Wie Sie den WiFi-Zugang beim Ausscheiden eines Mitarbeiters widerrufen

Dieser Leitfaden beschreibt im Detail, wie Sie den WiFi-Zugang beim Ausscheiden eines Mitarbeiters widerrufen, indem Sie unsichere, gemeinsam genutzte Passwörter durch benutzerbezogene 802.1X-Zertifikate oder iPSK ersetzen. Er behandelt das automatisierte Deprovisionieren via SCIM, um die Audit-Anforderungen von ISO 27001 und SOC 2 zu erfüllen.

📖 5 Min. Lesezeit📝 1,063 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Host, und heute widmen wir uns einer der häufigsten Sicherheitslücken beim Enterprise-Offboarding: Was passiert eigentlich mit dem WiFi-Zugang, wenn ein Mitarbeiter das Unternehmen verlässt?

Es klingt ganz einfach: Jemand gibt seinen Ausweis ab, die HR-Abteilung schließt das Konto, und das Thema ist erledigt. Aber wenn Ihr Netzwerk immer noch mit einem gemeinsam genutzten WPA2-Passwort betrieben wird, hat diese Person beim Verlassen des Gebäudes das Passwort immer noch im Kopf. Und solange Sie es nicht für alle Beteiligten ändern, kann sie sich vom Parkplatz aus wieder einwählen.

Das ist das Problem, das wir heute lösen. Wir stellen die drei bewährten Modelle für die benutzerspezifische WiFi-Sperrung vor, gehen eine Checkliste für die Sperrung am selben Tag durch und erklären genau, was ein ISO 27001- oder SOC 2-Auditor in Ihren Protokollen sehen möchte. Fangen wir an.

Abschnitt eins: Warum gemeinsam genutzte Passwörter das falsche Werkzeug für diese Aufgabe sind.

WPA2-Personal, die Standardkonfiguration für Heimrouter, verwendet einen einzigen Pre-Shared Key. Jeder im Netzwerk kennt dasselbe Passwort. Wenn eine Person geht, ist dieses Passwort auf ihrem Telefon, ihrem Laptop und jedem Gerät, das sie jemals verbunden hat, weiterhin gültig. Die einzige Möglichkeit, ihren Zugang zu sperren, besteht darin, das Passwort für das gesamte Netzwerk zu ändern und es an jeden verbleibenden Benutzer und jedes Gerät neu zu verteilen.

In einem Hotel mit 200 Mitarbeitern bedeutet dies die Aktualisierung jedes Point-of-Sale-Terminals, jedes PCs im Backoffice und jedes Manager-Telefons. In einer Einzelhandelskette mit 50 Filialen bedeutet dies einen koordinierten Rollout über alle Standorte hinweg. Der betriebliche Aufwand ist hoch, die Unterbrechung ist spürbar, und das Zeitfenster zwischen dem letzten Tag des Ausscheidenden und der abgeschlossenen Änderung ist eine echte Sicherheitslücke.

PCI DSS, der Sicherheitsstandard der Zahlungskartenindustrie, verlangt, dass Sie gemeinsam genutzte Zugangsdaten immer dann ändern, wenn Mitarbeiter, die diese kennen, das Unternehmen verlassen. Wenn sich Ihre Kassen im selben Netzwerk wie Ihr Mitarbeiter-WiFi befinden, führt das Ausscheiden eines Mitarbeiters zu einer Compliance-Verpflichtung und nicht nur zu einer Empfehlung für Best Practices.

Die Ursache ist simpel: Mit einem gemeinsam genutzten Passwort ist keine Identität verknüpft. Das Netzwerk kann nicht zwischen einem aktuellen und einem ehemaligen Mitarbeiter unterscheiden. Um das zu beheben, benötigen Sie benutzerspezifische Zugangsdaten.

Abschnitt zwei: Die drei Modelle, die tatsächlich funktionieren.

Modell eins ist 802.1X mit EAP-TLS-zertifikatsbasierter Authentifizierung. Dies ist der Goldstandard für die WiFi-Sicherheit in Unternehmen.

Bei diesem Modell besitzt jeder Benutzer oder jedes Gerät ein eindeutiges digitales Zertifikat, das von Ihrer Zertifizierungsstelle (CA) ausgestellt wurde. Wenn sie sich mit dem WiFi verbinden, validiert der RADIUS-Server dieses Zertifikat kryptografisch. Das Zertifikat ist an eine Identität gebunden, nicht an ein Passwort. Um den Zugriff zu sperren, widerrufen Sie das Zertifikat auf CA-Ebene.

Der RADIUS-Server überprüft den Sperrstatus in Echtzeit mithilfe von OCSP, dem Online Certificate Status Protocol. Wenn Sie ein Zertifikat als gesperrt markieren, fragt der RADIUS-Server beim nächsten Authentifizierungsversuch dieses Geräts den OCSP-Responder ab, erhält eine Rückmeldung über die Sperrung und sendet ein Access-Reject an den Access Point. Das Gerät ist innerhalb von Sekunden nach dem nächsten Authentifizierungsversuch aus dem Netzwerk ausgeschlossen.

