netCrew Logo

WPA2 vs. WPA3

WLAN-Sicherheit im Unternehmen
Home 
» 
Blog 
» 
WPA2 vs. WPA3
In diesem Beitrag
Primary Item (H2)

WLAN ist in vielen Unternehmen so selbstverständlich geworden wie Strom aus der Steckdose. Es soll einfach funktionieren. Mitarbeitende erwarten stabile Verbindungen im Büro, Besprechungsräume brauchen drahtlose Präsentationstechnik, Scanner und Handhelds hängen am Funknetz, Besucher möchten Internetzugang und Produktionssysteme funken manchmal an Stellen, an denen früher ein Netzwerkkabel lag.

Gerade deshalb wird die Frage nach WPA2 oder WPA3 häufig zu technisch betrachtet. Man schaut in die Oberfläche des Access Points, sieht dort eine Auswahlbox und denkt: Neu ist besser, also WPA3 aktivieren. Oder umgekehrt: WPA2 funktioniert seit Jahren, also lassen wir alles wie es ist. Beide Reaktionen sind verständlich. Beide greifen aber zu kurz.

Für Unternehmen geht es nicht nur darum, ob WPA3 kryptografisch moderner ist als WPA2. Das ist es. Entscheidend ist vielmehr, ob die gewählte WLAN-Sicherheitsarchitektur zu den vorhandenen Geräten, zu den betrieblichen Abläufen, zu den Compliance-Anforderungen und zur Risikotoleranz des Unternehmens passt. Ein WLAN ist kein einzelnes Schloss an einer Tür. Es ist eher ein Zugangssystem für ein ganzes Gebäude, bei dem Mitarbeitende, Gäste, Dienstleister, Sensoren und Maschinen unterschiedliche Türen nutzen sollen.

Dieser Artikel erklärt, worauf Entscheider im Mittelstand achten sollten, wenn WPA2, WPA3, WPA2-Enterprise, WPA3-Enterprise, Gäste-WLAN, IoT-Geräte und moderne Wi-Fi-Standards wie Wi-Fi 6E oder Wi-Fi 7 zusammenkommen.

Warum die WPA-Frage für Unternehmen mehr ist als eine technische Detailentscheidung

WPA steht für Wi-Fi Protected Access. Dahinter steckt der Sicherheitsrahmen, mit dem sich Geräte an einem WLAN anmelden und mit dem die Funkverbindung verschlüsselt wird. Vereinfacht gesagt beantwortet WPA zwei Fragen: Wer darf ins Netzwerk? Und wie wird verhindert, dass Dritte den Datenverkehr einfach mitlesen?

Bei privaten WLANs läuft diese Frage oft auf ein gemeinsames Passwort hinaus. In Unternehmen ist die Lage komplizierter. Dort hängt am WLAN nicht nur ein Laptop, sondern häufig ein bunter Gerätepark: Windows-Notebooks, MacBooks, Smartphones, Tablets, Drucker, Lagergeräte, Kassensysteme, Kameras, Maschinensteuerungen, Sensoren und immer öfter auch Geräte, die niemand so richtig auf dem Radar hat.

Ein mittelständisches Unternehmen kann technisch sehr modern wirken und trotzdem ein WLAN betreiben, das organisatorisch wackelt. Zum Beispiel wenn alle Mitarbeitenden dasselbe WLAN-Passwort kennen. Oder wenn ehemalige Beschäftigte theoretisch noch Zugang hätten, weil das Passwort nie geändert wurde. Oder wenn ein Lieferant sein Tablet im internen Netz nutzen darf, obwohl eigentlich nur ein isoliertes Gästenetz vorgesehen wäre.

Die Entscheidung WPA2 vs. WPA3 ist daher kein reines Update-Thema. Sie ist ein guter Anlass, die gesamte WLAN-Struktur zu prüfen. In vielen Projekten zeigt sich: Der Wechsel auf WPA3 bringt erst dann echten Mehrwert, wenn auch Segmentierung, Authentifizierung, Geräteverwaltung und Monitoring mitgedacht werden.

WPA2 kurz erklärt: Warum der Standard noch nicht automatisch unsicher ist

WPA2 ist seit vielen Jahren der verbreitete Sicherheitsstandard für WLANs. In der Praxis begegnet man vor allem zwei Varianten: WPA2-Personal und WPA2-Enterprise.

WPA2-Personal arbeitet mit einem gemeinsamen Passwort, dem sogenannten Pre-Shared Key. Alle berechtigten Geräte nutzen dasselbe WLAN-Kennwort. Das ist einfach einzurichten und für kleine Umgebungen bequem. In Unternehmen wird es aber schnell unübersichtlich. Sobald ein Passwort vielen Personen bekannt ist, lässt es sich kaum noch kontrollieren. Wird ein Gerät verloren, verlässt ein Mitarbeiter das Unternehmen oder wurde das Passwort an externe Dienstleister weitergegeben, müsste das Kennwort konsequent geändert werden. In der Realität passiert das oft nicht.

