Purple) für eine sichere, nahtlose Gäste-Konnektivität.
✓Ein kompromittiertes Netzwerk gefährdet die Compliance (PCI DSS, GDPR) und den Ruf der Marke; Sicherheit ist ein geschäftliches Erfordernis, nicht nur ein IT-Thema.

Management Summary

Für moderne Unternehmen – ob sie nun eine globale Einzelhandelskette, einen standortübergreifenden Gesundheitsdienstleister oder ein Stadion mit hoher Kapazität betreiben – ist WiFi kein bloßer Service mehr, sondern eine geschäftskritische Infrastruktur. Mit der zunehmenden Abhängigkeit von drahtlosen Netzwerken vergrößert sich jedoch auch die Angriffsfläche. Ein kompromittiertes drahtloses Netzwerk setzt das Unternehmen Datenpannen, Compliance-Verstößen (wie PCI DSS und GDPR) und schweren Reputationsschäden aus.

Dieser umfassende technische Leitfaden befasst sich mit den Grundlagen der WiFi-Sicherheit, der Entwicklung von Verschlüsselungsstandards, gängigen Bedrohungsvektoren und architektonischen Best Practices zur Absicherung drahtloser Unternehmensumgebungen. Wir untersuchen, wie Sie eine robuste Segmentierung einrichten, starke Authentifizierungsmechanismen implementieren und Plattformen wie Guest WiFi nutzen können, um ein sicheres, konformes und leistungsstarkes Netzwerk aufzubauen, während Sie gleichzeitig über WiFi Analytics verwertbare Business Intelligence gewinnen.

Technische Vertiefung: Die Evolution der WiFi-Sicherheitsprotokolle

Um den aktuellen Stand der WiFi-Sicherheit zu verstehen, ist ein kurzer Blick auf die Geschichte erforderlich. Die Weiterentwicklung der Sicherheitsprotokolle spiegelt ein ständiges Wettrüsten zwischen Netzwerktechnikern und böswilligen Akteuren wider.

WEP (Wired Equivalent Privacy)

WEP wurde 1997 eingeführt und war der ursprüngliche Sicherheitsstandard nach 802.11. Es nutzte die RC4-Stromverschlüsselung für die Vertraulichkeit und CRC-32 für die Integrität. Kryptografische Mängel bei der Implementierung machten es jedoch extrem einfach, WEP mit frei verfügbaren Tools zu knacken. WEP ist völlig veraltet, und sein Vorhandensein in einem modernen Netzwerk stellt eine kritische Sicherheitslücke dar.

WPA (Wi-Fi Protected Access)

WPA wurde 2003 als Übergangslösung für die Schwachstellen von WEP eingeführt und implementierte das Temporal Key Integrity Protocol (TKIP). Obwohl es die Sicherheit durch dynamisch wechselnde Schlüssel verbesserte, basierte es immer noch auf der anfälligen RC4-Chiffre und wurde schließlich ebenfalls geknackt.

WPA2

WPA2 wurde 2004 verabschiedet und war über ein Jahrzehnt lang der Standard für Unternehmen. Es führte den Advanced Encryption Standard (AES) ein, der im Counter Mode Cipher Block Chaining Message Authentication Code Protocol (CCMP) arbeitet. WPA2 bot robuste Sicherheit, erwies sich jedoch schließlich als anfällig für Offline-Wörterbuchangriffe auf den Vier-Wege-Handshake, insbesondere durch die 2017 entdeckte Schwachstelle KRACK (Key Reinstallation Attacks).

WPA3: Der aktuelle Standard

WPA3 wurde 2018 eingeführt, behebt die Schwachstellen von WPA2 und ist der verbindliche Standard für alle neuen Wi-Fi CERTIFIED-Geräte.