Für aktive Sitzungen verwenden Sie RADIUS Change of Authorisation (oder CoA), um die bestehende Sitzung sofort zu beenden. In Kombination bedeuten OCSP und CoA, dass Sie den WiFi-Zugang für einen ausscheidenden Mitarbeiter in weniger als einer Minute sperren können – mit einem vollständigen Audit-Trail in Ihren RADIUS-Protokollen.

Die Herausforderung bei EAP-TLS ist der PKI-Aufwand. Sie benötigen eine Zertifizierungsstelle, einen Mechanismus zur Ausstellung von Zertifikaten an Geräte – in der Regel über ein MDM wie Microsoft Intune – und einen Prozess zu deren Widerruf. Für Organisationen mit einer ausgereiften MDM- und Identitätsinfrastruktur ist dies die richtige Lösung. Für kleinere Teams oder Umgebungen mit IoT-Geräten, die keine Zertifikatsauthentifizierung unterstützen, benötigen Sie einen anderen Ansatz.

Modell zwei ist iPSK, Identity Pre-Shared Key. Cisco nennt es iPSK, Ruckus nennt es DPSK, Aruba nennt es MPSK, aber das Konzept ist dasselbe: Jeder Benutzer oder jedes Gerät erhält ein eindeutiges Passwort, obwohl sich alle mit derselben SSID verbinden.

Der RADIUS-Server ordnet jeden eindeutigen Schlüssel einer bestimmten Identität und optional einem bestimmten VLAN zu. Wenn Sie diesen Schlüssel aus der RADIUS-Datenbank löschen, kann sich das Gerät nicht mehr authentifizieren. Der Auswirkungsbereich eines Ausscheidenden beschränkt sich auf genau eine Person. Die Schlüssel aller anderen Benutzer bleiben gültig.

iPSK eignet sich besonders gut für Umgebungen mit gemischten Gerätetypen. IoT-Geräte, Point-of-Sale-Terminals und ältere Hardware, die keine 802.1X-Zertifikate unterstützen, können alle iPSK verwenden. Es ist außerdem einfacher zu betreiben als eine vollständige PKI-Bereitstellung, was es zur richtigen Wahl für mittelständische Unternehmen macht, die einen Widerruf pro Benutzer ohne den damit verbundenen Infrastrukturaufwand benötigen.

Die Widerrufszeit für iPSK beträgt in der Regel einige Minuten, nicht Sekunden. Die Löschung des Schlüssels wird an den RADIUS-Server übertragen, aber aktive Sitzungen können so lange bestehen bleiben, bis sich das Gerät erneut authentifiziert oder bis Sie ein CoA-Paket senden, um die Trennung der Verbindung zu erzwingen.

Modell drei ist die SCIM-gesteuerte Deaktivierung. SCIM steht für System for Cross-domain Identity Management. Es handelt sich um einen offenen Standard, der in RFC 7643 und RFC 7644 definiert ist und es Ihrem Identitätsanbieter ermöglicht, Benutzer-Lebenszyklus-Ereignisse in Echtzeit an nachgelagerte Systeme zu übermitteln.

Und so funktioniert es in der Praxis: Ihr Identitätsanbieter – sei es Microsoft Entra ID, Okta oder Google Workspace – ist die maßgebliche Quelle für Benutzerkonten. Wenn die Personalabteilung das Konto eines ausscheidenden Mitarbeiters im Identitätsanbieter deaktiviert, sendet SCIM eine Anfrage an jedes verbundene System, einschließlich Ihrer WiFi-Verwaltungsplattform.

Purple verbindet sich über SCIM mit Ihrem Identitätsanbieter. In dem Moment, in dem Sie einen Benutzer in Entra ID, Okta oder Google Workspace deaktivieren, empfängt Purple das SCIM-Ereignis und entzieht ihm bei der nächsten Authentifizierung seine WiFi-Zugangsdaten. Das Ereignis wird mit einem Zeitstempel, der Identität des Benutzers und der durchgeführten Aktion protokolliert. Dieser Protokolleintrag ist genau das, was ein ISO 27001-Auditor sehen muss.

SCIM ersetzt nicht 802.1X oder iPSK. Es ist ihnen übergeordnet. SCIM verwaltet den Identitätslebenszyklus; das Authentifizierungsprotokoll übernimmt die Durchsetzung im Netzwerk. Die Kombination aus SCIM und 802.1X bietet Ihnen eine automatische Echtzeit-Sperrung mit einem vollständigen Audit-Trail und ohne manuelle Schritte.

Abschnitt drei: Die Checkliste für die Sperrung am selben Tag.

Wenn der letzte Tag eines ausscheidenden Mitarbeiters ansteht, sollte Ihr IT-Team die folgende Reihenfolge einhalten.

Schritt eins: Deaktivieren Sie das Konto in Ihrem Identitätsanbieter. Dies ist der Auslöser für alles andere. Setzen Sie das Konto in Microsoft Entra ID auf deaktiviert. Deaktivieren Sie den Benutzer in Okta. Sperren Sie das Konto in Google Workspace.