WPA2-Enterprise geht anders vor. Hier melden sich Benutzer oder Geräte individuell an, meist über 802.1X und einen RADIUS-Server. Statt eines gemeinsamen WLAN-Passworts kommen persönliche Zugangsdaten oder Zertifikate zum Einsatz. Das ist administrativ anspruchsvoller, aber aus Unternehmenssicht deutlich sauberer. Zugänge lassen sich entziehen, Berechtigungen können differenziert werden und die Anmeldung lässt sich besser protokollieren.

WPA2 ist also nicht per se veraltet im Sinne von "sofort abschalten". Ein sauber konfiguriertes WPA2-Enterprise mit starker Authentifizierung, aktuellen Systemen und klarer Netzwerksegmentierung kann weiterhin ein tragfähiger Bestandteil einer Unternehmensumgebung sein. Problematisch wird es vor allem dort, wo WPA2-Personal mit schwachen oder lange nicht geänderten Passwörtern genutzt wird.

Das ist ein wenig wie bei einem mechanischen Schlüssel. Ein guter Schließzylinder hilft wenig, wenn zwanzig Kopien des Schlüssels im Umlauf sind und niemand mehr weiß, wer eine davon besitzt.

WPA3 kurz erklärt: Was der neuere Standard besser macht

WPA3 wurde entwickelt, um Schwächen und Grenzen von WPA2 zu adressieren. Auch WPA3 gibt es in mehreren Ausprägungen. Für Unternehmen sind vor allem WPA3-Personal, WPA3-Enterprise und WPA3-Enterprise mit 192-Bit-Sicherheitsmodus relevant.

Bei WPA3-Personal wird das klassische PSK-Verfahren durch SAE ersetzt. SAE steht für Simultaneous Authentication of Equals. Der wichtigste praktische Vorteil: Angriffe auf schwache Passwörter werden erschwert, insbesondere klassische Offline-Wörterbuchangriffe. Bei WPA2-Personal konnte ein Angreifer unter bestimmten Bedingungen einen Handshake mitschneiden und anschließend offline massenhaft Passwörter ausprobieren. WPA3-Personal macht diese Art des Vorgehens deutlich schwieriger.

WPA3 bringt außerdem Protected Management Frames stärker in den Fokus. Management Frames sind Steuerinformationen im WLAN. Sie sorgen unter anderem dafür, dass Geräte sich verbinden, trennen oder zwischen Access Points wechseln. Werden solche Steuerinformationen missbraucht, können Angreifer Verbindungen stören oder Geräte zu unerwünschtem Verhalten bringen. Geschützte Management Frames reduzieren diese Angriffsfläche.

WPA3-Enterprise bleibt im Grundprinzip nah an WPA2-Enterprise, setzt aber modernere Sicherheitsanforderungen voraus. Für besonders sensible Umgebungen gibt es zusätzlich den 192-Bit-Sicherheitsmodus. Dieser ist allerdings nicht für jedes mittelständische Unternehmen automatisch sinnvoll. Er stellt höhere Anforderungen an Clients, Access Points, RADIUS-Server, Zertifikate und verwendete EAP-Methoden.

Wichtig ist: WPA3 ist ein Fortschritt, aber kein Zauberstab. Ein WLAN mit WPA3, aber ohne sinnvolle Segmentierung, ohne saubere Geräteverwaltung und mit schlecht gepflegten Access Points kann weiterhin riskant sein. Umgekehrt kann ein professionell betriebenes WPA2-Enterprise in der Praxis sicherer sein als ein halbherzig aktiviertes WPA3-Personal.

WPA2 vs. WPA3 im direkten Vergleich

Die Unterschiede zwischen WPA2 und WPA3 lassen sich technisch sehr tief ausführen. Für Entscheider ist aber vor allem relevant, welche Konsequenzen daraus im Betrieb entstehen. Die folgende Übersicht ordnet die wichtigsten Punkte ein.

