Was ist Wireless Pentesting: ein Leitfaden für Spezialisten
Wireless Pentesting ist eine kontrollierte Simulation von Angriffen auf drahtlose Infrastruktur mit dem Ziel, echte Schwachstellen aufzudecken, bevor es jemand Unbefugtes tut. Die verbreitete Annahme, dass das Aktivieren von WPA3 und der Option „client isolation” ausreicht, um ein Netzwerk abzusichern, ist falsch. Verschlüsselungsprotokolle sind nur ein Teil des Puzzles, und das Testen der WLAN-Sicherheit deckt Schwachstellenebenen auf, die eine Standardkonfiguration offen lässt. Dieser Artikel erläutert die Methoden, Werkzeuge und den praktischen Ansatz des Wireless Pentestings aus technischer Sicht.
Inhaltsverzeichnis
Das Wichtigste in Kürze
| Punkt | Details |
|---|---|
| Definition von Wireless Pentesting | Eine kontrollierte Simulation von Angriffen auf Wi-Fi-Netzwerke zur Identifizierung von Schwachstellen, bevor sie real ausgenutzt werden. |
| Tests gehen über Passwörter hinaus | Ein Audit umfasst L2/L3-Segmentierung, Rogue APs, 802.1X-Authentifizierung und die Analyse von 802.11-Frames. |
| NIS2 und Sicherheitstests | NIS2 (Art. 21) verlangt regelmäßige Tests der Wirksamkeit von Sicherheitsmaßnahmen und eine Risikobewertung. Auditoren interpretieren das meist als jährlichen Penetrationstest für wesentliche Einrichtungen, die Richtlinie selbst schreibt jedoch keine feste Frequenz vor. |
| Client Isolation ersetzt keine Segmentierung | Client Isolation lässt sich umgehen, wie Angriffe vom Typ AirSnitch selbst bei aktiviertem WPA3 zeigen. |
| Testumgebungen reduzieren das rechtliche Risiko | Eine Cyber-Range erlaubt es, fortgeschrittene Techniken zu üben, ohne das Risiko eines Gesetzesverstoßes oder eines Eingriffs in fremde Infrastruktur. |
Was Wireless Pentesting ist und wie es funktioniert
Wireless Pentesting ist das methodische Testen der Sicherheit drahtloser Netzwerke durch die Simulation von Techniken, die echte Angreifer verwenden. Es geht nicht nur um den Versuch, ein WPA2-Passwort zu knacken. Ein professionelles Wi-Fi-Audit umfasst PSK-Brute-Force-Tests, Angriffe auf 802.1X, das Aufspüren von Rogue Access Points sowie die Bewertung der Segmentierung und von WIDS/WIPS-Systemen.
Die technische Grundlage ist der Standard IEEE 802.11 und seine Varianten, unter anderem 802.11a/b/g/n/ac/ax und 802.11be/Wi-Fi 7. Die einzelnen Generationen unterscheiden sich in der PHY/MAC-Schicht, den Kanälen, Bändern und Übertragungsfunktionen, während die Sicherheitsmechanismen durch die Brille von WPA2/WPA3, SAE, 802.1X/EAP, PMF und der Firmware-Implementierung von APs und Clients analysiert werden müssen. Ein Pentester muss verstehen, wie Management Frames, Control Frames und Data Frames funktionieren, denn genau auf dieser Ebene operieren die meisten fortgeschrittenen Techniken.
Wichtige Infrastrukturelemente, die während eines Tests analysiert werden:
-
Access Point (AP): Der wichtigste Einstiegspunkt. Wir testen die Konfiguration, die Firmware-Versionen und die Unterstützung von Authentifizierungsprotokollen.
-
Clients: An das Netzwerk angeschlossene Geräte. Wir prüfen ihr Verhalten gegenüber Rogue APs und ihre Anfälligkeit für MitM-Angriffe.
-
Netzwerksegmentierung: Überprüfung, ob VLANs den Datenverkehr zwischen Segmenten auf L2- und L3-Ebene tatsächlich isolieren.
-
WIDS/WIPS-Systeme: Bewertung der Wirksamkeit beim Erkennen und Blockieren nicht autorisierter Geräte.