Wichtigste Verbesserungen in WPA3:

Simultaneous Authentication of Equals (SAE): Ersetzt den Austausch des Pre-Shared Key (PSK). SAE ist ein sicheres Protokoll zur Schlüsseletablierung, das Perfect Forward Secrecy bietet und extrem resistent gegen Offline-Wörterbuchangriffe ist. Selbst wenn ein Benutzer ein schwaches Passwort wählt, kann der Handshake nicht offline geknackt werden.
WPA3-Enterprise: Bietet einen optionalen Modus mit einer kryptografischen Stärke von 192-Bit unter Verwendung von Suite-B-Kryptografie (z. B. ECDSA mit einer 384-Bit-Kurve und HMAC-SHA384). Dies ist entscheidend für hochsensible Umgebungen wie Regierungs- oder Finanzinstitute.
Opportunistic Wireless Encryption (OWE): Beantwortet die Frage „Ist öffentliches WiFi sicher?“. OWE, vermarktet als Wi-Fi Enhanced Open, bietet eine individuelle Datenverschlüsselung in offenen Netzwerken ohne Benutzerauthentifizierung und verhindert so passives Mitlesen.

Häufige WiFi-Sicherheitsbedrohungen

Unternehmensnetzwerke sind einer Vielzahl hochentwickelter Bedrohungen ausgesetzt. Das Verständnis dieser Angriffsvektoren ist entscheidend für die Implementierung wirksamer Gegenmaßnahmen.

Rogue Access Points & Evil Twins: Ein Angreifer verbindet einen nicht autorisierten AP mit dem Unternehmensnetzwerk (Rogue AP) oder strahlt eine legitim wirkende SSID aus, um Benutzer zum Verbinden zu verleiten (Evil Twin). Dies ermöglicht das Abfangen von Datenverkehr und den Diebstahl von Zugangsdaten.
Man-in-the-Middle-Angriffe (MitM): Angreifer positionieren sich zwischen dem Client und dem AP, um unverschlüsselten Datenverkehr abzufangen, mitzulesen oder zu verändern.
Deauthentifizierungs-Angriffe: Angreifer senden gefälschte Deauthentifizierungs-Frames, um die Verbindung eines Clients zum AP zu trennen. Dies ist oft die Vorstufe zu einem Evil-Twin-Angriff, bei dem der Client gezwungen wird, sich mit dem AP des Angreifers neu zu verbinden.
Credential Harvesting (Diebstahl von Zugangsdaten): Angreifer stellen gefälschte Captive Portals bereit, die die legitime Splash-Page imitieren, um Benutzer zur Eingabe von Unternehmens-Zugangsdaten oder persönlichen Informationen zu verleiten.

Implementierungsleitfaden: Best Practices für die Architektur

Die Absicherung eines drahtlosen Unternehmensnetzwerks erfordert einen Defense-in-Depth-Ansatz, der über die einfache Verschlüsselung hinausgeht und eine robuste architektonische Segmentierung sowie Zugriffskontrolle umfasst.

1. Netzwerksegmentierung und VLANs

Das grundlegende Prinzip der Netzwerksicherheit ist die Isolierung. Gast-Datenverkehr, Unternehmens-Datenverkehr, IoT-Geräte und Point-of-Sale-Systeme (PoS) müssen sich auf logisch getrennten Virtual Local Area Networks (VLANs) befinden.

Gast-VLAN: Muss strikt von internen Subnetzen isoliert sein. Der Datenverkehr sollte direkt zur Internet-Firewall geleitet werden.
IoT-VLAN: IoT-Geräte weisen oft eine schwache Sicherheitsstruktur auf. Isolieren Sie diese, um im Falle einer Kompromittierung eine laterale Bewegung im Netzwerk zu verhindern.

2. Robuste Authentifizierungsmechanismen

Unternehmenszugang (802.1X): Verwenden Sie niemals Pre-Shared Keys für den Unternehmenszugang. Implementieren Sie eine 802.1X-Authentifizierung, die durch einen RADIUS-Server gestützt wird und in Verzeichnisdienste (z. B. Active Directory) integriert ist. Dadurch wird sichergestellt, dass der Netzwerkzugriff an individuelle Benutzeridentitäten und Gerätezertifikate gebunden ist.
Gastzugang (Captive Portals): Implementieren Sie ein sicheres Captive Portal für das Onboarding von Gästen. Eine robuste Plattform wie Purple übernimmt nicht nur die Akzeptanz von Nutzungsbedingungen, sondern ermöglicht auch eine sichere Authentifizierung über Social Logins oder SMS, was die Rückverfolgbarkeit gewährleistet. Beispiele für effektive Implementierungen finden Sie unter The 10 Best WiFi Splash Page Examples (And What Makes Them Work) oder dem französischen Äquivalent Les 10 meilleurs exemples de pages de démarrage WiFi (et ce qui les rend efficaces) .

