:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/8d/088d5d8bbfa077d1c55554f9c131896e/0128890681v1.jpeg "Aagon veröffentlicht ACMP 6.9. Das UEM-Update bringt Wartungsfenster, neue Boot- und Recovery-Optionen sowie erweiterte Transparenz im Schwachstellenmanagement für hybride IT-Umgebungen. (Bild: Aagon)")
:quality(80)/p7i.vogel.de/wcms/95/73/9573fdc9b603a964d473598628393cb8/0128990520v1.jpeg "Digitus erweitert sein Glasfaser-Portfolio: Komponenten für FTTH, Gebäudeverkabelung und Rechenzentren bis Netzebene 3. (Bild: Digitus)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/03/6603dcf5811b0544dfe74ea606fc54a5/0128470202v1.jpeg "Nokia und Nvidia koppeln RAN-Funktechnik mit GPU-Servern. Der Ansatz bringt KI-Verarbeitung näher an Geräte und Anwendungen und prägt die Diskussion um 6G. (Bild: Nokia)")
:quality(80)/p7i.vogel.de/wcms/d6/48/d648faec4e66f14b26e1312bb0e69835/0128253062v1.jpeg "Telefónica Germany modernisiert sein 5G-RAN mit Nokia-Hardware, Cloud-RAN und KI-Management. Vertrag läuft fünf Jahre bis 2030. (Bild: Nokia)")
:quality(80)/p7i.vogel.de/wcms/1f/55/1f555476e7b62980e40ef64646c76d96/0128307143v1.jpeg "Holafly führt den weltweit ersten globalen Datentarif ein. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/f0/59/f059fe6f4096fcfb1acf2caa94226061/0129040312v1.jpeg "CommScope schließt den Verkauf des CCS-Geschäfts an Amphenol ab. Der Konzern tritt mit Aurora und Ruckus künftig als Vistance Networks auf. (Bild: Vistance Networks)")
:quality(80)/p7i.vogel.de/wcms/1a/c2/1ac21fe6bccc9f656da933b525576519/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/52/bf/52bf39a9a14e2cdecfea4bec4149f256/0128987268v1.jpeg "Opengear hat zwei Erweiterungen seiner Network Resilience Platform angekündigt: die CM8000- sowie die OM1300-Serie. (Bild: Opengear)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a7/9c/a79c0e47f3a405479ea5b3d7da1f3674/0128841393v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/29/f0/29f00a02206c7d6533687ce5d418fa73/0124488120v1.jpeg "KI erhöht Datenvolumen und Komplexität in Unternehmensnetzen deutlich und zwingt Betreiber zu widerstandsfähigeren Architekturen, so die Einschätzung Dirk Schuma, Sales Manager EMEA North bei Opengear. (Bild: Opengear)")
:quality(80)/p7i.vogel.de/wcms/fc/f0/fcf0c571d5d6a8fd8ae1d5f0ebfb0679/0128936303v1.jpeg "Edge-First-Monitoring ist das \"Nervensystem\" einer modernen Industrie. Die Intelligenz wandert konsequent dorthin, wo die Daten entstehen, während das Zentrum für den übergreifenden Kontext zuständig bleibt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/7b/e37ba41b42c7a59410ba0602b87b3e25/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d1/01d190369acb8adb2c3ae334d859a7e4/0128515858v1.jpeg "Arista erweitert Cognitive Campus um VESPA für große Wi-Fi-Roaming-Domains, neue AVA-KI-Funktionen und robuste Switches für industrielle Edge-Umgebungen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/d4/3dd431a8430f012f79dddbde64eb2d0c/0128253082v1.jpeg "ALE erweitert sein Portfolio um robuste Wi-Fi-7-Outdoor-Access-Points für Industrie- und Campus-Netze mit bis zu 9,3 Gbit/s. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/38/fc/38fc2037506d79b8e6b79da39d393e2e/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten“, sagt Greg Hansbuer von Pink Elephant. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/18/3f181336d7f7e4886d7bb1453a4b209f/0129080574v1.jpeg "Viswanathan Ramaswamy von Tata Communications sieht Unternehmensnetze durch KI-Anwendungen mit höheren Anforderungen an Latenz, Skalierbarkeit und Automatisierung konfrontiert. (Bild: Tata Communications)")