Der Unterschied zwischen Client Isolation und Netzwerksegmentierung ist entscheidend. Client Isolation bietet in der Praxis oft keinen vollständigen Schutz vor Client-zu-Client-Verkehr und lässt sich umgehen. Eine auf VLANs basierende Segmentierung mit passenden Firewall-Regeln ist eine völlig andere Kontrollebene.
Profi-Tipp: Kartiere vor einem Test immer die Netzwerktopologie: Anzahl der APs, Kanäle, verwendete Authentifizierungsprotokolle und das Vorhandensein von WIDS/WIPS-Systemen. Ohne diese Grundlage bleibt der Test unvollständig.
Methoden und Werkzeuge des Wireless Pentestings
Ein praktischer Ansatz für Methoden des drahtlosen Pentestings erfordert Kenntnisse sowohl der technischen Protokollschicht als auch konkreter Werkzeuge. Nachfolgend eine Übersicht der wichtigsten Angriffskategorien aus der Perspektive eines Pentesters.
-
Angriffe auf die PSK-Authentifizierung (Brute-Force und Wörterbuch): Sie betreffen vor allem WPA/WPA2-Personal: das Abfangen eines Handshakes oder PMKID und der Versuch, sie offline mit Aircrack-ng/Hashcat zu knacken. Bei reinem WPA3-SAE ist das klassische Offline-Knacken eines abgefangenen Handshakes kein Standardszenario; die Tests konzentrieren sich eher auf den Transition-Modus, Konfigurationsfehler, Downgrade, schwache Clients und Implementierungsschwachstellen.
-
Angriffe auf 802.1X (Enterprise): Rogue-RADIUS-Server, Abfangen der EAP-Identität, Angriffe auf Zertifikate. Das ist ein deutlich schwierigeres Ziel als PSK, wird aber von Administratoren auch häufiger unterschätzt.
-
Evil Twin und Rogue AP: Das Erstellen eines gefälschten Access Points mit derselben SSID. Ein Teil der Clients kann sich mit dem Evil Twin verbinden, besonders wenn sie automatisches Verbinden aktiviert haben, ein stärkeres Signal bevorzugen oder das Zertifikat des RADIUS-Servers nicht korrekt validieren. In 802.1X-Umgebungen erlauben Werkzeuge wie hostapd-wpe, Konfigurationen zu testen, die für das Abfangen von Anmeldedaten anfällig sind, z. B. bei fehlerhafter PEAP/MSCHAPv2-Implementierung.
-
Deauthentifizierung (802.11 deauth attacks): Erzwingen der Trennung von Clients durch das Senden nicht autorisierter Deauth-Frames. Wirksam bei fehlendem PMF (Protected Management Frames).
-
Packet Injection: Verändern oder Einschleusen von 802.11-Frames, um den Netzwerkverkehr zu manipulieren oder die Widerstandsfähigkeit gegen solche Angriffe zu testen.
| Werkzeug | Einsatz | Typ |
|---|---|---|
| Aircrack-ng | Handshake-Erfassung, PSK-Knacken | Open-source |
| Hashcat | Offline-Knacken eines abgefangenen Handshakes/PMKID (WPA2). WPA3-SAE ist gegen Offline-Wörterbuchangriffe resistent. | Open-source |
| Hostapd-wpe | Rogue AP mit 802.1X-Unterstützung | Open-source |
| WPAxFuzz | Fuzz-Testing des WPA-Protokolls | Spezialisiert |
| Bl0ck | Angriffe auf Block-ACK-Frames (Block-Acknowledgment) in 802.11 | Spezialisiert |
| Wireshark | Analyse von Netzwerkverkehr und Frames | Open-source |
Wireless Pentesting entwickelt sich in Richtung des Testens von Schwachstellen auf der Ebene des 802.11-Frames mithilfe spezialisierter Werkzeuge wie WPAxFuzz und Bl0ck. Sie ersetzen die klassischen Werkzeuge nicht, sondern ergänzen sie in fortgeschrittenen Szenarien.
Profi-Tipp: Führe Tests ausschließlich in autorisierten Umgebungen oder in einer dedizierten Cyber-Range durch. Es gibt offene, virtuelle Umgebungen für das sichere Üben von Wi-Fi-Pentesting-Techniken, die das rechtliche Risiko ausschließen und die Produktivinfrastruktur nicht beeinträchtigen.
