WPA3 Enterprise sicher einrichten: So kommt nur rein, wer reingehört
Wissen Sie gerade, welche Geräte in diesem Moment auf Ihr Firmennetz zugreifen? Nicht alle davon gehören zwingend Ihren Mitarbeitenden. Laut einer Erhebung unter deutschen Unternehmen hatten bereits 23 Prozent der Befragten Hackerangriffe über das WLAN zu verzeichnen — und das, obwohl die meisten ein Passwort nutzen. Das Problem ist nicht das Passwort selbst. Das Problem ist das Konzept dahinter.
Die Lösung heißt WPA3 Enterprise: ein Ansatz, bei dem nicht ein geteiltes Passwort über den Netzzugang entscheidet, sondern ein individuelles digitales Zertifikat pro Gerät. Kombiniert mit einem zentralen RADIUS-Authentifizierungsserver und dem Protokoll EAP-TLS (das die Echtheit beider Seiten per Zertifikat absichert) ist das heute der anerkannte Stand der Technik für Unternehmensnetze — und für viele NIS2-betroffene Unternehmen ein Thema, das ihre Risikobeurteilung direkt betrifft.
Warum das WLAN-Passwort Ihr schwächstes Glied ist
Viele mittelständische Unternehmen betreiben ihr WLAN mit einem einzigen Passwort für alle. Das klingt praktisch, ist aber strukturell riskant — und das aus einem simplen Grund:
Das Passwort wandert.
Neue Mitarbeitende bekommen es, Dienstleister fragen danach, Lieferanten brauchen kurzfristigen Zugang. Nach ein paar Monaten kennen oft Dutzende Menschen das Passwort — viele davon längst nicht mehr im Unternehmen tätig. Niemand ändert es, weil das bedeuten würde, alle Geräte neu zu konfigurieren.
Das Ergebnis: Ihr WLAN ist nicht gesichert — es ist nur nicht offensichtlich offen. Angreifer geben sich als vertrauenswürdiger Access Point aus, hängen sich unbemerkt ins Netz oder nutzen bekannte Schwachstellen, um das Passwort zu knacken.
Eine Datenschutzverletzung kostet deutsche Unternehmen im Schnitt rund 5,11 Millionen Euro pro Vorfall (IBM Cost of a Data Breach Report 2024). Für viele KMU bedeutet das das Aus.
Was WPA3 Enterprise grundlegend anders macht
WPA3 Enterprise löst das Problem an der Wurzel. Statt eines gemeinsamen Passworts bekommt jedes Gerät, das Netzzugang erhalten soll, ein eigenes digitales Zertifikat — ähnlich einem personalisierten Ausweis, den nur dieses eine Gerät besitzt. Vor der Einbuchung ins WLAN prüft ein zentraler Server, ob das Gerät einen gültigen, von Ihrem Unternehmen ausgestellten Ausweis vorlegen kann. Kann es das nicht, kommt es nicht rein. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt diesen Ansatz ausdrücklich für Unternehmen.
Was das in der Praxis bedeutet:
| Situation | WLAN-Passwort | WPA3 Enterprise |
|---|---|---|
| Mitarbeitender verlässt das Unternehmen | Passwort müsste geändert werden (wird oft vergessen) | Zertifikat gesperrt — Gerät sofort draußen |
| Gerät wird gestohlen | Zugang über Passwort weiter möglich | Zertifikat gesperrt — kein Zugang mehr |
| Dienstleister braucht temporären Zugang | Bekommt das allgemeine Passwort | Bekommt ein befristetes Zertifikat |
| Unbekanntes Gerät versucht einzubuchen | Kommt rein, wenn es das Passwort kennt | Kein Zertifikat — kein Zugang |
Was hinter den Kulissen passiert — ohne Fachsprache
Sie müssen die Technik nicht im Detail verstehen, um die Entscheidung treffen zu können. Trotzdem hilft ein Bild:
Das Pförtner-Modell
Stellen Sie sich Ihr Firmennetz als Gebäude mit einem Pförtner vor — das ist der RADIUS-Server. Früher ließ der Pförtner jeden rein, der das Codewort kannte. Jetzt akzeptiert er nur noch Mitarbeitende mit einem gültigen, fälschungssicheren Unternehmensausweis, ausgestellt von Ihrer internen Zertifizierungsstelle. Entscheidend: Auch der Pförtner selbst weist sich aus. Das verhindert gezielt sogenannte Evil-Twin-Angriffe, bei denen ein Angreifer einen gefälschten WLAN-Zugangspunkt betreibt — ohne gültiges Zertifikat kommt dieser Angreifer nicht durch.
Das Protokoll hinter diesem gegenseitigen Vertrauensnachweis heißt EAP-TLS (Extensible Authentication Protocol – Transport Layer Security). Es ist der Grund, warum WPA3 Enterprise als „mutual authentication“ gilt: Beide Seiten — Gerät und Netz — beweisen ihre Identität, bevor eine Verbindung zustande kommt.
