· Rexoma Team · IT-Sicherheit · 6 min read
UniFi-Netzwerk absichern: Der KMU-Leitfaden
Ubiquiti UniFi ist in vielen KMU der Standard für WLAN und Switching. Doch aktuelle Sicherheitslücken zeigen: Falsch konfiguriert wird das Netzwerk zur Angriffsfläche.
Ubiquiti UniFi ist in ostdeutschen KMU weit verbreitet – günstig, skalierbar, zentral verwaltbar. Doch im Juni 2026 meldete Heise Security mehrere kritische Schwachstellen in UniFi OS, die Code-Injection ermöglichen. Das Muster dahinter ist bekannt: Hardware wird einmal eingerichtet und dann jahrelang nicht mehr angefasst. Wer sein UniFi-Netzwerk absichern will, muss jetzt handeln.
Warum UniFi in KMU so beliebt ist – und warum das ein Problem sein kann
UniFi hat sich als Quasi-Standard für mittelständische Netzwerke etabliert. Access Points, Switches, Security Gateways und IP-Kameras lassen sich zentral über den UniFi Network Controller verwalten. Der Preis-Leistungs-Vergleich mit Cisco oder HP Aruba fällt gut aus, die Einrichtung ist vergleichsweise einfach.
Genau diese Stärken machen UniFi für Angreifer attraktiv: Viele Installationen werden einmalig aufgebaut und danach kaum noch gewartet. Firmware-Updates bleiben aus, Default-Passwörter bleiben gesetzt, die Verwaltungsoberfläche ist aus dem Internet erreichbar. Das Ergebnis ist eine Infrastruktur, die nach außen modern wirkt, intern aber gravierende Sicherheitslücken aufweist.
Aktuelle Bedrohungslage: Code-Injection in UniFi OS
Die jüngsten Schwachstellen in UniFi OS betreffen die Dream Machine-Produktlinie und ermöglichen es Angreifern, ohne gültige Authentifizierung beliebigen Code auf dem Gerät auszuführen. Ubiquiti hat Updates bereitgestellt – doch wer keine Patch-Routine für Netzwerkhardware hat, bleibt exponiert.
Was Angreifer mit einem kompromittierten UniFi-Gerät anstellen können
Ein übernommenes UniFi-Gerät ist kein harmloses Ereignis. Angreifer können:
- Den gesamten Netzwerkverkehr mitschneiden (Man-in-the-Middle-Angriff)
- WLAN-Credentials und VPN-Verbindungen abgreifen
- Interne Systeme direkt ansprechen, die sonst nicht erreichbar wären
- Das Gerät als Sprungbrett für weitere Angriffe ins LAN nutzen
- Firmware mit dauerhafter Backdoor einspielen
Besonders kritisch: In vielen KMU hängen UniFi-Geräte im gleichen Netz wie Fileserver, Buchhaltungssoftware und NAS-Systeme – ohne jede Segmentierung.
UniFi-Netzwerk absichern: 8 Maßnahmen für KMU
1. Firmware sofort und regelmäßig aktualisieren
Der offensichtlichste, am häufigsten vernachlässigte Punkt. Im UniFi Network Controller unter Einstellungen → System → Updates lässt sich automatisches Firmware-Update aktivieren. Für kritische Lücken wie Code-Injection sollte das Update innerhalb von 48 Stunden nach Veröffentlichung eingespielt sein.
Empfehlung für KMU ohne dediziertes IT-Team: Automatisches Update aktivieren, aber Change-Benachrichtigungen einschalten, um unerwartete Verhaltensänderungen zu bemerken.
2. Verwaltungsoberfläche nicht ins Internet exponieren
Der Network Controller sollte grundsätzlich nicht direkt aus dem Internet erreichbar sein. Wenn Remote-Zugriff notwendig ist, ausschließlich über VPN – zum Beispiel WireGuard oder IPsec auf einer vorgelagerten OPNsense-Firewall. Die Ubiquiti-Cloud ist bequem, aber eine zusätzliche Angriffsfläche: nur aktivieren, wenn 2FA erzwungen ist.
