WLAN jetzt komplett sicher
WPA3: So nutzen Sie den neuen Schutzstandard optimal
Ihr WLAN können Sie auf viele Arten schützen: Schalten Sie zum Beispiel das Funknetz aus, wenn Sie es nicht verwenden. Oder reduzieren Sie die Sendeleistung der Wlan-geräte, um zu verhindern, dass sich die Signale außerhalb der Wohnung empfangen lassen. Auch ein Mac-filter, der nur bereits bekannte Geräte im WLAN erlaubt, ist eine Schutzmaßnahme. Die sicherste und einfachste Methode, um Funknetzspione abzuhalten, ist jedoch, den Datentransfer im WLAN zu verschlüsseln: Dann bekommen Lauscher zwar mit, dass etwas übertragen wird, aber sie wissen nicht, was – vorausgesetzt, Sie setzen ein ausreichend starkes Passwort und ein ebensolches Verschlüsselungsverfahren ein.
Das neueste Sicherheitsverfahren ist WPA3: Aktuelle Wi-fi-6-geräte bringen es bereits mit, und viele 11ac-geräte lassen sich damit über ein Firmware- beziehungsweise Treiber-update ausstatten. WPA3 macht es schwerer, das Wlan-passwort in kurzer Zeit zu knacken und hilft daher vor allem bei schwachen Wlan-passwörtern. Was Sie für die sichere Verschlüsselung brauchen, wie Sie sie richtig einstellen, damit Ihr WLAN sie nutzen kann, und wie Sie WPA3 und WPA2 parallel einsetzen, klären wir in diesem Artikel. Außerdem geben wir Tipps, wie Sie Teile des neuen Verfahrens auch bei Geräten einsetzen können, die kein Wpa3upgrade bekommen.
Geräte und Betriebssystem: Das brauchen Sie für WPA3
WPA 3 macht den Wlan-schutz nicht komplizierter: Sie sichern das Funknetz weiterhin, indem Sie im Router ein komplexes Passwort eintragen, das er in den Clients abfragt, die sich verbinden wollen. Die verbesserte Schutzwirkung entsteht, weil WPA3 aus dem Passwort zusätzliche Schlüssel anders berechnet als WPA2 – was sich dabei genau ändert, lesen Sie im Kasten auf Seite 43. So soll das neue Verfahren gewährleisten, dass auch Geräte wie Ip-kameras oder Smart-tvs, bei denen die Eingabe eines komplexen Passworts aufwendig ist, schnell und sicher ins WLAN kommen. Ihre Wpa2-geräte müssen Sie wegen WPA3 nicht entsorgen: Der Vorgängerstandard bietet in Verbindung mit einem starken Passwort und regelmäßigen Firmware-updates auf jeden Fall genug Schutz vor Angreifern. Außerdem lassen sich Geräte mit WPA3 und WPA2 gemeinsam im WLAN verwenden, ohne dass das Schutzniveau des neuen Standards darunter leidet – diese Kombilösung nennt sich „Transition Mode“.
Damit Sie WPA3 verwenden können, müssen es die beteiligten Geräte und deren Betriebssysteme unterstützen. Bei Windows 10 müssen Sie mindestens das Update 1903 installiert haben. Apple-geräte unterstützen WPA3 ab IOS 13 beziehungsweise ipad-os 13, Android-smartphones benötigen mindestens Android 10. Wlan-router und -Clients, die mit dem Standard Wi-fi 6 arbeiten, haben WPA3 häufig an Bord: Der neue Sicherheitsstandard ist vorgeschrieben, um eine Zertifizierung der Geräte von der Wi-fi-alliance zu erhalten. Da aber nicht alle Hersteller diese durchführen lassen, kann es vorkommen, dass auch bei einem aktuellen Gerät WPA3 fehlt und Sie auf ein Firmware-update warten müssen. Bei einem 11ac-router müssen Sie sich auf jeden Fall ein Firmware-update besorgen, das WPA3 nachrüstet. Fritzbox-modelle von AVM bekommen den neuen Sicherheitsstandard mit Fritz-os 7.20: Diese Firmware-version ist für die beliebtesten Avm-router wie die 7590, 7490, 7430 oder die 6590 Cable bereits verfügbar. Bei anderen Routern wie den Fritzboxen 4040, 4020 und 3490 kommt eventuell noch ein passendes Update. Bei den Telekom-routern gibt es WPA3 derzeit nur für den neuen Speedport Pro; für den Speed
„WPA3 macht Ihr WLAN sicherer. Für den problemlosen Umstieg sind ein paar Details zu beachten.“
port Smart 3 zum Beispiel ist dagegen kein Wpa3-update geplant. Bei Tp-link bekommt für den europäischen Markt neben den Wi-fi-6-routern nur der Archer C2300 V2 eine entsprechende Aktualisierung. Eine Übersicht aller Wlan-geräte von Tp-link mit WPA3 finden Sie unter www.tp-link.com/ de/wpa3/product-list.