3. Client-Isolierung implementieren

Aktivieren Sie für Gastnetzwerke die Client-Isolierung (auch bekannt als AP-Isolierung). Dies verhindert, dass Geräte, die mit demselben AP oder VLAN verbunden sind, direkt miteinander kommunizieren, wodurch das Risiko von Peer-to-Peer-Angriffen im öffentlichen Netzwerk verringert wird.

Best Practices & Industriestandards

Wireless Intrusion Prevention Systems (WIPS): Setzen Sie WIPS ein, um das HF-Spektrum kontinuierlich auf Rogue APs, Evil Twins und anormales Verhalten zu überwachen. Ein robustes WIPS kann Bedrohungen automatisch eindämmen, indem es Deauthentifizierungs-Frames an nicht autorisierte Geräte sendet.
Passpoint (Hotspot 2.0): Um den sicheren Gastzugang zu optimieren, implementieren Sie Passpoint. Dadurch können sich Geräte automatisch und sicher am Netzwerk authentifizieren, indem sie die von ihrem Mobilfunkanbieter oder einem Drittanbieter-Identitätsanbieter bereitgestellten Anmeldeinformationen verwenden. Purple fungiert als kostenloser Identitätsanbieter für Dienste wie OpenRoaming unter der Connect-Lizenz und ermöglicht so eine nahtlose und sichere Konnektivität.
Compliance-Erwägungen: Stellen Sie sicher, dass Ihre WiFi-Architektur mit den relevanten gesetzlichen Rahmenbedingungen übereinstimmt. Beispielsweise erfordert PCI DSS eine strikte Segmentierung der Karteninhaber-Datenumgebung vom öffentlichen WiFi, während die GDPR den sicheren Umgang mit allen personenbezogenen Daten (PII) vorschreibt, die während des Onboardings von Gästen erfasst werden.

Fehlerbehebung & Risikominderung

Fehlermodus: Ausbreitung von Rogue APs: In großen Veranstaltungsorten wie Retail -Umgebungen können nicht autorisierte APs leicht an ungeschützte Ethernet-Ports angeschlossen werden. Minderung: Implementieren Sie Port-Sicherheit (802.1X auf kabelgebundenen Ports) und überwachen Sie WIPS-Alarme aktiv.
Fehlermodus: Schwache Captive Portal-Sicherheit: Ein schlecht konfiguriertes Captive Portal kann umgangen oder gefälscht werden. Minderung: Stellen Sie sicher, dass das Captive Portal HTTPS mit gültigen SSL-Zertifikaten verwendet. Implementieren Sie Rate Limiting, um Brute-Force-Angriffe auf Authentifizierungsformulare zu verhindern.
Fehlermuster: SD-WAN-Integrationsprobleme: Stellen Sie bei der Integration von WiFi in SD-WAN-Architekturen sicher, dass die Sicherheitsrichtlinien über das Overlay-Netzwerk hinweg konsistent sind. Weitere Informationen finden Sie unter The Core SD WAN Benefits for Modern Businesses oder Die zentralen SD-WAN-Vorteile für moderne Unternehmen .

ROI & geschäftliche Auswirkungen

Die Investition in eine robuste WiFi-Sicherheit ist nicht nur ein Kostenfaktor, sondern ein entscheidender Wegbereiter für die digitale Transformation und Risikominderung.