3. Standard-Credentials sofort ersetzen
ubnt/ubnt ist das Werkspasswort vieler Ubiquiti-Geräte und in jeder öffentlichen Credential-Liste vorhanden. Nach der Ersteinrichtung: Admin-Passwort auf mindestens 16 zufällige Zeichen setzen, SSH-Zugang auf Key-basierte Authentifizierung umstellen, Passwort-Login per SSH deaktivieren.
4. VLANs und getrennte SSIDs einrichten
Ein häufiger Fehler in Dresdner KMU: Mitarbeiter, Gäste und IoT-Geräte teilen sich dasselbe WLAN. Das ist ein gravierendes Sicherheitsproblem. UniFi unterstützt nativ mehrere SSIDs mit VLAN-Tagging:
- Mitarbeiter-WLAN → produktives VLAN mit Zugang zu internen Servern
- Gäste-WLAN → isoliertes VLAN, ausschließlich Internetzugang
- IoT-WLAN → separates VLAN für Drucker, Kameras, Smart Devices
So bleibt ein kompromittiertes IoT-Gerät vom Rest des Netzes getrennt – und schützt auch bei einem erfolgreichen Angriff auf ein Endgerät das gesamte Unternehmensnetz.
5. Threat Management aktivieren (UDM / UDM Pro)
UniFi Dream Machine und Dream Machine Pro bieten ein integriertes Intrusion Detection System. Unter Einstellungen → Security → Threat Management lässt es sich mit wenigen Klicks aktivieren. Das System erkennt bekannte Angriffsmuster anhand von Signaturen und blockiert verdächtige Verbindungen automatisch.
6. WLAN-Sicherheit auf WPA3 umstellen
WPA2 mit Pre-Shared Key ist für Heimnetzwerke akzeptabel, für Unternehmensumgebungen aber veraltet: Wer das Passwort kennt, kann unter bestimmten Umständen den Datenverkehr anderer Clients entschlüsseln. Empfehlungen:
- WPA3 Personal für KMU ohne RADIUS-Infrastruktur
- WPA2/WPA3-Enterprise mit FreeRADIUS für höhere Anforderungen – jeder Nutzer authentifiziert sich mit eigenen Credentials
UniFi unterstützt beide Modi. WPA3 lässt sich im Controller pro SSID aktivieren.
7. Client-Isolation in Gäste- und IoT-Netzen
Im Gäste- und IoT-WLAN sollte die Option „Client Isolation” aktiv sein. Damit können sich Geräte innerhalb desselben Netzsegments nicht gegenseitig erreichen – eine kompromittierte Smart-Kamera kann nicht auf andere Geräte im selben VLAN zugreifen.
8. Syslog-Integration für zentrales Monitoring
UniFi-Geräte können Logs an einen externen Syslog-Server senden. In einem Monitoring-Stack (z. B. Grafana + Loki oder einem SIEM) lassen sich Anomalien frühzeitig erkennen: unerwartete Authentifizierungsfehler, unbekannte MAC-Adressen im Netz, plötzliche Bandbreitenspitzen zu ungewöhnlichen Zeiten.
Schnell-Checkliste: UniFi-Sicherheit für KMU
| Maßnahme | Aufwand | Priorität |
|---|---|---|
| Firmware aktualisieren | 10 Min. | Kritisch |
| Standard-Passwörter ändern | 15 Min. | Kritisch |
| Remote-Zugriff über VPN absichern | 30 Min. | Hoch |
| VLANs / SSIDs trennen | 1–2 Std. | Hoch |
| Threat Management aktivieren | 5 Min. | Mittel |
| WPA3 aktivieren | 10 Min. | Mittel |
| Client Isolation einschalten | 5 Min. | Mittel |
| Syslog konfigurieren | 30 Min. | Empfohlen |
Warum das in Sachsen besonders dringend ist
In vielen Betrieben in Sachsen und im Raum Dresden wurde UniFi-Hardware vor drei bis fünf Jahren einmal installiert – und seitdem nicht mehr systematisch gewartet. Besonders betroffen: Handwerksbetriebe, Arztpraxen, Steuerberatungen und mittelständische Produktionsbetriebe, deren IT von einem Generalisten nebenher betreut wird.