Bereich
WPA2
WPA3
Passwortbasierte Anmeldung
WPA2-Personal nutzt ein gemeinsames Passwort. Das ist einfach, aber in Unternehmen schwer zu kontrollieren, wenn viele Personen und Geräte beteiligt sind.
WPA3-Personal nutzt SAE und erschwert typische Offline-Angriffe auf Passwörter deutlich. Schwache oder weitergegebene Passwörter bleiben trotzdem ein Risiko.
Enterprise-Betrieb
WPA2-Enterprise mit 802.1X, RADIUS und idealerweise Zertifikaten ist weiterhin eine solide Basis, wenn es sauber umgesetzt wird.
WPA3-Enterprise erhöht die Anforderungen an moderne Sicherheitsfunktionen und ist besonders interessant bei Neuaufbau, Hardware-Erneuerung und 6-GHz-Nutzung.
Kompatibilität
Sehr breite Unterstützung, auch bei älteren Clients, Druckern, Scannern, Maschinen und IoT-Geräten.
Moderne Geräte unterstützen WPA3 meist gut. Ältere Geräte können Probleme machen, vor allem wenn WPA3 ohne Übergangsmodus aktiviert wird.
Management Frames
Protected Management Frames können unterstützt werden, sind aber nicht überall konsequent verpflichtend aktiviert.
Protected Management Frames spielen eine zentrale Rolle und werden in modernen WPA3-Szenarien deutlich strenger eingefordert.
Strategische Eignung
Für Bestandsumgebungen oft noch praktikabel, wenn Enterprise-Authentifizierung, starke Passwörter und Segmentierung vorhanden sind.
Für neue WLAN-Designs, moderne Clients, Wi-Fi 6E, Wi-Fi 7 und höhere Sicherheitsanforderungen klar die zukunftsfähigere Richtung.

Der häufigste Denkfehler: WPA3 aktivieren und Sicherheit erwarten

Viele Sicherheitsprobleme im WLAN entstehen nicht, weil der falsche Standard ausgewählt wurde. Sie entstehen, weil das WLAN zu flach gedacht wird. Ein einziges Netz für alle Geräte. Ein Passwort für alle. Keine Trennung zwischen Mitarbeitenden, Gästen und Technik. Keine Übersicht, welche Geräte sich regelmäßig verbinden. Keine klare Regel, was passiert, wenn ein Gerät verloren geht.

WPA3 kann solche strukturellen Schwächen nicht automatisch korrigieren. Es verbessert die Sicherheit der Funkverbindung und der Authentifizierung. Es ersetzt aber kein Netzwerkdesign.

Ein gutes Bild dafür ist ein moderner Autoschlüssel. Er schützt besser gegen einfache Manipulation als ein alter Schlüssel. Wenn das Auto aber dauerhaft offen auf dem Hof steht, hilft die modernere Schlüsseltechnik nur begrenzt. Beim WLAN ist es ähnlich: Der Standard ist wichtig, aber er ist nur ein Teil des Sicherheitskonzepts.

Unternehmen sollten WPA3 deshalb nicht als isoliertes Häkchen betrachten, sondern als Bestandteil einer Modernisierung. Dazu gehören Fragen wie: Welche Geräte müssen wirklich ins interne Netz? Welche Geräte brauchen nur Internetzugang? Welche Systeme dürfen miteinander sprechen? Wie werden Benutzer identifiziert? Wie schnell kann ein Zugang entzogen werden? Wer sieht ungewöhnliche Verbindungsversuche?

Personal oder Enterprise: Die wichtigere Entscheidung hinter WPA2 und WPA3

In der Praxis ist die Unterscheidung zwischen Personal und Enterprise oft wichtiger als die reine Frage WPA2 oder WPA3.

WPA2-Personal oder WPA3-Personal bedeutet: Es gibt ein gemeinsames WLAN-Passwort. Das kann für sehr kleine Standorte, getrennte Techniknetze oder bestimmte Übergangsszenarien ausreichen. Für produktive Unternehmensnetze ist es aber selten die beste Lösung. Das Problem liegt weniger in der Verschlüsselung selbst, sondern in der Verwaltung des gemeinsamen Geheimnisses.

WPA2-Enterprise oder WPA3-Enterprise bedeutet: Die Anmeldung erfolgt individuell. Benutzer oder Geräte authentifizieren sich über eine zentrale Infrastruktur. Häufig kommen Zertifikate zum Einsatz. Das ist für Unternehmen erheblich besser steuerbar. Verlässt ein Mitarbeiter das Unternehmen, wird sein Konto deaktiviert. Wird ein Notebook ausgetauscht, kann das alte Zertifikat gesperrt werden. Für verschiedene Rollen können unterschiedliche Netzwerkbereiche zugewiesen werden.

Gerade im Mittelstand wird WPA-Enterprise manchmal als zu groß oder zu komplex wahrgenommen. Das muss nicht stimmen. Viele Unternehmen haben mit Microsoft 365, Active Directory, Entra ID, Mobile Device Management oder vorhandenen Firewall- und Netzwerkkomponenten bereits Teile der notwendigen Basis. Die eigentliche Arbeit liegt dann weniger in der Anschaffung eines exotischen Systems, sondern in der sauberen Planung: Zertifikatsstrategie, Rollenmodell, RADIUS-Anbindung, Client-Konfiguration und Betriebskonzept.

Professionelle Unterstützung ist an dieser Stelle oft sinnvoll, weil kleine Fehlkonfigurationen große Wirkung haben können. Ein falsch validiertes Serverzertifikat oder eine unklare EAP-Konfiguration kann dazu führen, dass Benutzer zwar verbunden sind, aber nicht so sicher, wie man denkt.

