:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/10/b8/10b8f6fcd8e93dbfbab834c47b599830/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd9bbec53654083df8770aecac691a/0129224068v1.jpeg "Multi-Core Fibre bündelt mehrere parallele Lichtsignale in einer Faser. Colt erreicht im Londoner Metronetz 800 Gbit/s Leitungsgeschwindigkeit und validiert 100GE- und 400GE-Services. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5e/325e7dc99010c393d153ce94336c9924/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/83/fa832a75d3b143390e952ad803ea272c/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/28/e8/28e83bbfac2c484ed4864fe7de55d39c/0129243647v1.jpeg "Ricardo Rodríguez vom eSIM-Anbieter Holafly ist überzeugt, dass (multinationale) eSIM-Lösungen das Reisen für viele Geschäftskunden entscheidend verbessern wird. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/cb/e7cbc544dd0b1c73e109cff650728eb4/0129422443v2.jpeg "Cisco zeigt auf seiner Hausmesse in Amsterdam neue Hardware, Software und Sicherheitslösungen für den Einsatz von Agentic AI. (Bild: Cico)")
:quality(80)/p7i.vogel.de/wcms/f3/50/f350bd81b39d040543e8f7337584cda0/0129348689v1.jpeg "MikroTik fühlt sich laut Website verpflichten, stets nach den effektivsten Lösungen zu suchen, um die richtigen Geräte für die Netzwerke seiner Kunden zu liefern. Cornelius Hoffmann bestätigt das in seinem Praxisartikel. (Bild: MikroTik)")
:quality(80)/p7i.vogel.de/wcms/d9/9a/d99a053e7c8d89c7a77c6813cd6fd153/0129431972v2.jpeg "Mit einem Open Source Tool kann man KI aus Windows 11 verbannen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/63/b1/63b1a1b40a0e1b0c1e3e5db3f4ca9e65/0129432487v1.jpeg "Der aktuelle Lagebericht Observability 2025 verdeutlicht, dass nicht die Anzahl der Incidents, sondern Tool-Wildwuchs und fehlender Kontext die größte Belastung darstellen. (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/41/de/41de964aab28b05865562fd8c190a409/0129259457v1.jpeg "Das erweiterte Real User Monitoring soll echte Nutzerinteraktionen direkt mit Logs und Systemmetriken verknüpfen. (Bild: Dynatrace)")
:quality(80)/p7i.vogel.de/wcms/ad/6b/ad6bcd9a4a71813986e0c50836881e9f/0125105677v1.jpeg "Checkmk verstehen. Monitoring beherrschen. Der Workshop im Überblick. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/35/51/3551092f2bcf24a479b40174f1462f76/0129052509v1.jpeg "Im Einzelhandel entscheidet Netzverfügbarkeit zunehmend über den laufenden Betrieb. Zahlungsprozesse, Warenwirtschaft, digitale Preisauszeichnung und Kundenanwendungen hängen an derselben Infrastruktur. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/e5/a0/e5a0f4de62a580ed71280869402a9b64/0129197312v1.jpeg "Satellit als Rückfallebene: NTN-NB-IoT ergänzt Mobilfunknetze dort, wo klassische Abdeckung endet. (Bild: Skylo)")
:quality(80)/p7i.vogel.de/wcms/58/90/589012e9659a67c828b52806b2ae94fe/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/21/47/2147cbdfbcf0e9222f7372a69e3c68df/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/38/ca/38ca305fdd9ec806f05b75bb7e5ce3cb/0129229797v1.jpeg "Open Systems, Anbieter von co-managed SASE-Betriebsmodellen mit globaler Reichweite, hat eine Umfrage zu SASE, Zero Trust und dem Einsatz von SD-WAN-Infrastrukturen durchgeführt. (Bild: © Nirusmee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/ef/a6ef3ae30344765b5f0b596294fc048d/0129335073v1.jpeg "Die Rainbow-Plattform von Alcatel-Lucent Enterprise besteht das C5-Audit des BSI und erfüllt zentrale Anforderungen an Cloud-Sicherheit und Compliance. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/a7/05/a7052150963766d5f9c051fda4fa0360/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/18/fc/18fcff49f531de7e54368f6d7ad3012a/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b7/03/b703960e0f6b855b0254135a20288b0c/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/93500/93524/65.jpg "AL_Enterprise_logo_RGB.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134600/134600/65.jpg "vitel_logo.jpg ()")
WLAN-Sicherheit: systematisch
Es gibt innerhalb IEEE 802 und 802.11 eine Reihe von Initiativen zur Verbesserung der Sicherheit. Teilweise sind diese spezifisch für WLANs, teilweise allgemein für LAN-Umgebungen gedacht. Doch diese Vorschläge greifen teilweise nicht wirklich oder nur in Kombination mit anderen Funktionalitäten. Deshalb werden wir sie hier nur kurz vorstellen und dann zu einer systematischen Betrachtung der Realisierung von Sicherheit in Netzen kommen. Denn das Ziel ist es ja nicht nur, innerhalb des kleinen Wirkungsraums eines WLANs für Sicherheit zu sorgen, sondern man möchte ja Sicherheit auch über eine Kette unterschiedlicher hintereinander geschalteter Netze hinweg.
IEEE 802.1x Authentisierung
Ist ein Teilnehmer der, der er zu sein vorgibt? Das prüft die Authentisierungsphase. Die standardmäßig in IEEE 802.11 WLANs vorgesehene „Shared Key Authentification“ ist hierzu jedoch ungeeignet, weil sie auf WEP basiert.
Unter der Bezeichnung IEEE 802.1x wurde 2001 ein Standard für die portbasierte Netzwerk-Zugriffskontrolle veröffentlicht, der generell für höhere Sicherheit in LANs sorgen soll. Der Standard zerlegt den Authentifikationsprozess in zwei Teile.
Zum einen findet eine Kommunikation zwischen einer Station und einem Access Point statt, zum anderen muss es eine laufende Verbindung zwischen diesem Access Point und einem speziellen Authentifikationsserver geben. Mittels eines schon länger definierten Einwahlprotokolls muss sich die Station über den Access Point mit dem Authentifikationsserver auseinandersetzen. Es gibt hierfür unterschiedliche Implementierungen von den Herstellern, vielfach wird der Authentifikationsserver aber als RADIUS-Server bezeichnet.
Nach erfolgter positiver Anmeldung darf die Station dann via Access Point auf Betriebsmittel wie Server zugreifen. Das gesamte System funktioniert gut in geswitchten Ethernet-Umgebungen, denn es ist für Punkt-zu-Punkt-Verbindungen gedacht, die hier vorliegen. Das System wurde aber entworfen, als man eigentlich Shared-Medium-Systeme aus dem Gedankengut gestrichen hatte. Es gibt also Probleme, wenn man es in einem WLAN, einem typischen Shared-Medium-System, einsetzen möchte.
Man braucht als Ersatz für die physischen Ports, die die Endpunkte der Punkt-zu-Punkt-Verbindungen definieren, logische Ports, die die Verbindung zu genau einem Gerät repräsentieren. Dazu muss sichergestellt sein, dass die über einen derartigen Port ausgetauschten Daten unverändert und definitiv vom gleichen Gerät kommen. Die gesamte Kommunikation muss also verschlüsselt werden, damit das Verfahren überhaupt sicher arbeiten kann. Solange dies nicht sichergestellt ist, führt IEEE 802.1x nicht zu sicherer Kommunikation.