:quality(80)/p7i.vogel.de/wcms/a4/31/a431ed64ab20f6bf8c7754ed522aa3ed/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/88/02880eccaba7186e9d3f97d50740993c/0127952929v1.jpeg "Aryaka stellt Unified SASE 2.0 vor: mit AI>Secure, Universal ZTNA, neuer DLP und GenAI-Traffic-Schutz für hybride und KI-getriebene Umgebungen. (Bild: Aryaka)")
:quality(80)/p7i.vogel.de/wcms/73/4f/734fe884947527ce2d0ca9af55edff25/0127853319v1.jpeg "Der neue Agentless-Access-Ansatz von TeamViewer ermöglicht sicheren Remote-Zugriff auf industrielle Systeme ohne lokale Softwareinstallation. (Bild: TeamViewer)")
:quality(80)/p7i.vogel.de/wcms/6e/24/6e24583093f97249870d47fa6590a126/0129158113v1.jpeg "Die neue Realität der Arbeit, ein Interview von Oliver Schonschek, Insider Research, mit Meicel Hildebrandt und Christian Wyduba von Arrow. (Bild: Vogel IT-Medien / Arrow / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/b0/fb/b0fbe3f12e3a328274e9e4cb9274550f/0128976527v1.jpeg "Der berufliche E-Mail-Verkehr in Deutschland steigt weiter. Neue Bitkom-Zahlen zeigen, wie stark Postfächer belastet sind – und warum E-Mail dominiert. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/2e/e8/2ee85891028410648caa843887cd1ef2/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/fa/a0fa0bce414f1a86f52c9a6bf9bfb0f5/0125891354v1.jpeg "Gartner sieht ein starkes Wachstum bei der Satellitenkommunikation in niedriger Erdumlaufbahn (LEO). Nutzer werden 2026 hier global 14,8 Milliarden US-Dollar investieren. (Bild: KI-generiert)")
Logischer Eintritt in das Netz
Jede SS enthält sowohl ein vom Hersteller ausgegebenes und in der Fabrik installiertes eigenes digitales Zertifikat nach X.509 als auch das Zertifikat des Herstellers. Diese Zertifikate verbinden die 48-Bit MAC-Adresse der SS und ihren öffentlichen RSA-Schlüssel und werden in den Authorization-Request- und Authorization-Information-Nachrichten von der SS an die BS geschickt. Das Netz ist damit in der Lage, die Identität und das Niveau der Authorisation zu prüfen.
Wenn die SS dazu authorisiert ist, das Netzwerk zu betreten, wird die BS auf den Request mit einem Authorization Reply antworten, der einen Authorisationsschlüssel enthält, der mit dem öffentlichen Schlüssel der SS verschlüsselt ist und für spätere sichere Transaktionen benutzt werden kann. Nach erfolgreicher Authorisierung registriert sich die SS im Netz. Dies baut die Secondary-Management-Verbindung auf und legt die Möglichkeiten fest, die hinsichtlich der allgemeinen MAC-Betriebsweise bestehen.
Auch die IP-Version, die für die Kommunikation benutzt werden soll, wird festgelegt. Nach der Registrierung bekommt die SS über den DHCP-Server eine eigene IP-Adresse und die Adresse desjenigen TFTP-Servers, von dem sie eine Konfigurationsdatei laden kann. Diese Datei liefert eine Standardschnittstelle für herstellerspezifische Konfigurationsinformationen. IEEE 802.16 benutzt das Konzept der Service-Flows zur Definition von Paketströmen im Up- oder Downlink. Service Flows sind durch eine Menge von QoS-Parametern wie Delay oder Jitter charakterisiert. Um Netzressourcen und Speicher optimal auszunutzen, nimmt 802.16 ein zweiphasiges Aktivierungsmodell, in dem Ressourcen, die einem aktuellen Service Flow zugeordnet sind, solange nicht tatsächlich zugeordnet werden, bis der Service Flow aktiviert ist.