Der Übergangsmodus: Praktisch, aber nicht die endgültige Lösung

Viele Access Points bieten einen WPA2/WPA3-Transition Mode. Dieser Übergangsmodus erlaubt es, dass ältere Geräte weiterhin per WPA2 verbinden können, während neuere Geräte WPA3 nutzen. Für die Migration ist das sehr hilfreich. Ohne einen solchen Modus würde ein Unternehmen beim Umschalten auf WPA3 möglicherweise feststellen, dass Scanner, Drucker, ältere Notebooks oder Spezialgeräte plötzlich keine Verbindung mehr bekommen.

Der Übergangsmodus ist aber ein Kompromiss. Er ist wie eine Baustellenumleitung: notwendig, damit der Verkehr weiterläuft, aber nicht der Zustand, den man jahrelang beibehalten möchte.

Der Grund ist einfach. Solange WPA2 weiterhin auf derselben SSID erlaubt ist, bleibt ein Teil der alten Angriffsfläche bestehen. Außerdem können Kompatibilitätsfragen bei Protected Management Frames auftreten. Manche Clients verhalten sich im Mischbetrieb anders als erwartet. Andere verbinden sich zwar, nutzen aber nicht die gewünschte Sicherheitsvariante.

Für Unternehmen empfiehlt sich deshalb ein geplanter Übergang. Zunächst sollte geprüft werden, welche Clients WPA3 tatsächlich unterstützen. Danach kann ein Pilotnetz eingerichtet werden. Anschließend lassen sich moderne Geräte migrieren, während ältere Geräte entweder ersetzt, isoliert oder in ein separates Netz verschoben werden.

WPA3 und 6 GHz: Warum Wi-Fi 6E und Wi-Fi 7 die Entscheidung beschleunigen

Mit Wi-Fi 6E und Wi-Fi 7 gewinnt das 6-GHz-Band an Bedeutung. Für Unternehmen ist das attraktiv, weil zusätzliche Frequenzbereiche mehr Kapazität und weniger Überlastung versprechen können. Gerade in dicht belegten Büros, Schulungsräumen oder Produktionsbereichen kann das spürbare Vorteile bringen.

Beim Thema Sicherheit hat 6 GHz jedoch eine wichtige Konsequenz: WPA2 ist dort nicht der vorgesehene Betriebsmodus. Wer moderne 6-GHz-WLANs nutzen möchte, kommt praktisch an WPA3 oder Enhanced Open für offene Netze nicht vorbei. Das macht die WPA3-Frage strategischer. Es geht nicht nur um bessere Sicherheit, sondern auch um Zukunftsfähigkeit der WLAN-Infrastruktur.

Viele Unternehmen werden deshalb nicht über Nacht von WPA2 auf WPA3 wechseln. Wahrscheinlicher ist ein gemischtes Szenario: Bestehende 2,4-GHz- und 5-GHz-Netze laufen vorübergehend weiter, während neue SSIDs oder neue Frequenzbereiche mit WPA3 geplant werden. Das kann sinnvoll sein, sollte aber bewusst gesteuert werden. Sonst entsteht eine WLAN-Landschaft, in der niemand mehr genau weiß, welches Netz für welchen Zweck gedacht ist.

Gäste-WLAN: Bitte nicht mit dem internen WLAN vermischen

Das Gäste-WLAN ist einer der Bereiche, in denen Sicherheitsarchitektur besonders sichtbar wird. Besucher brauchen meist keinen Zugriff auf interne Systeme. Sie brauchen Internet. Vielleicht Zugriff auf ein Videokonferenzsystem. Vielleicht eine Anmeldung über ein Portal. Aber sie brauchen keinen Weg zu Dateiservern, ERP-Systemen, Druckern oder Produktionsanlagen.

Ob das Gäste-WLAN mit WPA2, WPA3 oder Enhanced Open betrieben wird, ist nur ein Teil der Überlegung. Wichtiger ist die Isolation. Gäste sollten in einem getrennten Netzwerksegment landen, idealerweise mit klaren Firewall-Regeln, Bandbreitenbegrenzung und zeitlich begrenztem Zugang. Auch die Trennung zwischen Gastgeräten untereinander kann sinnvoll sein, damit Besucher nicht gegenseitig auf ihre Geräte zugreifen können.

Für offene Gäste-WLANs kann Enhanced Open interessant sein. Es bietet Verschlüsselung ohne klassisches WLAN-Passwort. Das ersetzt keine Benutzeridentifikation und keine Nutzungsbedingungen, verbessert aber die Vertraulichkeit gegenüber komplett offenen Netzen. Für Unternehmen mit regelmäßigem Publikumsverkehr, Schulungsbetrieb oder Kundenbereichen lohnt sich eine genauere Betrachtung.

