DeltaNEXT Logo
Alle Beiträge
Beitrag
Anton Jacker

UniFi WPA3 Enterprise – Maximale WLAN-Sicherheit für Ihr Unternehmen

Warum Sicherheitsbehörden wie CISA und CERT-FR vor öffentlichen WLANs warnen und wie UniFi mit WPA3 Enterprise Ihr Unternehmensnetzwerk effektiv vor Evil-Twin- und MITM-Angriffen schützt.

Aktuelle Empfehlungen von Sicherheitsbehörden wie CISA, NSA und CERT-FR sorgen für Verunsicherung: WLAN unterwegs möglichst deaktivieren? Das klingt drastisch – ist aber bei öffentlichen und schlecht konfigurierten Netzen durchaus berechtigt. Ein professionell eingerichtetes UniFi WPA3-Enterprise-Netzwerk bietet hingegen ein völlig anderes Sicherheitsniveau.

Warum warnen Behörden vor WLAN?

Die Empfehlungen der Sicherheitsbehörden beziehen sich primär auf öffentliche WLANs – und die Risiken dort sind real:

Evil-Twin-Angriffe

Angreifer erstellen einen gefälschten Access Point mit derselben SSID wie ein legitimes Netzwerk. Ihr Gerät verbindet sich automatisch – und der Angreifer kann Ihren gesamten Datenverkehr mitlesen oder manipulieren.

Man-in-the-Middle (MITM)

Bei öffentlichen WLANs endet die Verschlüsselung am Access Point. Ein Angreifer zwischen Ihnen und dem Router kann sensible Daten abfangen – Passwörter, E-Mails, Unternehmensdaten.

Automatische Verbindungen

Die meisten Geräte speichern bekannte SSIDs und verbinden sich automatisch wieder. Ein Angreifer muss nur einen AP mit dem Namen "Telekom" oder "DB WiFi" aufsetzen – und schon hat er Zugriff.

Wie UniFi WPA3 Enterprise diese Risiken eliminiert

Ein sauber konfiguriertes UniFi-Enterprise-Netzwerk mit WPA3, 802.1X und RADIUS ist eine völlig andere Liga als öffentliche Hotspots.

802.1X-Authentifizierung mit Zertifikaten

Der entscheidende Unterschied: Bei WPA3 Enterprise authentifiziert sich nicht nur der Client am Netzwerk – das Netzwerk authentifiziert sich auch beim Client. Der RADIUS-Server präsentiert ein Zertifikat, das der Client prüft.

Das bedeutet für Evil-Twin-Angriffe: Ein gefälschter Access Point kann kein gültiges Serverzertifikat vorweisen. Ist der Client korrekt konfiguriert, verweigert er die Verbindung zum Fake-Netzwerk.

Individuelle Sitzungsschlüssel

Im Gegensatz zu WPA2/WPA3 Personal (wo alle Clients denselben Pre-Shared Key nutzen) erhält bei WPA3 Enterprise jeder Client seinen eigenen Sitzungsschlüssel. Das bedeutet:

  • Andere Clients im gleichen WLAN können Ihren Verkehr nicht entschlüsseln
  • Brute-Force-Angriffe auf einen gemeinsamen Schlüssel sind unmöglich
  • Kompromittierte Geräte gefährden nicht das gesamte Netzwerk

Protected Management Frames (PMF)

WPA3 erzwingt Protected Management Frames – ein Feature, das bei WPA2 optional war. PMF verhindert:

  • Deauthentication-Angriffe: Angreifer können Clients nicht mehr zwangsweise vom Netzwerk trennen
  • Disassociation-Angriffe: Das gezielte Umleiten auf einen Evil Twin wird massiv erschwert

Integrierte Rogue-AP-Erkennung

UniFi-Controller bieten WIDS/WIPS-Funktionen (Wireless Intrusion Detection/Prevention), die:

  • Verdächtige Access Points im Umfeld erkennen
  • Bei Evil-Twin-Versuchen alarmieren
  • Automatische Gegenmaßnahmen einleiten können

Technische Umsetzung mit UniFi

Was Sie für WPA3 Enterprise benötigen

  1. UniFi Network Controller (Cloud Key, Dream Machine oder Self-Hosted)
  2. Aktuelle UniFi Access Points mit WPA3-Support
  3. RADIUS-Server (z.B. FreeRADIUS, Windows NPS oder integrierter RADIUS im UniFi Controller)
  4. PKI/Zertifikate für sichere Serverauthentifizierung

Best Practices für maximale Sicherheit

  • Serverzertifikat korrekt konfigurieren: Clients müssen das CA-Zertifikat kennen und prüfen
  • "Kein Zertifikat akzeptieren" deaktivieren: Diese Option in Client-Geräten ist ein Sicherheitsrisiko
  • Separate SSIDs für Gäste (isoliertes VLAN) und interne Mitarbeiter
  • Regelmäßige Firmware-Updates für Access Points und Controller

Was trotzdem wichtig bleibt

Auch mit einem perfekt konfigurierten UniFi-Enterprise-Netzwerk bleiben einige generische Empfehlungen sinnvoll:

Für Ihre Mitarbeiter unterwegs

  • Öffentliche WLANs meiden – lieber mobilen Hotspot oder VPN nutzen
  • Auto-Connect deaktivieren für unbekannte Netzwerke
  • WLAN deaktivieren, wenn es nicht benötigt wird

Für Ihre IT-Abteilung

  • Mobile Device Management (MDM) einsetzen, um Zertifikate auf Endgeräten auszurollen
  • Regelmäßige Audits der WLAN-Konfiguration
  • Schulungen für Mitarbeiter zu WLAN-Risiken auf Reisen

Unser Fazit

Die Warnungen von CISA, NSA und CERT-FR sind berechtigt – aber sie beziehen sich auf öffentliche und schlecht gesicherte WLANs. Ein professionell aufgesetztes UniFi WPA3-Enterprise-Netzwerk mit 802.1X, RADIUS und Zertifikaten bietet:

  • Schutz vor Evil-Twin-Angriffen durch Serverzertifikat-Validierung
  • Abhörsicherheit durch individuelle Sitzungsschlüssel
  • Schutz vor Deauth-Angriffen durch Protected Management Frames
  • Proaktive Erkennung von Rogue Access Points

Das macht UniFi zur idealen Enterprise-WLAN-Lösung für Unternehmen, die Sicherheit ernst nehmen.

Sie möchten Ihr WLAN auf Enterprise-Niveau bringen?

Wir planen und implementieren sichere UniFi-Netzwerke für Unternehmen jeder Größe. Von der Bestandsaufnahme über die RADIUS-Integration bis zur Mitarbeiterschulung – kontaktieren Sie uns für eine unverbindliche Beratung.

Quellen: CISA "Securing Wireless Devices in Public Settings", CERT-FR Sicherheitsempfehlungen, onlinesicherheit.gv.at

Diesen Beitrag teilen:
Vorheriger Beitrag

Hornetsecurity wird Teil von Proofpoint – Stärkere Partnerschaft für unsere Kunden

Bereit für stabile IT?

Lass uns gemeinsam schauen, wie wir deine IT voranbringen können.

Jetzt unverbindlich anfragen
Oder direkt anrufen:
+49 341 23 68 995