Jeder vordefinierte oder aktivierte Service-Flow wird mit einer eigenen CID auf eine MAC-Verbindung abgebildet. Die Service-Flows werden bei 802.16 meistens vordefiniert und während der Eingliederung einer SS von der BS initialisiert. Service Flows können aber sowohl von der BS als auch von der SS auch dynamisch etabliert werden. Das Aufsetzen eines Service Flows geschieht mit einem Dreiwege-Handshake. Neben der dynamischen Zuordnung von ganzen Flows können auch innerhalb eines Flows Parameter dynamisch geändert werden, wenn die Verkehrsprofile dies erfordern.
Datenschutz
Die Eingliederungsprozedur ist im Vergleich zu anderen Funksystemen sehr stark durchdefiniert und nach heutigem Stand der Technik als sicher zu bezeichnen. Zusätzlich gibt es dann ja noch den Privacy Sublayer. Er basiert in seiner Grundfunktionalität auf dem PKM der DOCSIS BP+-Spezifikation, wurde aber zur nahtlosen Integration in die IEEE 802.16 MAC angereichert. Dies betrifft im Wesentlichen die Möglichkeit der Verwendung stärkerer Verschlüsselungsverfahren wie AES.
Die PKM ist um das Konzept der Security Associations (SAs) gebaut. Eine SA ist eine Menge von kryptographischen Methoden mit zugehörigem Schlüsselmaterial. Jede SS definiert mindestens eine SA während der Initialisierungsphase. Mit Ausnahme der Basis- und primären Management-Verbindungen wird jede Verbindung entweder während des Verbindungsaufbaus oder dynamisch während der laufenden Verbindungsoperation auf eine SA abgebildet.
Zurzeit benutzt das PKM-Protokoll digitale Zertifikate nach X.509 mit RSA-Verschlüsselung für die SS-Authentifikation und den Schlüsselaustausch. Für die Verschlüsselung des laufenden Verkehrs ist DES im Cipher Block Chaining Modus (CBC) mit 56 Bit langen Schlüsseln die Standardmethode. Der CBC-Initialisierungsvektor ist vom Frame Counter abhängig und ändert sich von Frame zu Frame.
Um während der normalen Operation die hohe Anzahl der notwendigen Rechenschritte zu reduzieren, werden die Schlüssel mittels 3DES übertragen, wobei der Schlüssel dazu vom Authorization-Schlüssel abgeleitet wird. Die PKM-Protokollnachrichten selbst werden durch das Hashed Message Authentication Code Protocol (HMAC-Protokoll) mit SHA-1 authentisiert. Zusätzlich werden die Nachrichten lebenswichtiger MAC-Funktionen, wie z.B. die des Verbindungsaufbaus, mit dem PKM-Protokoll geschützt.
An dieser Stelle konnten die Funktionen nur grob dargestellt werden. Es sollte aber klar geworden sein, dass hier eine von Anfang bis Ende durchkonstruierte Gesamtlösung vorliegt, die sich durch entsprechende Schnittstellen auf noch stärkere Verschlüsselung aufrüsten lässt und damit das ganze WLAN-Gewusel in dieser Hinsicht völlig in den Schatten stellt.
Über den Autor
Dr. Franz-Joachim Kauffels ist seit über 25 Jahren als unabhängiger Unternehmensberater, Autor und Referent im Bereich Netzwerke selbständig tätig. Mit über 15 Fachbüchern in ca. 60 Auflagen und Ausgaben, über 1.200 Fachartikeln sowie unzähligen Vorträgen ist er ein fester und oftmals unbequemer Bestandteil der deutschsprachigen Netzwerkszene, immer auf der Suche nach dem größten Nutzen neuer Technologien für die Anwender. Sein besonderes Augenmerk galt immer der soliden Grundlagenausbildung.
Artikelfiles und Artikellinks
(ID:2043504)
:quality(80)/p7i.vogel.de/wcms/30/a6/30a690dc563e4bf059119fa8b65dc913/0127115662v1.jpeg "Time Sensitive Networking sorgt für eine echtzeitfähige Ethernet-Kommunikation mit geringer Latenz und hoher Zuverlässigkeit, beispielsweise für die Industrie 4.0. (Bild: Le Chat / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/76/eb76980cc824a06b5cdbaaf3aa671b45/0126830100v1.jpeg "Netzwerk-Switches sind zentrale Bausteine jeder IT-Infrastruktur. Sie verbinden Endgeräte, Server und andere Switches zu einem performanten Netz. (Bild: KI-generiert)")