Schritt zwei: Wenn Sie SCIM nutzen, überprüfen Sie, ob das Deprovisionierungsereignis ausgelöst wurde. Prüfen Sie Ihre SCIM-Protokolle oder Ihre WiFi-Verwaltungsplattform auf das entsprechende Ereignis. Wenn SCIM nicht eingerichtet ist, widerrufen Sie das Zertifikat manuell in Ihrer Zertifizierungsstelle oder löschen Sie den iPSK-Schlüssel aus Ihrer RADIUS-Datenbank.

Schritt drei: Senden Sie ein RADIUS CoA, um alle aktiven WiFi-Sitzungen zu beenden. Die meisten RADIUS-Server für Unternehmen sowie Plattformen wie Purple können dies bei einem Deprovisionierungsereignis automatisch tun. Wenn Sie dies manuell tun, verwenden Sie die CoA-Schnittstelle Ihres RADIUS-Servers, um das Gerät des Benutzers über die MAC-Adresse oder die Sitzungs-ID zu trennen.

Schritt vier: Bestätigen Sie, dass keine aktiven Sitzungen mehr vorhanden sind. Überprüfen Sie das Dashboard Ihres WiFi-Controllers. Auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet sollten Sie in der Lage sein, nach dem Benutzernamen oder dem Gerät zu suchen und zu bestätigen, dass keine aktiven Verbindungen mehr bestehen.

Schritt fünf: Archivieren Sie den Audit-Protokolleintrag. Exportieren oder markieren Sie das RADIUS-Authentifizierungsprotokoll, das SCIM-Ereignisprotokoll und das CoA-Protokoll für den betreffenden Benutzer und das Datum. Speichern Sie diese in Ihrer ITSM- oder Sicherheitsinformations- und Ereignismanagement-Plattform. ISO 27001 Anhang A Kontrollziel A.9.2.6 fordert, dass Sie die Zugriffsrechte aller Mitarbeiter und Vertragspartner bei Beendigung des Arbeitsverhältnisses entziehen oder anpassen. Ihr Protokoll ist der Nachweis dafür.

Schritt sechs: Wenn Sie WPA2 Shared PSK verwenden und nichts von den oben genannten Punkten zutrifft, ändern Sie das Passwort. Koordinieren Sie den Rollout auf allen Standorten und Geräten möglichst vor dem letzten Arbeitstag des ausscheidenden Mitarbeiters oder unmittelbar danach.

Abschnitt vier: Was der Auditor erwartet.

Sowohl ISO 27001 als auch SOC 2 verlangen den Nachweis, dass der Zugriff nach Beendigung des Arbeitsverhältnisses unverzüglich entzogen wird. Speziell für WiFi achten Auditoren auf vier Dinge. Erstens: Ein dokumentierter Offboarding-Prozess, der den Netzwerkzugriff explizit einschließt. Zweitens: Der Nachweis, dass dieser Prozess für eine Stichprobe von ausgeschiedenen Mitarbeitern eingehalten wurde, typischerweise zehn bis fünfundzwanzig Personen, die aus den letzten zwölf Monaten ausgewählt wurden. Drittens: Ein Protokoll, das den Zeitstempel der Kontodeaktivierung und den Zeitstempel des Entzugs des WiFi-Zugriffs zeigt, wobei die Zeitspanne dazwischen klar erkennbar ist. Viertens: Die Bestätigung, dass keine Konten ehemaliger Mitarbeiter aktive WiFi-Sitzungen aufweisen.
Wenn Sie WPA2 Shared PSK nutzen, können Sie für die Punkte drei und ein vier keine Nachweise erbringen. Es gibt kein benutzerbezogenes Protokoll. Das Beste, was Sie tun können, ist, das Datum der Passwortrotation vorzulegen und zu argumentieren, dass diese am oder vor dem letzten Arbeitstag des ausscheidenden Mitarbeiters abgeschlossen wurde. Auditoren weisen dies zunehmend zurück.

Wenn Sie 802.1X mit SCIM nutzen, erfolgt die Protokollierung automatisch. Purple erfasst jedes SCIM-Deprovisionierungsereignis mit einem UTC-Zeitstempel, der Identity-Provider-Quelle, der eindeutigen Kennung des Benutzers und der resultierenden Aktion. Das ist ein sauberer, prüfbarer Nachweis.

Abschnitt fünf: Fallstricke bei der Implementierung und wie man sie vermeidet.

Der häufigste Fehler ist die Annahme, dass das Deaktivieren eines Kontos im Identity Provider ausreicht. Das ist nicht der Fall, es sei denn, Ihre WiFi-Plattform ist über SCIM oder eine ähnliche Echtzeitintegration mit diesem Identity Provider verbunden. Ohne diese Verbindung hat das WiFi-System keine Möglichkeit zu wissen, dass das Konto deaktiviert wurde.

Der zweite Fallstrick ist das Certificate-Caching. Selbst mit OCSP weisen RADIUS-Server für einen konfigurierbaren Zeitraum (normalerweise 15 bis 60 Minuten) ein Cache-Verhalten für positive Antworten auf. Wenn Sie ein Zertifikat widerrufen und der RADIUS-Server eine positive Antwort im Cache gespeichert hat, authentifiziert sich das Gerät möglicherweise so lange weiter, bis der Cache abläuft. Stellen Sie Ihre OCSP-Cache-TTL in Hochsicherheitsumgebungen auf maximal 15 Minuten ein.