Technisch brauchen Sie dafür im Wesentlichen drei Dinge: einen zentralen Prüfserver (RADIUS), eine Stelle, die die Zertifikate ausstellt und verwaltet, sowie WLAN-Hardware, die den Standard unterstützt. Als WLAN-Partner setzt GEMAKOM primär auf Ubiquiti UniFi, das WPA3 Enterprise nativ unterstützt und sich zentral verwalten lässt. Die automatische Verteilung der Zertifikate auf Mitarbeiter-Geräte übernimmt in modernen Umgebungen das Mobile Device Management — in vielen Unternehmen Microsoft Intune.
Gut zu wissen
WPA3 Enterprise klingt nach einem großen Projekt — ist es aber in vielen Fällen nicht. Unternehmen, die bereits mit Windows Server und Active Directory arbeiten, haben die nötige Infrastruktur häufig schon. Es geht dann vor allem um die richtige Konfiguration und die Zertifikatstrategie.
Was die Umstellung auf WPA3 Enterprise bedeutet
Für die Planung ist es hilfreich zu wissen, was auf Sie zukommt. Typischerweise läuft die Einführung in fünf Schritten ab:
- Bestandsaufnahme: Welche Geräte sollen Netzzugang erhalten? Welche WLAN-Hardware ist vorhanden? Gibt es schon Active Directory und Windows Server im Einsatz?
- Zertifikatstrategie festlegen: Wer stellt die Ausweise aus, und nach welchen Regeln? Das muss einmal sauber definiert werden — danach läuft es automatisch.
- Prüfserver einrichten: Die zentrale Kontrollinstanz, die alle Zugangsentscheidungen trifft. In Windows-Umgebungen meist eine Frage von Stunden, nicht Tagen.
- Zertifikate auf Geräte bringen: Neue Geräte bekommen ihr Zertifikat automatisch über das MDM-System, sobald sie ins Unternehmen eingebunden werden.
- Access Points umstellen und testen: Die WLAN-Hardware wird konfiguriert. Testphase mit einer Pilotgruppe, dann Rollout auf alle Standorte.
WPA3 Enterprise und NIS2: Was Ihr Unternehmen 2026 wissen muss
Das BSIG 2.0 (NIS2-Umsetzungsgesetz, seit 2024 in Kraft) verpflichtet betroffene Unternehmen zu „geeigneten und verhältnismäßigen technischen und organisatorischen Maßnahmen nach Stand der Technik“. Als anerkannten Referenzrahmen verweist das BSI auf das IT-Grundschutz-Kompendium. Dort empfiehlt Baustein NET.2.1 für Unternehmens-WLANs ausdrücklich den Einsatz von IEEE-802.1X-Authentifizierung gegenüber Pre-Shared-Key-Verfahren.
Das bedeutet in der Praxis: Unternehmen, die NIS2-betroffen sind — Energie- und Wasserversorger, öffentliche Verwaltung, Entsorgung, produzierende Betriebe ab bestimmten Schwellenwerten — sollten die Frage der WLAN-Absicherung aktiv in ihrer Risikobeurteilung adressieren. Wer IT-Grundschutz als Compliance-Rahmen nutzt, wird um 802.1X nicht herumkommen. Wer ein professionelles WLAN-Design plant, sollte die Sicherheitsarchitektur von Anfang an mitdenken — nachträgliche Integration ist aufwändiger und teurer.
Prüfen Sie selbst: Wie sicher ist Ihr WLAN heute?
- Nutzen Sie noch ein gemeinsames WLAN-Passwort für alle Mitarbeitenden?
- Können Dienstleister oder Lieferanten mit denselben Zugangsdaten ins Netz?
- Haben Sie ausgeschiedene Mitarbeitende aktiv aus dem WLAN entfernt — oder nur gehofft, dass das Passwort nicht weitergegeben wurde?
- Können Sie im Notfall ein einzelnes Gerät sperren, ohne das gesamte WLAN neu einzurichten?
- Wissen Sie, welche Geräte gerade aktiv in Ihrem Netz sind?
Wer auch nur eine dieser Fragen mit „Nein” beantwortet, hat Handlungsbedarf. WPA3 Enterprise gibt Ihnen die Kontrolle zurück — nicht durch ein komplexeres Passwort, sondern durch ein grundlegend anderes Konzept.
Fazit
Ein WLAN-Passwort schützt Ihr Netz nur so lange, wie es wirklich geheim bleibt — und das ist in der Praxis selten lange. WPA3 Enterprise verlagert die Kontrolle vom Passwort zum Gerät: Nur wer einen gültigen, von Ihrem Unternehmen ausgestellten Zertifikat vorweisen kann, kommt rein. Geräte lassen sich einzeln sperren, neue Geräte werden automatisch eingebunden, und der Stand der Technik ist erfüllt.
GEMAKOM plant und implementiert WPA3-Enterprise-Infrastrukturen für Unternehmen in der Metropolregion Rhein-Neckar — von der Konzeption über die Netzwerksicherheitsarchitektur bis zur fertigen Konfiguration. Mit über 30 Jahren Erfahrung im Mittelstand und herstellerunabhängiger Beratung.
Ist Ihr WLAN heute wirklich sicher?
Vereinbaren Sie ein kostenloses Erstgespräch — wir schauen es uns an.
Jetzt Termin vereinbarensales@gemakom.de | +49 6202 9260-0