Drahtlose Netzwerke sind bequem — und ein beliebtes Angriffsziel. Ich sehe in der Praxis erschreckend viele Unternehmens-WLANs, die mit dem gleichen Passwort seit Jahren laufen und keinen Gastzugang trennen. Das ist ein Problem, das sich mit wenig Aufwand lösen lässt.
WPA2 reicht nicht mehr — WPA3 ist jetzt Standard
WPA2 gilt seit einigen Jahren als kompromittiert (KRACK-Angriff, PMKID-Angriff). Moderne Router und Access Points unterstützen WPA3. Wenn Ihre Hardware das nicht kann, ist es Zeit für neue Hardware — oder zumindest für ein sehr langes, zufälliges Passwort (20+ Zeichen) als Mindestmaßnahme.
Gastnetzwerk: Pflicht, nicht Kür
Kunden, Besucher, Lieferanten bekommen niemals Zugang zu Ihrem Firmennetzwerk. Ein separates Gastnetz mit eigenem SSID und VLAN-Trennung kostet nichts extra, wenn der Router es unterstützt — und verhindert, dass ein Gast (oder dessen kompromittiertes Gerät) Ihre internen Ressourcen erreicht.
SSID: Verstecken hilft nicht
Ein verstecktes Netzwerk (SSID-Broadcast deaktiviert) schützt vor gar nichts — es ist trivial aufzuspüren und gibt Ihnen nur eine falsche Sicherheit. Besser: sichtbar, aber stark gesichert.
MAC-Filterung: Sicherheitsgefühl ohne Sicherheit
MAC-Adressen lassen sich in Sekunden fälschen. MAC-Filter halten keine ernsthaften Angreifer auf. Investieren Sie die Zeit lieber in starke Authentifizierung.
Enterprise-WLAN: 802.1X für höchste Ansprüche
Für Umgebungen mit echten Sicherheitsanforderungen: 802.1X-Authentifizierung mit RADIUS-Server. Jeder Mitarbeiter authentifiziert sich mit individuellen Zugangsdaten — kein geteiltes Passwort, das beim Ausscheiden eines Mitarbeiters geändert werden muss.