IoT, Drucker und Spezialgeräte: Die heimlichen Bremsklötze der WPA3-Migration

In vielen Unternehmen scheitert die schnelle WPA3-Einführung nicht an den neuen Notebooks. Sie scheitert an Geräten, die selten im Mittelpunkt stehen. Etikettendrucker, Barcode-Scanner, Zeiterfassungsterminals, Kameras, Türsysteme, Messgeräte, Maschinenadapter oder ältere Tablets können jahrelang im Einsatz sein und unterstützen oft nur bestimmte WLAN-Sicherheitsmodi.

Diese Geräte einfach im internen Netz zu belassen, weil sie "halt funktionieren müssen", ist riskant. Gleichzeitig ist ein sofortiger Austausch nicht immer wirtschaftlich. Deshalb braucht es einen pragmatischen Umgang.

Der erste Schritt ist eine Bestandsaufnahme. Welche Geräte verbinden sich mit welchen SSIDs? Welche Sicherheitsmodi unterstützen sie? Gibt es Firmware-Updates? Welche Geräte sind geschäftskritisch? Welche Geräte könnten mittelfristig ersetzt werden?

Der zweite Schritt ist Segmentierung. Ein älterer Scanner muss vielleicht weiterhin per WPA2 verbinden. Das bedeutet aber nicht, dass er Zugriff auf das gesamte Unternehmensnetz haben sollte. Ein eigenes Netzwerksegment mit eng definierten Firewall-Regeln kann das Risiko deutlich reduzieren. So wird aus einem Altgerät nicht automatisch ein offenes Fenster in alle Systeme.

Der dritte Schritt ist ein Lebenszyklusplan. Jedes Gerät, das WPA3 nicht unterstützt und keine Updates mehr erhält, sollte ein realistisches Ablaufdatum bekommen. Nicht zwingend morgen, aber auch nicht irgendwann. "Irgendwann" ist in IT-Projekten oft ein anderes Wort für "nie".

Passwörter bleiben wichtig, auch mit WPA3

WPA3-Personal erschwert Angriffe auf Passwörter. Es macht schwache Passwörter aber nicht empfehlenswert. Ein kurzes, naheliegendes oder mehrfach verwendetes WLAN-Passwort bleibt ein Risiko, besonders wenn es intern breit verteilt oder an Dritte weitergegeben wird.

Für Unternehmensnetze sollte ein gemeinsames Passwort nur dort eingesetzt werden, wo es bewusst vertretbar ist. Wenn ein Passwort genutzt wird, sollte es lang, zufällig und nicht sprechend sein. Begriffe wie Firmenname, Standort, Jahreszahl oder Produktname haben in einem WLAN-Kennwort nichts verloren. Auch Varianten wie "Firma2026!" sind eher ein psychologischer Trost als ein Sicherheitskonzept.

Noch besser ist es, Passwörter als Zugangsmethode für Mitarbeitende ganz zu vermeiden und auf Enterprise-Authentifizierung mit Zertifikaten zu setzen. Dann muss niemand ein WLAN-Passwort kennen. Geräte erhalten ihre Berechtigung kontrolliert, etwa über Mobile Device Management oder automatisierte Zertifikatsverteilung.

Segmentierung: Der unterschätzte Sicherheitsgewinn

Ein WLAN sollte nicht als ein großer Raum verstanden werden, in dem alle Geräte frei miteinander sprechen. Besser ist ein Modell mit mehreren Bereichen. Mitarbeitende, Gäste, private Geräte, IoT-Systeme, Produktionsgeräte und Administrationszugänge haben unterschiedliche Schutzbedarfe.

Segmentierung bedeutet, diese Bereiche technisch voneinander zu trennen. Das kann über VLANs, Firewall-Regeln, rollenbasierte Zugriffe oder Network Access Control erfolgen. Im Idealfall entscheidet nicht nur die SSID darüber, wo ein Gerät landet, sondern auch seine Identität, sein Zustand und seine Rolle.

Ein Beispiel: Das Notebook eines Mitarbeiters bekommt nach erfolgreicher Zertifikatsanmeldung Zugriff auf interne Anwendungen. Das private Smartphone desselben Mitarbeiters landet in einem separaten Netz mit Internetzugang. Ein Drucker darf mit dem Druckserver sprechen, aber nicht mit dem ERP-System. Ein Gastgerät darf ins Internet, aber nicht zu anderen Gästen. Genau solche Regeln machen den Unterschied zwischen "WLAN ist verschlüsselt" und "WLAN ist sicher betrieben".

Monitoring und Betrieb: WLAN-Sicherheit ist kein einmaliges Projekt

Ein sicher eingerichtetes WLAN kann im Laufe der Zeit unsicher werden. Neue Geräte kommen dazu, alte Geräte bleiben länger als geplant, Firmware wird nicht aktualisiert, ein zusätzlicher Access Point wird schnell eingebunden, ein Dienstleister braucht kurzfristig Zugang. Jede einzelne Änderung kann harmlos wirken. Zusammen entsteht irgendwann ein Zustand, der niemandem mehr vollständig bekannt ist.