Der dritte Fallstrick ist das Vergessen aktiver Sitzungen. Der Widerruf von Anmeldedaten verhindert neue Authentifizierungen, beendet jedoch keine bestehende WiFi-Sitzung. Senden Sie nach dem Widerruf von Anmeldedaten immer ein RADIUS CoA, um die Verbindung zum Gerät sofort zu trennen.

Der vierte Fallstrick betrifft IoT- und gemeinsam genutzte Geräte. Ein Gerät, das auf die Identität eines ausscheidenden Mitarbeiters registriert ist, kann eine gemeinsam genutzte Workstation oder ein betriebliches Hardware-Teil sein. Überprüfen Sie vor dem Widerruf, ob es sich um ein persönliches und nicht um ein gemeinsam genutztes Gerät handelt. Wenn es gemeinsam genutzt wird, registrieren Sie es unter einem Dienstkonto neu, bevor Sie die Anmeldedaten des ausscheidenden Mitarbeiters widerrufen.

Abschnitt sechs: Fragen im Schnelldurchlauf.

Frage: Wie schnell kann der zertifikatsbasierte WiFi-Zugang widerrufen werden?

Mit OCSP und RADIUS CoA in unter 60 Sekunden ab dem Moment, in dem Sie das Zertifikat bei der Zertifizierungsstelle (CA) widerrufen. Die OCSP-Prüfung erfolgt beim nächsten Authentifizierungsversuch. Das CoA beendet die aktive Sitzung sofort.

Frage: Funktioniert SCIM mit jeder WiFi-Hardware?

SCIM arbeitet auf der Identitätsverwaltungsebene, nicht auf der Hardwareebene. Purple ist hardwareunabhängig und funktioniert mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Die SCIM-Integration erfolgt mit Purple, nicht direkt mit den Access Points.

Frage: Was ist, wenn wir kein MDM haben und keine Zertifikate bereitstellen können?

iPSK ist Ihre Lösung. Es bietet Ihnen einen benutzerbezogenen Widerruf, ohne dass eine Zertifikatsinfrastruktur erforderlich ist. Purple kann iPSK-Schlüssel verwalten und eine Verbindung zu Ihrem Identity Provider herstellen, um den Lebenszyklus zu automatisieren.

Zusammenfassung und nächste Schritte.

Die Kernbotschaft lautet: Wenn Sie den WiFi-Zugang für eine einzelne Person nicht widerrufen können, ohne alle anderen zu beeinträchtigen, haben Sie ein Problem mit gemeinsam genutzten Anmeldedaten. Die Lösung sind benutzerspezifische Anmeldedaten – entweder Zertifikate über 802.1X EAP-TLS oder eindeutige Schlüssel über iPSK –, kombiniert mit einer SCIM-gesteuerten Deaktivierung, um den Widerruf in dem Moment zu automatisieren, in dem die HR-Abteilung handelt.

Purple verbindet sich über SCIM mit Microsoft Entra ID, Okta und Google Workspace, läuft an 80.000 Live-Standorten und protokolliert jedes Deaktivierungsereignis für Audits. Wenn Sie sich auf ISO 27001 oder SOC 2 vorbereiten oder einfach die Lücke bei ausscheidenden Mitarbeitern schließen möchten, bevor es zu einem Vorfall kommt, ist dies der richtige Ausgangspunkt.

Eine vollständige technische Analyse des Zertifikatswiderrufs und von OCSP finden Sie in unserem Leitfaden zu OCSP und Zertifikatswiderruf für die WiFi-Authentifizierung. Das umfassendere Bild zur Automatisierung von Eintritten, Wechseln und Austritten finden Sie in unserem Leitfaden für WiFi-Sicherheit in Unternehmen.

Vielen Dank, dass Sie das Purple Technical Briefing gehört haben.

Wichtigste Erkenntnisse

✓Gemeinsam genutzte WPA2-Passwörter erzwingen eine unternehmensweite Rotation, wenn ein Mitarbeiter das Unternehmen verlässt, was eine Sicherheitslücke und operativen Aufwand verursacht.
✓Benutzerspezifische Zugangsdaten wie 802.1X EAP-TLS-Zertifikate oder iPSK ermöglichen es Ihnen, den Zugriff für eine einzelne Person ohne Auswirkungen auf andere zu entziehen.
✓Die SCIM-Integration automatisiert den Entzugsprozess, indem sie den WiFi-Zugriff direkt an den Status des Benutzers im Identity Provider koppelt.
✓Der Entzug von Zugangsdaten verhindert zukünftige Anmeldungen; ein RADIUS CoA-Befehl ist erforderlich, um eine aktive Sitzung sofort zu beenden.
✓Die automatisierte Deprovisionierung generiert genau die mit Zeitstempeln versehenen Audit-Logs, die von ISO 27001- und SOC 2-Prüfern gefordert werden.