Auch ein Wlan-repeater benötigt eine passende Firmware, wenn Sie darüber eine Wpa3-verbindung zum Router aufbauen wollen. Bei AVM gilt das zum Beispiel für die aktuellen Fritz-repeater 3000, 1200, 2400, 600 sowie den 1750e. Aktuelle Wi-fi6-repeater sind dagegen meist schon mit WPA3 ausgestattet. Bei Wlan-sticks wird der Umstieg auf WPA3 schwierig: Adapter mit Wi-fi 6 gibt es noch nicht, und für viele Ac-sticks bieten die Hersteller kein passendes Treiber-update an. Das ist der Fall bei allen Wlan-sticks von AVM.
Bei Wlan-adaptern im PC oder im Notebook prüfen Sie auf der Supportseite des Systemanbieters, ob es ein Wpa3-update für das eingebaute Modul gibt. Werden Sie dort nicht fündig, können Sie auch direkt beim Hersteller des Wlan-gerätes nachschauen: Die Intel-adaptern mit Wi-fi 6 sowie die Ac-modelle 9560, 9462, 9461 und 9260 unterstützen ab Treiberversion 21.10.x WPA3. Von Qualcomm verstehen sich Adapter mit den Wlan-chipsätzen QCA6174 und 9377 auf den neuen Sicherheitsstandard sowie die Adapter 1435, 1525 und 1535 aus der Modellreihe Killer.
Zuletzt können Sie noch auf der Webseite der Wi-fi Alliance unter wifi.org im Productfinder nachschauen, ob eines Ihrer Geräte WPA3 unterstützt. Markieren Sie dazu auf der linken Seite „WPA3“. Allerdings sind hier nur zertifizierte Produkte verzeichnet, die es auch nicht unbedingt in Deutschland gibt.
So überprüfen Sie, ob Ihr WLAN-GERÄT WPA3 unterstützt
Sofern Ihr Router WPA3 unterstützt, finden Sie eine entsprechende Option in seinem Menü: Meist steht sie bei den Einstellungen für WLAN, zum Beispiel unter „Authentifizerung“. Bei einer Fritzbox steht WPA3 unter „WLAN –› Sicherheit –› Verschlüsselung“. Die Avm-router bieten dort die Option „WPA2 + WPA3“. In diesem „Transition Mode“bietet der Router beide Verschlüsselungsverfahren an: Wpa3-geräte nutzen die neue Verschlüsselung, alle anderen Wlan-clients können sich wie gewohnt per WPA2 verbinden. Beide Verfahren nutzen dasselbe Passwort, deshalb müssen Sie für WPA3 kein neues im Router eingeben.
Bei anderen Routern oder Wlan-geräten lässt sich auch ausschließlich WPA3 einstellen. Diese Option trägt meist den Namen „Wpa3-personal“oder „WPA3-SAE“. In diesem Fall kommt eine Verbindung nur mit Wlan-clients zustande, die WPA3 verstehen. Möglicherweise sehen Sie im Menü Ihres Routers als weitere Einstellung „Wpa3-enterprise“. Sie ist für Firmenwlans wichtig.
Für den Wpa3-check am Windows-rechner sollten Sie zunächst prüfen, ob Sie das entsprechende Update schon installiert haben: Geben Sie dazu winver in das Suchfeld links unten ein. Dort muss Version 1903 stehen oder eine höhere Nummer wie 1909, 2004 oder 20H2.
Anschließend klären Sie die Wpa3-fähigkeit des eingebauten Wlan-moduls oder des WLAN-USB-STICKS: Öffnen Sie dazu die
Eingabeaufforderung und geben den Befehl netsh wlan show drivers ein. Im Abschnitt „Im Infrastrukturmodus unterstützte Authentifizierung und unterstütztes Verschlüsselungsverfahren“sollte der Eintrag „Wpa3-personal“auftauchen.
So geht’s los: Sichere Verbindung mit WPA3 herstellen
Haben Sie im Router WPA3 beziehungsweise den Transition Mode mit WPA2 eingestellt, müssen Sie für eine Wpa3-verbindung
die Clients neu anmelden. Die automatische Verbindung per WPS über entsprechende Tasten am Client und am Router funktioniert nicht mit WPA3. Wenn Sie bei einem Windows-10-rechner auf das Wlan-symbol klicken, um sich die erkannten Netzwerke anzeigen zu lassen, erscheint eventuell der Hinweis „WLAN ist jetzt noch besser!“: Damit gibt Windows 10 zu verstehen, dass es ein WLAN mit Wi-fi 6 und WPA3 erkannt hat, wenn der eingebaute Client diese Standards unterstützt. In einem Wlan-ac-netzwerk weist Sie Windows 10 mit der Meldung „WLAN ist jetzt sicherer“auf die Möglichkeit einer Wpa3verbindung hin.
Nun klicken Sie auf das WLAN, mit dem sich der Rechner verbinden soll, und geben wie gewohnt das Passwort für Ihr Funknetz ein. Der Client wird sich nun per WPA3 beim Router anmelden.
Wenn die Verbindung steht, können Sie dies in den Wlan-einstellungen von Windows 10 überprüfen: Klicken Sie dazu unter dem Namen des Netzwerkes auf „Eigenschaften“oder in den Windows-einstellungen auf „Netzwerk und Internet –› WLAN“auf den WLAN-NAMEN. Unter „Eigenschaften“steht nun in der Zeile „Sicherheitstyp“der Eintrag „Wpa3-personal“.