Deshalb gehört Monitoring zur WLAN-Sicherheit. Unternehmen sollten wissen, welche Access Points aktiv sind, welche Clients sich verbinden, welche Authentifizierungsfehler auftreten und ob unbekannte oder verdächtige Funknetze in der Umgebung auftauchen. Auch Rogue Access Points sind ein Thema. Ein unautorisierter Access Point im Büro kann Sicherheitskonzepte umgehen, selbst wenn das offizielle WLAN gut abgesichert ist.

Regelmäßige Firmware-Updates für Access Points, Controller und Clients sind ebenfalls Pflicht. Gerade WLAN-Komponenten sind exponiert. Sie kommunizieren per Funk, oft über große Flächen hinweg. Ein Access Point ist nicht einfach ein Stück Infrastruktur im Technikraum. Er ist ein aktiver Sicherheitsknoten am Rand des Unternehmensnetzes.

Typische Entscheidungsszenarien im Mittelstand

Nicht jedes Unternehmen startet an derselben Stelle. Deshalb gibt es auch nicht die eine richtige Antwort auf WPA2 vs. WPA3. Sinnvoller ist eine Einordnung nach Ausgangslage.

Das Unternehmen nutzt WPA2-Personal mit gemeinsamem Passwort

Das ist häufig der kritischste Fall. Der Wechsel auf WPA3-Personal wäre zwar eine Verbesserung, löst aber das Grundproblem nicht vollständig. Wenn viele Personen dasselbe Passwort kennen, bleibt die Kontrolle schwach. Für ein produktives Unternehmensnetz sollte mittelfristig WPA-Enterprise geplant werden. Kurzfristig können ein starkes neues Passwort, getrennte Netze und eine saubere Geräteliste helfen.

Das Unternehmen nutzt WPA2-Enterprise sauber mit Zertifikaten

Hier besteht meist kein Grund zur Panik. Eine gut betriebene WPA2-Enterprise-Umgebung kann solide sein. Trotzdem sollte WPA3 in die Infrastrukturplanung aufgenommen werden, besonders bei neuen Access Points, neuen Clients und geplanter Nutzung von Wi-Fi 6E oder Wi-Fi 7. Wichtig ist, die Migration zu testen und nicht einfach global umzuschalten.

Das Unternehmen erneuert gerade seine WLAN-Infrastruktur

Dann sollte WPA3 von Anfang an berücksichtigt werden. Neue Access Points sollten WPA3, WPA3-Enterprise, Protected Management Frames und moderne Betriebsmodi zuverlässig unterstützen. Auch der RADIUS-Server, Zertifikatsdienste und Client-Management müssen betrachtet werden. Eine neue WLAN-Infrastruktur auf reines WPA2 auszulegen, wäre in den meisten Fällen zu kurz gedacht.

Das Unternehmen hat viele Spezialgeräte oder Produktionssysteme

Hier ist eine vorsichtige Migration wichtig. Zuerst sollten Geräte inventarisiert und getestet werden. Für nicht kompatible Geräte kann ein separates, streng begrenztes Netz sinnvoll sein. Parallel sollte geprüft werden, welche Geräte durch Firmware-Updates WPA3-fähig werden und welche mittelfristig ersetzt werden müssen.

Checkliste: Worauf Unternehmen vor der WPA3-Einführung achten sollten

Vor der Umstellung lohnt sich eine strukturierte Prüfung. Die folgenden Punkte helfen dabei, nicht nur den Standard zu wechseln, sondern die WLAN-Sicherheit insgesamt zu verbessern.

  • Prüfen Sie zuerst, welche Access Points, Controller und WLAN-Clients WPA3 tatsächlich unterstützen. Verlassen Sie sich nicht nur auf Datenblätter, sondern testen Sie typische Geräte aus Ihrem Alltag.

  • Unterscheiden Sie klar zwischen internen Mitarbeiternetzen, Gästenetzen, IoT-Netzen und technischen Spezialnetzen. Ein Standard für alles ist selten die beste Lösung.

  • Bewerten Sie, ob WPA-Personal für produktive Unternehmenszugänge noch angemessen ist. In vielen Fällen ist Enterprise-Authentifizierung mit individuellen Identitäten die deutlich bessere Wahl.

  • Planen Sie den Übergangsmodus nur als Migrationshilfe. Er sollte nicht dauerhaft die strategische Zielarchitektur ersetzen.

  • Aktivieren und testen Sie Protected Management Frames bewusst. Gerade ältere Clients können hier unerwartet reagieren.

  • Denken Sie an Zertifikate, RADIUS, Mobile Device Management und Benutzerprozesse. WPA3-Enterprise ist nicht nur eine Access-Point-Einstellung.