📚 Part of our core series: Enterprise WiFi-Sicherheit und -Authentifizierung: Der komplette Leitfaden →

Management-Zusammenfassung

Wenn ein Mitarbeiter ein Unternehmen verlässt, ist der Entzug des physischen Zugangs unkompliziert. Der Entzug des WiFi-Zugangs ist es oft nicht. Wenn Ihr Netzwerk auf einem gemeinsam genutzten WPA2-Passwort basiert, verlässt ein ausscheidender Mitarbeiter das Gebäude und kennt die Zugangsdaten weiterhin. Die einzige Möglichkeit, seinen Zugang zu sperren, besteht darin, das Passwort für das gesamte Netzwerk zu ändern, was den Betrieb stört und eine manuelle Aktualisierung auf allen Geräten erzwingt. Dies ist eine kritische Sicherheitslücke und ein Compliance-Verstoß unter Standards wie PCI DSS und ISO 27001.

Dieser Leitfaden erklärt, wie Sie sich von gemeinsam genutzten Passwörtern verabschieden und eine benutzerbezogene WiFi-Sperrung implementieren. Wir untersuchen die drei bewährten Modelle: 802.1X EAP-TLS mit Zertifikatswiderruf, Identity Pre-Shared Key (iPSK) mit Löschung des Schlüssels pro Identität und SCIM-gesteuertes Deprovisioning. Indem Sie den Netzwerkzugriff direkt mit Ihrem Identity Provider – wie Microsoft Entra ID, Okta oder Google Workspace – verknüpfen, können Sie den Entzug in dem Moment automatisieren, in dem ein Konto deaktiviert wird, und genau den Audit-Trail erstellen, den ein Auditor erwartet.

Hören Sie sich unseren Podcast zum technischen Briefing zu diesem Thema an:

Technische Vertiefung

Das Problem mit gemeinsam genutzten Passwörtern

Einem gemeinsam genutzten WPA2-Personal-Passwort fehlt der Identitätskontext. Das Netzwerk kann nicht zwischen einem aktuellen und einem ehemaligen Mitarbeiter unterscheiden. Folglich erfordert der Entzug des Zugangs eine unternehmensweite Passwortänderung. Dies führt zu einem Sicherheitsfenster zwischen dem Ausscheiden des Mitarbeiters und dem Abschluss der Passwortänderung.

Modell 1: 802.1X EAP-TLS-Zertifikatswiderruf

Der Enterprise-Standard für WiFi-Sicherheit ist 802.1X mit EAP-TLS. Bei diesem Modell erhält jedes Gerät ein eindeutiges digitales Zertifikat von einer Zertifizierungsstelle (CA). Wenn sich ein Gerät verbindet, validiert der RADIUS-Server das Zertifikat kryptografisch.

Um den Zugriff zu entziehen, widerrufen Sie das Zertifikat bei der CA. Der RADIUS-Server überprüft den Widerrufsstatus in Echtzeit über das Online Certificate Status Protocol (OCSP). Wenn der OCSP-Responder den Status „Revoked“ (Widerrufen) zurückgibt, sendet der RADIUS-Server eine Access-Reject-Nachricht. Für aktive Sitzungen sendet der Server ein Change of Authorisation (CoA), um die Verbindung sofort zu trennen. Dieser Prozess beschränkt den Entzug auf einen einzelnen Benutzer, ohne jegliche Auswirkungen auf das restliche Netzwerk.

Modell 2: iPSK-Löschung des Schlüssels pro Identität

Für Umgebungen mit verschiedenen Gerätetypen, einschließlich headless Hardware, die keine 802.1X-Zertifikate unterstützt, ist Identity Pre-Shared Key (iPSK) die optimale Lösung. iPSK weist jedem einzelnen Benutzer oder Gerät auf einer einzigen SSID ein eindeutiges Passwort zu. Der RADIUS-Server ordnet jeden eindeutigen Schlüssel einer bestimmten Identität zu. Wenn ein Mitarbeiter das Unternehmen verlässt, löscht die IT einfach dessen spezifischen Schlüssel aus der RADIUS-Datenbank. Der betroffene Bereich beschränkt sich somit ausschließlich auf diesen einen Benutzer. Dieser Ansatz bietet die individuelle Sicherheit eines Enterprise-Netzwerks gepaart mit der Einfachheit eines Standard-Passworts.

Modell 3: Automatische SCIM-Deaktivierung

Das System for Cross-domain Identity Management (SCIM) ist ein offener Standard, der den Austausch von Benutzeridentitätsinformationen automatisiert. SCIM fungiert als Bindeglied zwischen Ihrem Identity-Provider und nachgelagerten Systemen wie Ihrer WiFi-Management-Plattform.

Wenn die Personalabteilung einen ausscheidenden Mitarbeiter in Microsoft Entra ID, Okta oder Google Workspace deaktiviert, sendet SCIM ein Deaktivierungsereignis an Purple. Purple widerruft bei der nächsten Authentifizierung sofort die WiFi-Zugangsdaten des Benutzers – egal ob Zertifikat oder iPSK. Dadurch entsteht ein geschlossener Kreislauf, bei dem Änderungen im Identitätslebenszyklus automatisch die Netzwerkzugriffsrichtlinien durchsetzen.

Implementierungsleitfaden

Die Bereitstellung eines benutzerspezifischen Widerrufs erfordert die Abstimmung zwischen Ihrem Identity-Provider, dem RADIUS-Server und Ihrer WiFi-Hardware. Purple lässt sich mit Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Schritt 1: Identität als Source of Truth etablieren

Stellen Sie sicher, dass Ihr Identity-Provider die einzige Source of Truth für den Benutzerstatus ist. Alle Onboarding- und Offboarding-Prozesse müssen in Microsoft Entra ID, Okta oder Google Workspace beginnen und enden.