Das Problem ist nicht nur technischer Natur: NIS2 und DSGVO verlangen nachweisbares Sicherheitsmanagement. Eine veraltete, unsegmentierte Netzwerkinfrastruktur ist dabei nicht nur ein technisches Risiko, sondern kann im Fall eines Vorfalls auch haftungsrelevant sein.
Fazit
UniFi ist für KMU weiterhin eine gute Wahl – aber nur dann, wenn die Infrastruktur regelmäßig gewartet und korrekt konfiguriert ist. Die aktuellen Code-Injection-Lücken in UniFi OS sind ein Weckruf: Wer Netzwerkhardware nicht pflegt, riskiert genau die Angriffe, vor denen eine Firewall eigentlich schützen soll. Die gute Nachricht: Die meisten Absicherungsmaßnahmen sind in ein bis zwei Stunden umgesetzt – wenn man weiß, was zu tun ist.
Sie möchten Ihr UniFi-Netzwerk in Dresden professionell absichern? Rexoma IT unterstützt KMU in Sachsen beim Audit, der Härtung und der laufenden Wartung von Netzwerkinfrastrukturen – inklusive UniFi, OPNsense-Firewall und WireGuard-VPN. Jetzt Kontakt aufnehmen
FAQ
Muss ich bei UniFi zwingend die Ubiquiti-Cloud nutzen?
Nein. Der UniFi Network Controller läuft vollständig lokal – auf einem UniFi Cloud Key, einer NAS oder einem dedizierten Server. Die Ubiquiti-Cloud ist optional und sollte nur mit aktivierter Zwei-Faktor-Authentifizierung verwendet werden.
Wie erkenne ich, ob ein UniFi-Gerät kompromittiert wurde?
Typische Anzeichen: ungewöhnlicher ausgehender Datenverkehr, unbekannte SSH-Verbindungen in den Logs, Konfigurationsänderungen ohne Ihr Zutun, unerklärliche Neustarts. Ein zentrales Log-Management erkennt solche Anomalien deutlich früher als manuelle Kontrollen.
Lohnt sich UniFi noch oder sollte ich auf Cisco Meraki wechseln?
Für KMU bis etwa 150 Mitarbeiter bleibt UniFi ein sehr gutes Preis-Leistungs-Verhältnis – vorausgesetzt, es wird ordentlich gewartet. Cisco Meraki bietet mehr Enterprise-Features und cloudbasiertes Management, ist aber deutlich teurer. Der Wechsel lohnt sich vor allem, wenn zentrales Multi-Standort-Management oder höhere Compliance-Anforderungen vorliegen.
Kann ich UniFi mit einer OPNsense-Firewall kombinieren?
Ja, das ist eine bewährte Kombination. OPNsense übernimmt Firewall-Funktion, Routing und VPN-Terminierung, während UniFi sich um Switches und Access Points kümmert. Viele unserer Kunden in Dresden betreiben genau diese Kombination – OPNsense als Perimeter-Firewall, UniFi im LAN-Bereich.
Was kostet ein UniFi-Sicherheitsaudit für mein Unternehmen?
Das hängt von der Größe der Installation und der Anzahl der Standorte ab. Rexoma IT bietet Netzwerk-Audits für KMU in Sachsen an – kontaktieren Sie uns für ein individuelles Angebot ohne Kostenvoranschlags-Pflicht.
Rexoma IT