Praxisbeispiele für Wi-Fi-Angriffe
Theorie ist das eine, doch reale Beispiele für Wi-Fi-Angriffe zeigen, warum die Sicherheit drahtloser Netzwerke regelmäßige Überprüfung erfordert.
-
AirSnitch und das Umgehen von Client Isolation: Der AirSnitch-Angriff zeigt, wie Identitäts-Desynchronisation und Lücken in der Client Isolation fortgeschrittene MitM-Angriffe selbst bei aktiviertem WPA3 ermöglichen. Der Administrator sieht die aktivierte Isolationsoption und betrachtet das Thema als erledigt. Der Pentester prüft, ob die Isolation auf der Ebene der AP-Firmware funktioniert und nicht nur in der Konfigurationsrichtlinie.
-
Evil Twin in Unternehmensumgebungen: Ein gefälschter AP mit derselben SSID und einem stärkeren Signal kann einen Teil der Clients übernehmen, wenn diese automatisches Verbinden aktiviert haben oder das Zertifikat des RADIUS-Servers nicht korrekt validieren. Bei Enterprise-802.1X-Netzwerken erlauben Werkzeuge wie hostapd-wpe, Konfigurationen zu testen, die für das Abfangen von Anmeldedaten anfällig sind, z. B. bei fehlerhafter PEAP/MSCHAPv2-Implementierung.
-
Angriffe auf PMF (Protected Management Frames): Netzwerke ohne aktiviertes PMF sind anfällig für Deauthentifizierung. Der Pentester sendet Deauth-Frames, die Clients trennen sich und versuchen, sich erneut zu verbinden. In diesem Moment wird der Handshake für späteres Offline-Knacken abgefangen.
-
Protokollmanipulationen bei WPA3: WPA3 ersetzte PSK durch SAE (Simultaneous Authentication of Equals), was Offline-Wörterbuchangriffe erschwert. SAE-Implementierungen in älterer AP-Firmware waren jedoch mitunter für Seitenkanalangriffe (Side-Channel) anfällig. Der Pentester überprüft die Firmware-Version und bekannte CVEs für das jeweilige AP-Modell.
Schlecht abgesicherte Wi-Fi-Router werden von nachrichtendienstnahen Gruppen aktiv zum Abgreifen von Daten ausgenutzt. Das sind keine theoretischen Szenarien. Sie sind die Begründung für regelmäßige, dokumentierte Penetrationstests.
Jedes dieser Szenarien hat eine Gemeinsamkeit: Es ist für einen erfahrenen Pentester erkennbar, bevor es zum Vorfall wird. Geräte wie der Deauth Detector erlauben es zudem, eine Produktivumgebung in Echtzeit auf Deauthentifizierungsaktivität zu überwachen.
Wie man einen Wi-Fi-Penetrationstest durchführt
Effektives Pentesting drahtloser Netzwerke ist ein Prozess, keine einmalige Aktion. Wireless Pentesting ist ein fortlaufender Prozess, der den Kern des Risikomanagements im Hinblick auf die Wi-Fi-Einstiegspunkte in Unternehmensnetzwerke bildet.
Phasen eines Penetrationstests
Phase 1. Planung und Umfang (Scoping) Lege fest, welche Netzwerke vom Test erfasst sind, welche Techniken erlaubt sind und in welchem Zeitfenster. Hol dir eine schriftliche Autorisierung. Für unter NIS2 fallende Einrichtungen sollten Tests der Wirksamkeit von Sicherheitsmaßnahmen aus einer Risikobewertung, dem Umfang der Systeme und Änderungen der Infrastruktur hervorgehen. In der Praxis ist ein jährlicher Penetrationstest für kritische Umgebungen ein häufiger und vernünftiger Standard, doch die Richtlinie selbst schreibt keine einzelne feste Frequenz vor.
Phase 2. Aufklärung (Reconnaissance) Passives Scannen der Umgebung: Sammeln von Informationen über SSIDs, BSSIDs, Kanäle, Verschlüsselungstypen und den AP-Hersteller. Werkzeuge: Kismet, airodump-ng. In dieser Phase erzeugst du keinen an das getestete Netzwerk gerichteten Datenverkehr.