Schritt 2: Das richtige Authentifizierungsprotokoll wählen

Wählen Sie 802.1X EAP-TLS, wenn Sie über ein ausgereiftes Mobile Device Management (MDM) verfügen, das Zertifikate auf alle Unternehmensgeräte übertragen kann. Wählen Sie iPSK, wenn Sie eine Vielzahl von unmanaged Geräten, Point-of-Sale-Terminals oder IoT-Hardware unterstützen müssen.

Schritt 3: SCIM-Integration konfigurieren

Konfigurieren Sie eine SCIM-Verbindung zwischen Ihrem Identity-Provider und Purple. Ordnen Sie das Attribut für den Benutzerstatus so zu, dass ein Status „deaktiviert“ im Verzeichnis ein Widerrufsereignis in Purple auslöst.

Schritt 4: RADIUS-Timer anpassen

Wenn Sie EAP-TLS verwenden, konfigurieren Sie die Time-To-Live (TTL) des OCSP-Caches Ihres RADIUS-Servers entsprechend. Eine kürzere TTL (z. B. 15 Minuten) erhöht die Sicherheit, da sich das Zeitfenster, in dem ein widerrufenes Zertifikat gültig bleibt, verkürzt, erhöht jedoch die Last auf der CA.

Best Practices

Gemäß Branchenstandards müssen Unternehmen den Netzwerkzugriff streng kontrollieren. Implementieren Sie diese Praktiken, um ein hohes Sicherheitsniveau aufrechtzuerhalten:

Mit SCIM automatisieren: Der manuelle Widerruf ist anfällig für menschliche Fehler. Automatisieren Sie den Prozess, indem Sie Ihre WiFi-Plattform direkt mit Ihrem Identity-Provider verknüpfen.
RADIUS CoA erzwingen: Der Entzug von Anmeldedaten verhindert neue Verbindungen, beendet jedoch keine aktiven Sitzungen. Stellen Sie sicher, dass Ihr System einen Change of Authorisation-Befehl sendet, um das Gerät sofort zu trennen.
Gast- und Mitarbeiter-Traffic trennen: Platzieren Sie Mitarbeitergeräte niemals im Guest WiFi -Netzwerk. Verwenden Sie separate VLANs und SSIDs, um die Isolation aufrechtzuerhalten.
Audit-Protokolle: Führen Sie unveränderliche Protokolle aller Deprovisionierungsereignisse. ISO 27001-Auditoren verlangen den Nachweis, dass der Zugriff nach dem Ausscheiden unverzüglich entzogen wurde.

Fehlerbehebung & Risikominimierung

Die häufigste Fehlerquelle beim WiFi-Widerruf ist ein lückenhafter Prozess. Wenn die IT-Abteilung das Konto im Verzeichnis deaktiviert, aber die eigenständige RADIUS-Datenbank nicht aktualisiert, behält der Ausscheidende den Zugriff. Eine SCIM-Integration minimiert dieses Risiko vollständig.

Ein weiteres Risiko ist das Certificate Caching. Wenn ein RADIUS-Server eine positive OCSP-Antwort für 24 Stunden im Cache speichert, kann sich ein gesperrtes Gerät weiterhin authentifizieren, bis der Cache abläuft. Passen Sie Ihre OCSP-Cache-Einstellungen an, um ein optimales Verhältnis zwischen Leistung und Sicherheitsanforderungen zu erzielen.

Verknüpfen Sie bei gemeinsam genutzten Geräten, wie z. B. einem Tablet im Einzelhandel, das von mehreren Schichtarbeitern verwendet wird, die Geräteauthentifizierung nicht mit der Identität eines einzelnen Mitarbeiters. Verwenden Sie Dienstkonten oder gerätespezifische Zertifikate, um zu verhindern, dass das Ausscheiden einer einzelnen Person ein kritisches Hardware-Gerät offline setzt.

ROI & geschäftliche Auswirkungen

Die Umstellung auf einen benutzerbezogenen WiFi-Widerruf liefert messbaren geschäftlichen Nutzen. Sie eliminiert die IT-Supportstunden, die für die Koordinierung unternehmensweiter Passwortänderungen aufgewendet werden müssen. Sie reduziert das Risiko einer Datenschutzverletzung durch ehemalige Mitarbeiter und schützt das Unternehmen vor behördlichen Bußgeldern und Reputationsschäden.

Darüber hinaus bietet sie den lückenlosen Audit-Trail, der für das reibungslose Bestehen von ISO 27001- und SOC 2-Prüfungen erforderlich ist. Durch die Automatisierung des Joiner-Mover-Leaver-Prozesses können sich IT-Teams auf strategische Initiativen konzentrieren, anstatt Zeit mit der manuellen Verwaltung von Anmeldedaten zu verbringen. Weitere Details zur Absicherung Ihres Netzwerks finden Sie in unserem Enterprise WiFi Security: A Complete Guide for 2026 .