IEEE 802.11i
Auch innerhalb der WLAN-Arbeitsgruppe ist man aber zügig zu der Erkenntnis gekommen, dass WEP nichts taugt. Also hat man eine Arbeitsgruppe ins Leben gerufen, die sich hiermit beschäftigen sollte. Herausgekommen sind zwei neue Verschlüsselungsverfahren genannt TKIP und WRAP. Man definiert zwei Arten von Netzen:
- Robust Security Network (RSN) ist ein Netz, welches das Verschlüsselungsprotokoll WRAP und IEEE 802.1x zur Authentifizierung benutzt. Alle Stationen und Access Points benutzen ausschließlich die für RSN definierten Verschlüsselungs- und Authentisierungsmethoden.
- Transition Security Network (TSN) ist ein Netzwerk, welches kein RSN ist, sondern eine Mischung aus RSN-fähigem und älterem nicht-RSN-fähigem Equipment unterstützt.
RSN
Ein RSN benutzt 802.1x-Authentifikation, ein Schlüsselmanagement basierend auf 802.1x, dynamische, sitzungsspezifische Schlüssel und das Verschlüsselungsverfahren WRAP. WRAP steht für Wireless Robust Authenticated Protocol und ist eine 128-Bit-Variante des AES (Advanced Encryption Standard), welcher seinerseits ein Nachfolger des DES bzw. von TripleDES oder kurz 3DES ist. Es handelt sich also auch um einen symmetrischen Blockchiffrieralgorithmus. Dieser ist zwar richtig gut, aber es gibt noch ein paar Lizenzprobleme.
Deshalb denkt man auch über den Einsatz von TKIP nach, dem sog. Temporary Key Integrity Protocol. Während man für den Einsatz von AES im Grunde genommen neues Equipment benötigt, würde TKIP die Investitionen in bestehende IEEE 802.11b Komponenten schützen, soweit diese softwaremäßig modifiziert werden können. TKIP verwendet das alte WEP weiter, versieht es aber mit sitzungsspezifischen, dynamischen Schlüsseln und hebelt somit die momentan populärste Angriffsbasis aus. TKIP ist nur ein verändertes Verfahren zur Bestimmung der WEP-Schlüssel.
Fazit
Auch wenn sich die Hersteller mit permanenten Nachbesserungen immer weiter bemühen, ist und bleibt ein WLAN eine sehr wackelige Sache. Für Unternehmen gibt es hier wirklich tolle Gesamtlösungen, die die Sicherheitsmaßnahmen für konventionelle und drahtlose Netze konsequent einheitlich betrachten und verwalten.
Besonders die Lösung von Cisco ist hier sehr gut gelungen und weit verbreitet. Sicherheitsfunktionen sind immer dann besonders wirkungsvoll, wenn sie auch direkten Zugriff auf die Switchports haben, über die der gesamte Verkehr läuft. Das setzt bei WLANs in Unternehmen jedoch ein Controller-basiertes Design voraus. Diese Controller sind aber leider nicht billig.
Für den Privatanwender sieht es hingegen erheblich schlechter aus. Die Hauptanwendung für WLAN ist hier ja der Verkehr zwischen DSL-Boxen und dem Rest der heimischen DV und Unterhaltungselektronik. Diese Boxen müssen aber aus Wettbewerbsgründen billig sein, können also keine im Aufwand den Verfahren für Corporate Networks auch nur halbwegs ebenbürtigen Verfahren unterstützen.
(ID:2052470)
:quality(80)/p7i.vogel.de/wcms/8e/be/8ebea77889367b3543b617d004d5ed55/0126582334v2.jpeg "So einfach lässt sich ein Synology-NAS mit FreeRADIUS als RADIUS-Server für sichere WLAN-Authentifizierung nutzen. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/67/4367e36a40bfb597f45ea1bd1256b090/0123789964v2.jpeg "WLAN ist aus Homeoffice, Smart Home und Unternehmensnetzwerken nicht mehr wegzudenken. Mit Wi-Fi 6, 6E und Wi-Fi 7 wird es schneller, stabiler und sicherer – und damit zur Schlüsseltechnologie moderner Konnektivität. (Bild: jambulart - stock.adobe.com / KI-generiert)")