Wenn Ihr Router eine Übersicht zu den verbundenen Geräten anzeigt, sollten Sie auch dort einen Verweis auf die Verschlüsselung finden. Bei einer Fritzbox geht das zum Beispiel unter „Heimnetz –› Mesh“, wenn Sie beim entsprechenden Wlan-client auf „Details“klicken: Im nächsten Fenster steht unter „Wlan-eigenschaften“als genutzte Verschlüsselung der Eintrag „WPA3“. Das ist auch die einzige Möglichkeit, den Einsatz von WPA3 bei Geräten zu prüfen, deren Betriebssystem keine Auskunft über die verwendete Wlan-verschlüsselung liefert – zum Beispiel IOS oder ipad-os. Androidsmartphones zeigen zwar in den Einstellungen zum verbundenen WLAN unter Sicherheit möglicherweise auch einen Eintrag für Wpa3-personal. Das bedeutet aber nur, dass das Smartphone grundsätzlich WPA3 unterstützt, nicht, dass die aktuelle Verbindung damit gesichert ist.
Praxis-tipps: So lösen Sie Probleme mit WPA3
Wenn der Umstieg auf WPA3 Probleme macht, sollten Sie die Wlan-einstellungen prüfen. Checken Sie zunächst, ob Sie im Router eventuell nur WPA3 aktiviert haben, zum Beispiel durch eine Option wie „Wpa3personal“, „WPA3-SAE“oder „Wpa3-personal only“. Ist dies der Fall, wird sich kein Gerät verbinden, das lediglich WPA2 versteht: Der Client erkennt dann zwar das Netzwerk anhand der SSID, erlaubt aber keine Verbindung, weil zum Beispiel keine Eingabemöglichkeit für ein Passwort angezeigt wird. Windows 10 meldet in diesem Fall meist unterhalb des Netzwerknamens „Verbindung ist nicht möglich“.
Doch auch bei aktiviertem Transition Mode können einige Geräte Schwierigkeiten machen. Dann müssen Sie zunächst überprüfen, ob es sich bei einem Wlan-client, der sich nicht verbinden kann, um ein Wpa2oder ein Wpa3-gerät handelt.
Wenn ein Wpa2-client nach der Umstellung des Routers auf „WPA2 + WPA3“keine Wlan-verbindung aufbaut, obwohl es zuvor mit WPA2 funktioniert hat, liegt es an der Funktion PMF (Protected Management Frames). PMF ist für WPA3 vorgeschrieben und daher auch im Transition Mode aktiv: Einige Wlan-geräte haben aber Probleme mit PMF und können sich in diesem Fall nicht verbinden. Deshalb müssen Sie im Router wieder auf „WPA2“umstellen, wenn dieses Gerät ins WLAN soll – Sie können dann aber auch für andere Clients das Wpa3-verfahren nicht nutzen.
Mit einer Fritzbox können Sie übrigens schon vor dem Umstieg auf WPA3 prüfen, ob es in Ihrem Netzwerk Geräte gibt, die PMF nicht unterstützen. Dazu gehen Sie im Router-menü zu „WLAN –› Sicherheit“und dem Abschnitt „Weitere Sicherheitseinstellungen“: Dort markieren Sie den Eintrag „Unterstützung für geschützte Anmeldungen (PMF) aktivieren“. Funktioniert nun mit bestimmten Clients keine Wlan-verbindung mehr, sind sie nicht für PMF und damit auch nicht für den gemischten Betrieb von WPA3 und WPA2 geeignet.
Unterstützt ein Gerät grundsätzlich WPA3, kann es trotzdem vorkommen, dass es bei aktiviertem Wpa3/wpa2-mischverfahrens weiterhin nur WPA2 zur Verschlüsselung einsetzt. In diesem Fall müssen Sie auf dem Wlan-client den Eintrag für dieses WLAN löschen, denn der Client greift sonst immer auf die gespeicherten Einstellungen zurück, statt die Verschlüsselung neu mit dem Router auszuhandeln.
In Windows 10 gehen Sie dazu in den Einstellungen zu „Netzwerk und Internet –› WLAN“und klicken auf „Bekannte Netzwerke verwalten“. Rufen Sie dort Ihr WLAN auf und wählen die Option „Nicht speichern“. Bei einem Android-smartphone klicken Sie in den Wlan-einstellungen – meist unter „Netzwerk & Internet“zu finden – auf den Namen Ihres WLANS und dann auf die Option „Entfernen“. Unter IOS gehen Sie in den Einstellungen zu „WLAN“und klicken beim betreffenden Netzwerk auf den blauen Infobutton rechts neben dem Wlan-symbol. Im nächsten Menü wählen Sie „Dieses Netzwerk
ignorieren“. Verbinden Sie sich nach dem Löschen erneut mit diesem WLAN, müssen Sie wie beim ersten Kontakt wieder das Kennwort eingeben. Anschließend sollte der Client jetzt WPA3 für diese Verbindung einsetzen.