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die Grundlage der WiFi-Sicherheit in Unternehmen, bei der sich Geräte an einem RADIUS-Server authentifizieren müssen, bevor sie Netzwerkzugriff erhalten.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine hochsichere Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server verwendet.

Gilt als Goldstandard für die WiFi-Authentifizierung, da Passwörter vollständig überflüssig werden und stattdessen auf kryptografische Zertifikate gesetzt wird.

iPSK

Identity Pre-Shared Key. Eine Sicherheitsmethode, die jedem einzelnen Benutzer oder Gerät in einem einzigen Netzwerknamen ein eindeutiges WiFi-Passwort zuweist.

Die ideale Lösung für Umgebungen, die einen benutzerspezifischen Widerruf erfordern, aber über Geräte verfügen (wie IoT oder Spielekonsolen), die keine 802.1X-Zertifikate unterstützen.

SCIM

System for Cross-domain Identity Management. Ein offener Standard zur Automatisierung des Austauschs von Benutzeridentitätsinformationen zwischen Identitätsdomänen.

Wird verwendet, um das Ereignis „Benutzer deaktiviert“ automatisch von einem Identity-Provider an das WiFi-System zu übertragen, was einen sofortigen Widerruf des Zugriffs auslöst.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting bietet.

Der Server, der die WiFi-Anmeldedaten validiert und den Sperrstatus überprüft, bevor er einem Gerät den Zugriff auf das Netzwerk gestattet.

OCSP

Online Certificate Status Protocol. Ein Internetprotokoll zur Abfrage des Sperrstatus eines digitalen X.509-Zertifikats.

Die Echtzeit-Überprüfung, die der RADIUS-Server durchführt, um sicherzustellen, dass das Zertifikat eines sich verbindenden Geräts seit seiner Ausstellung nicht widerrufen wurde.

CoA

Change of Authorisation. Eine RADIUS-Funktion, die es dem Server ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern.

Wird verwendet, um die Verbindung eines Geräts mit dem WiFi-Netzwerk sofort zu trennen, sobald seine Anmeldedaten widerrufen werden, anstatt auf das natürliche Ablaufen der Sitzung zu warten.

WPA2-Personal

WiFi Protected Access 2. Ein Sicherheitszertifizierungsprogramm, das ein einziges, gemeinsam genutztes Passwort für alle Benutzer im Netzwerk verwendet.

Der Standard, von dem man sich in Unternehmensumgebungen verabschieden sollte, da er eine Passwortänderung für alle erfordert, nur um den Zugriff für einen einzigen ausscheidenden Mitarbeiter zu sperren.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss den WiFi-Zugang für einen ausscheidenden Schichtleiter widerrufen. Das Hotel nutzt eine Mischung aus Firmen-Laptops und bildschirmlosen Point-of-Sale-Terminals, die derzeit alle ein einziges WPA2-Passwort teilen. Wie sollte der Offboarding-Prozess abgesichert werden?

Das Hotel sollte vom gemeinsam genutzten WPA2-Passwort auf iPSK migrieren. Durch die Integration von Purple mit ihrem Identity Provider via SCIM können sie jedem Mitarbeiter und Gerät einen eindeutigen iPSK zuweisen. Wenn der Schichtleiter das Unternehmen verlässt, deaktiviert die HR-Abteilung dessen Konto in Microsoft Entra ID. SCIM überträgt dieses Ereignis an Purple, wodurch der spezifische iPSK des Managers sofort gelöscht wird. Die Point-of-Sale-Terminals und andere Geräte der Mitarbeiter bleiben ohne Unterbrechung verbunden.

Kommentar des Prüfers: Dieser Ansatz verbindet Sicherheit perfekt mit der betrieblichen Realität im Gastgewerbe. Die Implementierung von vollwertigem 802.1X EAP-TLS wäre für die bildschirmlosen POS-Terminals zu komplex. iPSK bietet die erforderliche benutzerbezogene Widerrufsmöglichkeit, ohne dass ein Zertifikatsmanagement nötig ist, während SCIM den Audit-Trail automatisiert.

Eine Organisation des öffentlichen Sektors, die 802.1X EAP-TLS nutzt, widerruft das Zertifikat eines externen Dienstleisters um 09:00 Uhr, aber der Laptop des Dienstleisters bleibt bis 10:00 Uhr mit dem WiFi verbunden. Warum ist das passiert und wie kann es behoben werden?

Die Verzögerung trat auf, weil der RADIUS-Server eine im Cache gespeicherte „Gute“ OCSP-Antwort für das Zertifikat des Dienstleisters hatte und das System keinen RADIUS Change of Authorisation (CoA)-Befehl gesendet hat. Um dies zu beheben, muss die Organisation die OCSP-Cache-TTL auf dem RADIUS-Server auf 15 Minuten reduzieren und das System so konfigurieren, dass es in dem Moment, in dem ein Zertifikat widerrufen wird, automatisch eine CoA-Disconnect-Nachricht an den Access Point sendet.

Kommentar des Prüfers: Dies verdeutlicht einen entscheidenden Unterschied: Der Widerruf einer Anmeldeinformation verhindert zukünftige Authentifizierungen, aber CoA ist erforderlich, um eine aktive Sitzung zu beenden. Die Lösung adressiert sowohl das Cache-Timing als auch die Beendigung der aktiven Sitzung.

