· Rexoma Team · IT-Sicherheit · 5 min read
Unternehmens-WLAN absichern: WPA3, Gastnetz und WLAN-Sicherheit für KMU
Ein schlecht gesichertes WLAN ist eines der häufigsten Einfallstore für Angreifer in Unternehmen. Erfahren Sie, wie KMU ihr WLAN mit WPA3, Netzwerktrennung und richtiger Konfiguration zuverlässig absichern.
Viele KMU unterschätzen das Risiko, das von ihrem eigenen WLAN ausgeht. Ein schlecht gesichertes Unternehmens-WLAN ist für Angreifer kein Hindernis – es ist eine Einladung. Aktuelle Sicherheitsberichte zeigen, dass Router und Access Points mit bekannten Schwachstellen oft monatelang ohne Patches im Einsatz bleiben. Wer sein Firmennetz schützen will, muss beim WLAN anfangen.
Warum WLAN-Sicherheit für KMU so kritisch ist
Das WLAN ist in den meisten Unternehmen der am wenigsten kontrollierte Netzwerkzugang. Mitarbeiter verbinden ihre Laptops, Drucker und Smartphones – aber auch Gäste, Lieferanten und manchmal sogar private Geräte landen im selben Netz. Wer einmal im WLAN ist, kann häufig ohne weitere Hürden auf Dateiserver, interne Systeme und sensible Daten zugreifen.
Das BSI stuft unsichere WLAN-Konfigurationen als erhebliches Risiko für Unternehmen ein. Für KMU in Dresden und Sachsen ist das besonders relevant, weil viele Betriebe noch mit Consumer-Hardware oder veralteten Konfigurationen arbeiten – oft aus Kostengründen oder mangels IT-Personal.
WPA3 vs. WPA2: Was KMU jetzt wissen müssen
WPA2 – immer noch weit verbreitet, aber angreifbar
WPA2 mit dem CCMP/AES-Standard ist seit Jahren der Mindeststandard. Das Problem: Das KRACK-Angriffsmuster aus 2017 und diverse Brute-Force-Techniken gegen schwache Passwörter machen WPA2-Netze verwundbar, wenn die Grundkonfiguration stimmt. Viele KMU nutzen noch WPA2-Personal mit einem Passwort, das seit Jahren nicht geändert wurde.
WPA3 – der aktuelle Standard
WPA3 bietet gegenüber WPA2 zwei entscheidende Verbesserungen:
- SAE (Simultaneous Authentication of Equals): Ersetzt den anfälligen PSK-Handshake. Selbst wenn ein Angreifer den Verbindungsaufbau mitschneidet, kann er das Passwort nicht offline bruteforcen.
- Forward Secrecy: Jede Sitzung erhält eigene Schlüssel. Früher aufgezeichneter Datenverkehr bleibt geschützt, selbst wenn das WLAN-Passwort später bekannt wird.
Empfehlung: Neue Access Points sollten WPA3-fähig sein. Gemischter Betrieb (WPA2/WPA3-Transition-Mode) ist möglich, um ältere Geräte nicht auszusperren.
Netzwerktrennung: Das wichtigste Werkzeug gegen WLAN-Risiken
Warum alle im selben Netz ein Problem ist
Wenn Gäste, IoT-Geräte (Drucker, Kameras, Displays) und Firmen-Laptops dasselbe WLAN-Segment teilen, reicht ein einziges kompromittiertes Gerät, um das gesamte Netzwerk zu gefährden. Ein Angreifer, der über eine Sicherheitskamera ins Netz kommt, kann lateral bewegen und auf Dateiserver zugreifen.
Drei SSIDs für drei Zwecke
Die bewährte Aufteilung für KMU:
| SSID | Zielgruppe | Netzwerksegment | Firewall-Regel |
|---|---|---|---|
Firma-Intern | Mitarbeiter-Endgeräte | VLAN 10 | Vollzugriff intern |
Firma-Gaeste | Besucher, Gäste | VLAN 20 | Nur Internet |
Firma-IoT | Drucker, Kameras, Displays | VLAN 30 | Isoliert, kein Internetzugang |
Diese Trennung lässt sich mit einer OPNsense Firewall und VLAN-fähigen Managed Switches umsetzen – auch für KMU mit überschaubarem Budget.
WLAN-Hardware: Access Points statt Consumer-Router
Consumer-Router für 50–80 Euro sind für ein Büro mit 20 Mitarbeitern ungeeignet. Gründe:
- Kein zentrales Management mehrerer Geräte
- Selten Unterstützung für VLANs
- Sicherheitsupdates werden von Herstellern oft eingestellt
- Kein RADIUS/802.1X-Support
Empfehlung für KMU: Business-Access-Points von Ubiquiti UniFi, TP-Link Omada oder ähnlichen Herstellern bieten zentrale Verwaltung, VLAN-Unterstützung und regelmäßige Firmware-Updates ab etwa 80–150 Euro pro Gerät. Die Einrichtungszeit amortisiert sich durch deutlich geringeren Wartungsaufwand.
Schritt-für-Schritt: WLAN für KMU richtig absichern
Schritt 1 – Inventar und Ist-Zustand
Prüfen Sie zunächst:
- Welche Geräte befinden sich im WLAN?
- Welcher Standard ist aktiv (WPA2/WPA3)?