Risikominderung: Die Kosten einer Datenpanne – einschließlich behördlicher Geldbußen, Anwaltskosten und Reputationsschäden – übersteigen die Investition in eine sichere Infrastruktur (WPA3-Hardware, WIPS, RADIUS-Server) bei Weitem.
Operative Effizienz: Das automatisierte Onboarding über 802.1X und Passpoint reduziert Helpdesk-Tickets im Zusammenhang mit Passwortzurücksetzungen und Verbindungsproblemen.
Datenintegrität: Ein sicheres Gäste-Onboarding gewährleistet die Integrität der für Marketing und Analysen erfassten First-Party-Daten. Durch die Nutzung einer sicheren Plattform für Guest WiFi können Betriebe in den Bereichen Gastgewerbe und Transport diese Daten vertrauensvoll nutzen, um Treueprogramme und personalisierte Interaktionen zu fördern, ohne die Privatsphäre der Nutzer zu gefährden.

Schlüsseldefinitionen

WPA3 (Wi-Fi Protected Access 3)

Der neueste Wi-Fi-Sicherheitsstandard, der eine verbesserte kryptografische Stärke bietet und den anfälligen PSK-Austausch durch SAE ersetzt.

Erforderlich für alle neuen Enterprise-Bereitstellungen zum Schutz vor Offline-Wörterbuchangriffen.

SAE (Simultaneous Authentication of Equals)

Ein in WPA3 verwendetes sicheres Schlüsselvereinbarungsprotokoll, das Forward Secrecy bietet und das Offline-Knacken von Passwörtern verhindert.

Ersetzt den älteren 4-Wege-Handshake von WPA2 und verbessert die Sicherheit für Netzwerke mit gemeinsam genutzten Passwörtern erheblich.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (Network Access Control), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Der Standard für den Netzwerkzugang in Unternehmen, der die Netzwerkauthentifizierung über einen RADIUS-Server an Verzeichnisdienste bindet.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Unerlässlich für die Segmentierung von Gast-, Unternehmens- und IoT-Datenverkehr, um das Schadensausmaß einer potenziellen Sicherheitsverletzung zu begrenzen.

Client-Isolierung

Eine Sicherheitsfunktion, die verhindert, dass Geräte, die mit demselben AP oder VLAN verbunden sind, miteinander kommunizieren.

Zwingend erforderlich für Gastnetzwerke, um Peer-to-Peer-Angriffe und die Verbreitung von Malware unter öffentlichen Nutzern zu verhindern.

WIPS (Wireless Intrusion Prevention System)

Ein Netzwerkgerät, das das Funkspektrum auf das Vorhandensein unbefugter Access Points überwacht und automatisch Gegenmaßnahmen ergreifen kann.

Kritisch für die Erkennung und Neutralisierung von Rogue APs und Evil-Twin-Angriffen in Enterprise-Umgebungen.

Passpoint (Hotspot 2.0)

Ein Standard, der mobilfunkähnliches Roaming für Wi-Fi-Netzwerke ermöglicht und eine automatische sowie sichere Authentifizierung erlaubt.

Verbessert die Benutzererfahrung und Sicherheit, da die manuelle Verbindung und Authentifizierung über Captive Portals entfällt.

OWE (Opportunistic Wireless Encryption)

Ein Standard, der eine individuelle Datenverschlüsselung in offenen Wi-Fi-Netzwerken bietet, ohne dass eine Benutzerauthentifizierung erforderlich ist.

Verbessert die Sicherheit in öffentlichen Netzwerken (wie Cafés oder Flughäfen) durch Schutz vor passivem Abhören.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss nahtloses Gäste-WiFi bereitstellen und gleichzeitig die strikte Einhaltung von PCI DSS für seine Restaurants und Bars vor Ort gewährleisten. Wie sollte die Netzwerkarchitektur gestaltet sein?

Das Netzwerk muss mithilfe von VLANs strikt segmentiert werden. Das Gäste-WiFi muss in einem isolierten VLAN mit aktivierter Client-Isolierung betrieben werden, das den Datenverkehr direkt ins Internet leitet. Die PoS-Systeme in den Restaurants müssen sich in einem separaten, streng limitierten VLAN (der Cardholder Data Environment) befinden, das durch eine Firewall vom gesamten restlichen Datenverkehr abgeschirmt ist. Das Onboarding der Gäste sollte über ein sicheres Captive Portal verwaltet werden, um Marketingdaten datenschutzkonform zu erfassen.