  • Legen Sie fest, wie mit Geräten umgegangen wird, die WPA3 nicht unterstützen. Dazu gehören Segmentierung, Ersatzplanung und klare Verantwortlichkeiten.

  • Dokumentieren Sie SSIDs, VLANs, Firewall-Regeln und Zugriffsrollen so, dass sie auch in einem Jahr noch nachvollziehbar sind.

  • Überwachen Sie Authentifizierungsfehler, unbekannte Geräte und verdächtige Access Points regelmäßig. Sicherheit endet nicht mit der erfolgreichen Umstellung.

Empfohlene Zielarchitektur: Nicht kompliziert, aber bewusst

Eine praxistaugliche WLAN-Zielarchitektur für mittelständische Unternehmen muss nicht überladen sein. Sie sollte aber klare Prinzipien verfolgen.

Für Mitarbeitende bietet sich ein Enterprise-WLAN mit individueller Authentifizierung an. Idealerweise werden Zertifikate genutzt, die automatisiert auf verwaltete Geräte ausgerollt werden. Dadurch müssen Benutzer keine WLAN-Passwörter kennen, und der Zugriff lässt sich sauber steuern.

Für Gäste sollte ein getrenntes Netz mit Internetzugang und klarer Isolation bereitstehen. Je nach Anwendungsfall kann ein Captive Portal, Voucher-System oder zeitlich begrenzter Zugang sinnvoll sein. Wichtig ist, dass Gäste nicht im internen Netzwerk landen.

Für IoT- und Spezialgeräte empfiehlt sich eine eigene Segmentierung. Diese Geräte sollten nur mit den Systemen kommunizieren dürfen, die sie tatsächlich benötigen. Ein Drucker braucht keinen Zugriff auf die Buchhaltung. Eine Kamera braucht keinen Zugriff auf Benutzerdateien. Ein Sensor in der Produktion braucht vielleicht nur Verbindung zu einem bestimmten Server.

Für Administration und kritische Systeme kann ein besonders restriktiver Zugang vorgesehen werden. Hier ist weniger oft mehr. Nicht jeder Administratorzugang muss drahtlos erreichbar sein. Wo WLAN genutzt wird, sollten die Anforderungen entsprechend hoch sein.

Wann professionelle Unterstützung sinnvoll ist

Viele Unternehmen können einfache WLAN-Einstellungen selbst vornehmen. Bei WPA3-Enterprise, Zertifikaten, RADIUS, Segmentierung und Migration sieht es anders aus. Hier geht es nicht nur darum, ob eine Verbindung zustande kommt. Es geht darum, ob sie zuverlässig, nachvollziehbar und sicher zustande kommt.

Professionelle Unterstützung ist besonders sinnvoll, wenn mehrere Standorte beteiligt sind, viele unterschiedliche Endgeräte im Einsatz sind, Produktions- oder Logistikumgebungen angebunden werden, Compliance-Anforderungen bestehen oder Wi-Fi 6E beziehungsweise Wi-Fi 7 eingeführt werden soll.

Ein externer Blick hilft oft auch deshalb, weil gewachsene WLAN-Strukturen intern als normal empfunden werden. Man hat sich an bestimmte Ausnahmen gewöhnt. Der alte Scanner braucht eben dieses Netz. Der Dienstleister kennt eben dieses Passwort. Der Konferenzraum hat eben einen eigenen Access Point. Solche Dinge sind menschlich verständlich, aber technisch nicht immer gesund.

Ein gutes WLAN-Projekt räumt nicht alles radikal ab. Es entscheidet bewusst, was bleiben kann, was abgesichert werden muss und was mittelfristig verschwinden sollte.

WPA2 abschalten oder weiter nutzen?

Die ehrliche Antwort lautet: Es kommt darauf an. WPA2-Personal mit gemeinsamem Passwort sollte in produktiven Unternehmensnetzen kritisch betrachtet und möglichst abgelöst werden. WPA2-Enterprise kann in gut gepflegten Bestandsumgebungen weiterhin vertretbar sein, sollte aber nicht mehr als Endpunkt der Entwicklung verstanden werden.

WPA3 ist die Richtung, in die neue WLAN-Architekturen gehen sollten. Besonders bei neuer Hardware, modernen Clients, 6-GHz-Nutzung und höheren Sicherheitsanforderungen führt daran kaum ein Weg vorbei. Trotzdem ist eine überhastete Umstellung riskant. Wenn wichtige Geräte ausfallen, leidet die Akzeptanz. Wenn der Übergangsmodus dauerhaft bleibt, wird das Sicherheitsziel verwässert.

Sinnvoll ist daher ein stufenweises Vorgehen: Bestandsaufnahme, Zielbild, Pilotbetrieb, Migration moderner Clients, Sonderbehandlung älterer Geräte, Abschaltung unnötiger Altmodi. So wird aus einer technischen Standardfrage ein kontrolliertes Sicherheitsprojekt.