- Wie alt sind Passwörter und wer kennt sie?
- Gibt es bereits Netzwerktrennung?
Schritt 2 – Starke Passwörter und regelmäßiger Wechsel
WLAN-Passwörter sollten mindestens 20 Zeichen lang sein und zufällig generiert werden. Für das Gäste-WLAN empfiehlt sich ein monatlicher Wechsel. Nutzen Sie einen Passwortmanager (z. B. Bitwarden) für die sichere Verwaltung.
Schritt 3 – Firmware aktuell halten
Router und Access Points müssen regelmäßig aktualisiert werden. Stellen Sie automatische Updates ein, wo möglich – oder integrieren Sie die Geräte in Ihr Patch-Management. Geräte ohne Hersteller-Support sollten ersetzt werden.
Schritt 4 – SSID-Konfiguration
- Versteckte SSIDs bieten keinen echten Schutz, erhöhen aber den Verwaltungsaufwand – verzichten Sie darauf.
- Aktivieren Sie Client-Isolation im Gäste-WLAN: Geräte sehen sich gegenseitig nicht.
- Deaktivieren Sie WPS (Wi-Fi Protected Setup) – diese Funktion hat bekannte Schwachstellen.
Schritt 5 – Monitoring einrichten
Moderne WLAN-Controller protokollieren Verbindungen, erkennen unbekannte Geräte und warnen bei ungewöhnlichem Verhalten. Kombiniert mit einem Netzwerk-Monitoring-System (z. B. Grafana/Prometheus oder OPNsense-Logs) bekommen Sie schnell mit, wenn etwas nicht stimmt.
Schritt 6 – 802.1X für höchste Anforderungen
Für Unternehmen mit höherem Schutzbedarf bietet sich 802.1X-Authentifizierung an: Jedes Gerät authentifiziert sich individuell über einen RADIUS-Server (z. B. FreeRADIUS oder Microsoft NPS). Kein gemeinsames Passwort – verliert ein Mitarbeiter sein Gerät, wird nur sein Zugang gesperrt.
WLAN und Homeoffice: VPN ist Pflicht
Mitarbeiter im Homeoffice nutzen ihr Heim-WLAN. Auch dieses Netz ist außerhalb Ihrer Kontrolle. Deshalb gilt: Wer auf Unternehmensressourcen zugreift, muss über ein VPN verbunden sein – idealerweise WireGuard oder OpenVPN über OPNsense. Das Heim-WLAN ist dann nur noch der Internetzugang, nicht der Unternehmenstunnel.
Was ostdeutsche KMU oft übersehen
In Sachsen und Ostdeutschland arbeiten viele KMU noch mit Hardware, die seit Jahren keinen Firmware-Update mehr erhalten hat. Häufige Schwachpunkte:
- DSL-Router vom Internetanbieter als einziger Schutz
- Ein einzelnes WLAN für alle Zwecke
- Standard-Passwörter, die nie geändert wurden
- Kein Monitoring – Angriffe bleiben unbemerkt
Aktuelle Berichte zeigen, dass bestimmte Routermodelle kritische Schwachstellen enthalten, für die es keinen Patch gibt. Betroffene Geräte sollten umgehend ersetzt werden.
Rexoma IT unterstützt KMU in Dresden
Sie möchten Ihr Unternehmens-WLAN professionell absichern und wissen nicht, wo Sie anfangen sollen? Rexoma IT aus Dresden unterstützt KMU und Startups in Sachsen bei der Planung, Einrichtung und dauerhaften Betreuung sicherer Netzwerke. Wir implementieren OPNsense Firewalls, VLAN-Segmentierung und Business-WLAN-Lösungen – zugeschnitten auf Ihre Betriebsgröße und Ihr Budget.
Nehmen Sie Kontakt auf – wir analysieren Ihre aktuelle WLAN-Konfiguration und zeigen Ihnen konkrete Verbesserungen.
FAQ: WLAN-Sicherheit für KMU
Muss ich WPA3 einsetzen, oder reicht WPA2 noch? WPA2 mit einem starken Passwort (20+ Zeichen) und aktueller Firmware ist noch vertretbar, aber WPA3 ist klar besser. Bei neuen Geräten sollten Sie WPA3 immer aktivieren. Im Transition-Mode läuft beides parallel.
Wie viele SSIDs sollte ein KMU betreiben? Mindestens zwei: eine für Mitarbeiter und eine für Gäste. Empfehlenswert ist eine dritte für IoT-Geräte wie Drucker, Kameras und smarte Displays.
Ist ein verstecktes WLAN sicherer? Nein. Eine versteckte SSID kann mit frei verfügbaren Tools in Sekunden gefunden werden. Sie erhöht nur den Verwaltungsaufwand, bietet aber keinen echten Schutz.
Wie oft sollte das WLAN-Passwort geändert werden? Das Mitarbeiter-WLAN: mindestens bei Personalwechsel und einmal jährlich. Das Gäste-WLAN: monatlich oder bei Bedarf (z. B. nach Besuch von externen Dienstleistern).
Was kostet eine professionelle WLAN-Absicherung für ein KMU mit 20 Mitarbeitern? Das hängt stark von der vorhandenen Infrastruktur ab. Ein realistisches Bild bekommen Sie nach einem kurzen Analysegespräch – sprechen Sie uns an.
Rexoma IT