Phase 3. Enumeration und aktive Tests Aktive Überprüfung der erkannten Schwächen. Authentifizierungsversuche, Deauth-Tests, Überprüfung der Segmentierung zwischen VLANs, Identifizierung von Rogue APs. Das ist die zeitaufwendigste Phase.
Phase 4. Exploitation Bestätigung der Schwachstelle auf kontrollierte Weise. Der Übergang vom Erkennen einer Schwäche zur Demonstration ihrer realen Auswirkung: Sitzungsübernahme, Zugriff auf Netzwerkressourcen, Verkehr zwischen Segmenten.
Phase 5. Reporting Dokumentation aller Befunde mit einer Risikoklassifizierung (CVSS oder eigene Skala), einer technischen Beschreibung und Empfehlungen zur Behebung. Der Bericht muss sowohl für das technische Team als auch für die Geschäftsführung nützlich sein.
| Auditbereich | Was wir prüfen | Priorität |
|---|---|---|
| PSK/SAE-Authentifizierung | Passwortstärke, Anfälligkeit des Handshakes | Hoch |
| 802.1X-Authentifizierung | RADIUS-Konfiguration, EAP-Zertifikate | Hoch |
| L2/L3-Segmentierung | VLAN-Isolation, Firewall-Regeln | Hoch |
| Rogue AP / Evil Twin | Erkennung nicht autorisierter APs | Mittel |
| PMF (Protected Management Frames) | Aktivierung und korrekte Konfiguration | Mittel |
| WIDS/WIPS | Wirksamkeit der Anomalieerkennung | Niedrig/Mittel |
Profi-Tipp: Teste die Netzwerksegmentierung immer aus der Perspektive eines Clients, der sich in jedem Segment einzeln befindet. Firewall-Regeln können den Verkehr auf L3-Ebene blockieren, doch Fehler in der Switch-Konfiguration erlauben L2-Verkehr zwischen VLANs. Das ist ein klassischer Konfigurationsfehler, der Audits entgeht, die ausschließlich auf der Durchsicht von Dokumentation beruhen.
Hardware-Werkzeuge sind hier von entscheidender Bedeutung. Eine Wi-Fi-Karte mit Unterstützung für Monitor-Modus und Packet Injection (z. B. mit einem Atheros AR9271 oder MediaTek MT7612U Chipsatz) ist das Minimum. IT-Sicherheitsspezialisten nutzen auch dedizierte SDR-Hardware für Pentesting, um das Funkspektrum zu analysieren und Übertragungsanomalien zu erkennen.
Expertenperspektive: worauf es beim Wireless Pentesting wirklich ankommt
Aus meiner Sicht liegt das größte Problem beim Testen der Sicherheit drahtloser Netzwerke nicht in den Werkzeugen oder gar im technischen Wissen. Es liegt in dem falschen Sicherheitsgefühl, das Technologie-Etiketten erzeugen.
Ich habe Organisationen gesehen, die in ihrem Admin-Panel die Kennzeichnung WPA3 hatten, aber in der Praxis im WPA2/WPA3-Transition-Modus liefen, mit Legacy-Clients und unvollständiger PMF-Durchsetzung. In einem solchen Szenario reicht der bloße Schriftzug „WPA3” nicht aus - der Pentester muss die tatsächliche BSS-Konfiguration, das Verhalten der Clients und die Möglichkeit eines Fallbacks auf schwächere Modi prüfen. Das Protokoll ist neu, aber die Umsetzung ist unvollständig.
Ich bin zu dem Schluss gekommen, dass der Ansatz für Segmentierung und ganzheitliche Sicherheit wichtiger ist als die Wahl des Verschlüsselungsprotokolls selbst. Ein in VLANs unterteiltes Netzwerk mit strengen Regeln zwischen ihnen, selbst mit WPA2, ist ein schwierigeres Ziel als ein flaches Netzwerk mit WPA3.
Die Frage der Testumgebungen ist mir besonders wichtig. Ich lerne und teste in isolierten Cyber-Ranges, nicht auf fremder Infrastruktur. Das ist nicht nur eine Frage des Rechts. Es ist eine Frage der Testqualität: In einer kontrollierten Umgebung kann ich dasselbe Szenario viele Male reproduzieren, was in einem Produktivnetzwerk unmöglich ist.