Übungsfragen

Q1. Sie prüfen den Offboarding-Prozess einer Einzelhandelskette. Diese verwendet ein einziges gemeinsames WPA2-Passwort für ihr Mitarbeiter-WiFi. Es wird angegeben, dass das Passwort "vierteljährlich" rotiert wird. Erfüllt dies die Anforderungen der ISO 27001 für den Entzug von Zugriffsrechten?

Hinweis: Bedenken Sie die Zeitspanne zwischen dem Ausscheiden eines Mitarbeiters und der nächsten vierteljährlichen Rotation.

Musterlösung anzeigen

Nein, dies erfüllt nicht die Anforderungen der ISO 27001. Die ISO 27001 Annex A Maßnahme A.9.2.6 erfordert den unverzüglichen Entzug von Zugriffsrechten bei Beendigung des Arbeitsverhältnisses. Eine vierteljährliche Rotation hinterlässt ein Sicherheitsfenster von bis zu drei Monaten, in dem ein ehemaliger Mitarbeiter über gültige Zugangsdaten verfügt. Die Kette muss auf benutzerspezifische Zugangsdaten (iPSK oder 802.1X) umstellen, um einen sofortigen Entzug zu ermöglichen.

Q2. Ein Krankenhaus muss seine medizinischen IoT-Geräte im WiFi-Netzwerk sichern. Diese Geräte unterstützen keine 802.1X-Zertifikate. Wie kann ein gerätespezifischer Entzug realisiert werden?

Hinweis: Welches Protokoll bietet eindeutige Passwörter auf einer einzigen SSID?

Musterlösung anzeigen

Das Krankenhaus sollte Identity Pre-Shared Key (iPSK) bereitstellen. Dies ermöglicht es jedem medizinischen IoT-Gerät, sein eigenes, eindeutiges WPA2-Passwort zu haben. Wenn ein Gerät außer Betrieb genommen oder kompromittiert wird, kann die IT diesen spezifischen Schlüssel auf dem RADIUS-Server löschen und so den Zugriff entziehen, ohne dass andere Geräte im Netzwerk davon betroffen sind.

Q3. Ihre Organisation nutzt SCIM, um Google Workspace mit Purple zu verbinden. Ein Mitarbeiter wird entlassen und sein Google-Konto wird gesperrt. Müssen Sie sein WiFi-Zertifikat manuell löschen?

Hinweis: Bedenken Sie die Rolle von SCIM im Identitätslebenszyklus.

Musterlösung anzeigen

Es ist keine manuelle Aktion erforderlich. Die Sperrung des Kontos in Google Workspace löst ein SCIM-Deprovisionierungsereignis aus. Purple empfängt dieses Ereignis, entzieht automatisch die WiFi-Zugangsdaten des Benutzers und protokolliert den Vorgang, was einen lückenlosen Audit-Trail liefert.

Weiterlesen in dieser Reihe

Drei SSIDs, um sie alle zu beherrschen: Einrichtungsleitfaden für Gäste-, Mitarbeiter- und IoT-WiFi

Dieser maßgebliche technische Leitfaden bietet einen schrittweisen Entwurf für die Implementierung einer Drei-SSID-WiFi-Architektur. Er erklärt, wie Sie Gäste-, Mitarbeiter- und IoT-Traffic mithilfe von Captive Portals, 802.1X RADIUS und gerätespezifischen PSK (xPSK) segmentieren, um die Leistung zu optimieren und die PCI-DSS-Compliance zu gewährleisten.

Enterprise WiFi-Authentifizierung ohne Active Directory oder On-Premises-Server

Dieser Leitfaden erklärt, wie Sie eine sichere WPA2/3-Enterprise WiFi-Authentifizierung ohne ein lokales Active Directory, Windows NPS oder einen RADIUS-Server bereitstellen. Er behandelt den Protokollkonflikt zwischen Cloud-Identity-Providern und 802.1X, die Argumente für EAP-TLS gegenüber PEAP-MSCHAPv2 sowie die Bereitstellung von Cloud-RADIUS mit MDM-ausgestellten Zertifikaten gegen Microsoft Entra ID, Okta oder Google Workspace. Geschrieben für IT-Leiter in Cloud-First- und Mac/Chromebook-intensiven Unternehmen, die bereit sind, ihre On-Premises-Infrastruktur abzulösen.

Google Workspace WiFi-Authentifizierung: Chromebook- und LDAP-Integration

Ein definitives technisches Referenzhandbuch für IT-Administratoren, die sicheres WiFi in Google Workspace-Umgebungen bereitstellen. Dieser Leitfaden behandelt die Bereitstellung von 802.1X-Zertifikaten auf verwalteten Chromebooks über die Google Admin-Konsole, die Integration von Google Secure LDAP als RADIUS-Backend sowie Architekturentscheidungen für Bildungs-, Medien- und Unternehmensstandorte. Er bietet konkrete Implementierungsschritte, praxisnahe Fallstudien und einen direkten Vergleich von EAP-Methoden, um Teams den Übergang von unsicheren, gemeinsam genutzten PSKs zu einer robusten, identitätsbasierten Netzwerkzugriffskontrolle zu erleichtern.