Kommentar des Prüfers: Dieser Ansatz berücksichtigt sowohl die geschäftliche Anforderung an die Konnektivität für Gäste als auch die strengen regulatorischen Vorgaben von PCI DSS. Eine physische oder logische Trennung ist bei der Verarbeitung von Zahlungsdaten unumgänglich.

Eine große Einzelhandelskette ist häufigen „Evil Twin“-Angriffen ausgesetzt, bei denen böswillige Akteure gefälschte APs einrichten, um Kundendaten zu stehlen. Was ist die empfohlene technische Gegenmaßnahme?

Implementieren Sie ein dediziertes Wireless Intrusion Prevention System (WIPS). Das WIPS überwacht das HF-Spektrum auf nicht autorisierte SSIDs, die das Unternehmensnetzwerk imitieren. Bei Erkennung kann das WIPS die Bedrohung automatisch eindämmen, indem es Deauthentifizierungs-Frames sendet, um zu verhindern, dass sich Clients mit dem gefälschten AP verbinden.

Kommentar des Prüfers: Sich ausschließlich auf Verschlüsselung zu verlassen, reicht gegen „Evil Twin“-Angriffe nicht aus. Eine aktive HF-Überwachung und eine automatisierte Eindämmung via WIPS sind für eine proaktive Abwehr in stark frequentierten Umgebungen erforderlich.

Übungsfragen

Q1. Sie entwerfen das Netzwerk für eine große [Healthcare](/industries/healthcare)-Einrichtung. Gefordert ist nahtloses Roaming für medizinische Geräte (IoT) und sicherer Zugang für Personal und Patienten. Wie segmentieren Sie dieses Netzwerk?

Hinweis: Berücksichtigen Sie die unterschiedlichen Sicherheitsfunktionen von IoT-Geräten im Vergleich zu Unternehmens-Laptops.

Musterlösung anzeigen

Implementieren Sie eine strikte VLAN-Segmentierung. Erstellen Sie ein dediziertes IoT-VLAN mit eingeschränktem Zugriff nur auf die erforderlichen Server (wenn möglich ohne Internetzugriff). Personal-Geräte sollten 802.1X in einem Unternehmens-VLAN nutzen. Patienten sollten ein Gäste-VLAN mit Client-Isolierung verwenden, das über ein Captive Portal direkt ins Internet geroutet wird.

Q2. Ein Veranstalter möchte OpenRoaming bereitstellen, um das Gästeerlebnis zu verbessern, ist jedoch besorgt über die Sicherheit im Vergleich zu seinem bestehenden WPA2-PSK-Setup. Was raten Sie ihm?

Hinweis: Vergleichen Sie die Sicherheit von gemeinsam genutzten Passwörtern mit der einer individualisierten Authentifizierung.

Musterlösung anzeigen

OpenRoaming (unter Verwendung von Passpoint/802.1X) ist erheblich sicherer als WPA2-PSK. Es nutzt Verschlüsselung auf Enterprise-Niveau und eine individualisierte Authentifizierung. Dadurch werden die mit gemeinsam genutzten Passwörtern verbundenen Risiken (wie Offline-Wörterbuchangriffe) eliminiert und gleichzeitig ein nahtloses Benutzererlebnis geboten.

Q3. Bei einem Sicherheitsaudit wird festgestellt, dass ältere Barcodescanner in einem Lager nur WPA2-PSK unterstützen. Eine Aktualisierung ist für dieses Jahr nicht im Budget vorgesehen. Wie minimieren Sie das Risiko?

Hinweis: Wenn Sie das Protokoll nicht aktualisieren können, wie können Sie den Schadensradius begrenzen?

Musterlösung anzeigen

Isolieren Sie die älteren Scanner in einem dedizierten, stark eingeschränkten VLAN. Implementieren Sie strikte Firewall-Regeln, sodass dieses VLAN nur mit den spezifischen, für den Betrieb erforderlichen Inventar-Servern kommunizieren kann, und blockieren Sie jeglichen anderen internen und externen Zugriff. Wechseln Sie den PSK regelmäßig.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.