Für alle, die anfangen: Beginnt mit einer soliden Grundlage in den 802.11-Protokollen und greift erst dann zu fortgeschrittenen Werkzeugen. Das Verständnis des Angriffsmechanismus ist wichtiger als die Kenntnis des Werkzeugs, das diesen Angriff ausführt. Werkzeuge ändern sich. Protokolle entwickeln sich langsamer.
— Krystian
Wireless-Pentesting-Hardware bei Sapsan-sklep
Wireless Pentesting erfordert die passende Hardware. Wissen und Software allein reichen nicht aus ohne Netzwerkkarten mit Unterstützung für den Monitor-Modus, Adapter mit Packet-Injection-Fähigkeit und dedizierte Geräte zur Analyse der Funkumgebung. Aus unserer Erfahrung in der Ausstattung von Pentestern ergibt sich eine einfache Lektion: Der häufigste Engpass ist nicht das Wissen, sondern der Adapter, der auf dem Papier den Monitor-Modus angibt, in der Praxis aber bei Injection Frames verliert. Deshalb wählen wir Hardware nach der realen Durchführbarkeit des Tests aus, nicht nach der reinen Papierspezifikation.
Sapsan-sklep bietet Hardware für professionelle Pentester und Cybersecurity-Enthusiasten: Wi-Fi-Adapter mit Unterstützung für fortgeschrittene Testmodi, SDR-Geräte, BadUSB-Hardware und Zubehör für Plattformen wie Flipper Zero. Alle Produkte sind mit Versand in die gesamte EU und in die USA erhältlich. Die Grundlage von Wi-Fi-Tests ist ein Adapter mit Unterstützung für Monitor-Modus und Packet Injection. Sieh dir den ALFA AWUS036ACHM auf dem MediaTek MT7610U Chipsatz an, einen kompakten Dual-Band-802.11ac-Adapter für grundlegende Wi-Fi-Tests, oder den ALFA AWUS036AXML mit Wi-Fi-6-Unterstützung, wenn du die neuesten Netzwerke testest.
FAQ
Was ist Wireless Pentesting in Kürze?
Wireless Pentesting ist eine kontrollierte Simulation von Angriffen auf Wi-Fi-Netzwerke, die zur Identifizierung von Sicherheitslücken durchgeführt wird. Sie umfasst Authentifizierungstests, Tests der Netzwerksegmentierung und das Aufspüren gefälschter Access Points.
Macht WPA3 Penetrationstests überflüssig?
Nein. WPA3 verbessert die Authentifizierungssicherheit und verlangt PMF für WPA3-Verbindungen, beseitigt aber nicht die Notwendigkeit von Tests. Ein Pentester sollte weiterhin den WPA2/WPA3-Transition-Modus, das Verhalten von Legacy-Clients, die korrekte PMF-Durchsetzung, die Widerstandsfähigkeit gegen Evil Twin, die Segmentierungskonfiguration und die Aktualität der AP-Firmware prüfen.
Welche Werkzeuge werden für Wi-Fi-Pentesting benötigt?
Die Grundausstattung ist eine Wi-Fi-Karte mit Monitor-Modus und Packet Injection, Aircrack-ng zur Handshake-Analyse, Wireshark zur Verkehrsanalyse und optional Hashcat zum Offline-Knacken von Hashes. Fortgeschrittene Tests erfordern zudem dedizierte SDR-Hardware.
Wie oft sollte man Penetrationstests des drahtlosen Netzwerks durchführen?
Die NIS2-Richtlinie (Art. 21) verpflichtet wesentliche Einrichtungen, ihre Sicherheit regelmäßig zu testen und Risiken zu bewerten, schreibt aber keine feste Frequenz vor. In der Praxis nimmt man einen Penetrationstest mindestens einmal jährlich und nach jeder wesentlichen Änderung der Infrastruktur an. Für andere Organisationen ist das ein guter Mindeststandard.
Worin unterscheidet sich Client Isolation von Netzwerksegmentierung?
Client Isolation ist eine AP-Funktion, die die direkte Kommunikation zwischen Clients desselben Netzwerks blockiert, sich aber auf Firmware-Ebene umgehen lässt. Eine auf VLANs basierende Netzwerksegmentierung mit Firewall-Regeln gewährleistet Isolation auf L2- und L3-Ebene und ist deutlich schwerer zu umgehen.