Was Unternehmen jetzt konkret tun sollten

Der beste erste Schritt ist nicht das Aktivieren von WPA3. Der beste erste Schritt ist Transparenz. Welche SSIDs gibt es? Wer nutzt sie? Welche Sicherheitsmodi sind aktiv? Welche Geräte verbinden sich regelmäßig? Welche Netze sind voneinander getrennt? Welche Passwörter kennen wie viele Personen? Gibt es Geräte, die niemand mehr einem Verantwortlichen zuordnen kann?

Auf dieser Basis lässt sich entscheiden, wo WPA3 schnell eingeführt werden kann und wo Vorarbeit nötig ist. In vielen Unternehmen wird sich ein gemischter Weg ergeben. Neue Mitarbeitendengeräte können über WPA3-Enterprise angebunden werden, während ältere Spezialgeräte vorübergehend in einem separaten WPA2-Netz bleiben. Gäste bekommen ein isoliertes Netz. Kritische Systeme werden restriktiver behandelt.

Wichtig ist, die Migration nicht allein aus Sicht der IT-Abteilung zu betrachten. WLAN betrifft den Betrieb direkt. Wenn Lagergeräte nicht funken, steht ein Prozess. Wenn Konferenztechnik nicht funktioniert, merkt es die Geschäftsführung. Wenn Produktionssysteme instabil werden, ist der Schaden größer als der Sicherheitsgewinn einer schlecht geplanten Umstellung.

Darum sollten IT, Fachbereiche und gegebenenfalls externe Spezialisten gemeinsam auf die wichtigsten Nutzungsszenarien schauen. Nicht in endlosen Workshops, sondern pragmatisch: Welche Geräte sind kritisch? Welche Risiken sind nicht akzeptabel? Welche Altlasten können wir realistisch bis wann entfernen?

Die wichtigste Erkenntnis zu WPA2 vs. WPA3

WPA3 ist moderner und sicherer als WPA2. Für neue WLAN-Infrastrukturen sollte WPA3 eingeplant werden. Für Unternehmen ist aber nicht der Standardname allein entscheidend, sondern die Art der Umsetzung.

Ein Unternehmen, das WPA3-Personal mit gemeinsamem Passwort nutzt, aber Gäste, Mitarbeitende und IoT-Geräte im selben Netz betreibt, hat kein besonders reifes Sicherheitskonzept. Ein Unternehmen, das WPA2-Enterprise sauber mit Zertifikaten, Segmentierung, Monitoring und klaren Prozessen betreibt, kann dagegen deutlich besser aufgestellt sein. Noch besser ist natürlich eine moderne WPA3-Enterprise-Architektur, die diese Prinzipien konsequent übernimmt.

Die eigentliche Frage lautet also nicht: WPA2 oder WPA3? Die bessere Frage lautet: Wie stellen wir sicher, dass nur die richtigen Geräte und Personen ins richtige Netz kommen, dort nur das Nötige erreichen und dass wir Auffälligkeiten rechtzeitig bemerken?

Wer diese Frage beantwortet, trifft automatisch bessere Entscheidungen zu WPA2, WPA3, Übergangsmodus, Gäste-WLAN und IoT. Und genau dort liegt der Unterschied zwischen einem WLAN, das lediglich funktioniert, und einem WLAN, das zum Sicherheitsniveau des Unternehmens passt.

WPA3 ist ein wichtiger Schritt nach vorn. Aber der Schritt sollte nicht blind gemacht werden. Unternehmen profitieren am meisten, wenn sie WPA3 als Anlass nutzen, ihr WLAN grundsätzlich aufzuräumen: weg von gemeinsamen Passwörtern, hin zu individuellen Identitäten, sauberer Segmentierung, gepflegten Geräten und einem Betrieb, der auch nach der Einführung noch hinschaut.

Dann wird WLAN-Sicherheit nicht zur einmaligen Umstellung in einer Access-Point-Oberfläche, sondern zu einem belastbaren Teil der Unternehmens-IT. Und genau das ist der Punkt, auf den es am Ende ankommt.

Weitere Themen:
Conditional Access
,
Conditional Access in Microsoft 365
mehr Sicherheit ohne unnötige Hürden
Business-E-Mail-Compromise-im-Posteingang

E-Mail Compromise
warum nicht jede gefährliche Mail wie Phishing aussieht
Wolken
,
SaaS-Sprawl
Wie kontrollieren Sie die wachsende Zahl an Cloud-Services?
Cloud File Sharing
,
Externe Freigaben in Microsoft 365
wo Zusammenarbeit kippt und wie Sie sie sauber steuern
Sie haben Fragen oder suchen Unterstützung bei Ihrer IT?
KONTAKTIEREN SIE UNS
chevron-upmenu-circlecross-circle