Schneller, schneller, immer schneller: In den letzten Jahren versuchten WLAN-Anbieter ihre neuen Geräte vor allem mit dem Argument des höheren Tempos zu verkaufen. Doch damit liefen sie in eine Falle, die auf ähnliche Weise schon bei CPU-Herstellern wie Intel zugeschnappt hatte. Denn die meisten Anwender haben keinen Bedarf für schnellere WLAN-Geräte, sondern fordern mehr Reichweite und stabilere Verbindungen im Funknetz. Diesen Trend haben zuletzt Mesh-WLAN-Systeme bestärkt, die vor allem damit werben, für alle Geräte im WLAN eine ausreichende Datenrate sicherzustellen. Auch in puncto Sicherheit tat sich zuletzt nicht viel: WPA2 galt als unknackbar. Diesen Eindruck änderte der Krack-Angriff vom Oktober 2017 nachhaltig: Forscher fanden heraus, dass das WPA2-Verfahren grundsätzlich anfällig für Attacken ist. Mit den neuen Standards 11ax und WPA3 will die Wi-Fi Alliance, das wichtigste Firmengremium im WLAN-Bereich, diesen neuen Herausforderungen begegnen. 11ax soll dafür sorgen, dass auch in WLANs mit vielen Geräten jedes einzelne ausreichend schnell Daten übertragen kann. WPA3 soll die Sicherheit so weit verbessern, dass sich selbst Funknetze mit einem schwachen Passwort kaum mehr angreifen lassen. Wir erläutern die Details der neuen Verfahren und sagen Ihnen, wie Sie schon heute von ihren Vorteilen profitieren können.
WLAN-Router: Kaufberatung und Test
11ax: Endlich schnelles WLAN für alle Geräte im Heimnetz
©TP-Link
Mit 11ax tritt der sechste WLAN-Standard an. Er ist der direkte Nachfolger des aktuellen Standards 11ac. Das wichtigste Ziel von 11ax: Mehr Tempo für jedes einzelne Gerät auch in einem großen WLAN – daher die offizielle Bezeichnung „High Efficiency WLAN“. Dabei sollen zahlreiche Neuerungen helfen: Von bis zu acht parallelen Datenströmen und der effizienteren Modulation 1024-QAM profitieren 4K- und 8K-Videostreaming sowie VR- und AR-Anwendungen, die nicht nur hohe Bandbreite, sondern auch eine unterbrechungsfreie Übertragung verlangen. Mit OFDMA-Multiplexing und MU-Mimo im Up- und Downlink sollen sich mehrere Geräte das umkämpfte Medium Funk besser teilen können. Ein verbessertes Interferenzmanagement verhindert, dass Funknetze aus der Nachbarschaft das Tempo im eigenen WLAN zu stark einbremsen. Und WPA3 kümmert sich mit neuen Stromsparmechanismen wie Target-Wakeup-Time und speziellen Übertragungsverfahren um mobile und vernetzte Kleingeräte im Smart Home, für die nicht hohes Tempo, sondern große Reichweite, stabile Übertragung und lange Akkulaufzeit entscheidend sind. Trotz der Änderungen bleibt 11ax kompatibel zu allen Vorgängerstandards: Gemischte WLANs mit neuen und alten Geräten sind also kein Problem. Allerdings können Sie die meisten Vorteile von 11ax nur nutzen, wenn zumindest der Router und ein Client den Standard unterstützen.
11ax: So soll der neue Standard fast 10 GBit/s schaffen
Bis zu 9,6 GBit/s sollen mit 11ax über die 5-GHz-Frequenz möglich sein. Das klingt zunächst beeindruckend, doch schon mit dem Vorgängerstandard 11ac waren theoretisch über 5 GHz knapp 7 GBit/s möglich. Geräte mit diesem Tempo wird es aber nicht geben, denn die dafür notwendige Unterstützung von acht parallelen Datenströmen erfordert viele Antenne, eine leistungsfähige CPU und ein aufwendiges Platinendesign, was den Preis eines entsprechenden Routers in unerschwingliche Höhen treiben würde. In der Praxis wird eine Maximalgeschwindigkeit von 4,8 GBit/s üblich sein, die sich mit vier Antennen, 160 MHz breiten Funkkanälen und der neuen 11ax-Modulation 1024-QAM erreichen lässt. Für angekündigte 11ax-Router versprechen die Hersteller zwar werbewirksam Datenraten von rund 11 GBit/s. Das ist aber die Summe aus dem möglichen Tempo der drei unterstützen Frequenzen (zweimal 4,8 GBit/s über 5 GHz plus 1,15 GBit/s über 2,4 GHz), nicht einer einzigen. In der Praxis lassen sich außerdem 160 MHz breite Funkkanäle kaum ohne erhebliche Störungen nutzen. Denn damit können eigentlich schon zahlreiche aktuelle 11ac-Router arbeiten, zum Beispiel auch die Fritzbox 7590 mit Fritz-OS 7. So bleibt als einziges Tempoplus von 11ax, das sich auch in der Praxis niederschlägt, die neue Modulation 1024-QAM: Damit lassen sich die übertragenen Informationen enger packen, sodass sich eine um 25 Prozent höhere Datenrate als bei der 256-QAM-Modulation von 11ac ergibt. Allerdings ist dieses Verfahren auch störanfälliger, sodass seine Vorteile nur über kurze Entfernungen zum Tragen kommen. Smartphones und Notebooks mit 11ax werden wie bisher mit 2 x 2 Datenströmen arbeiten, weil für mehr Antennen in diesen Geräten kein Platz ist. Das WLAN-Tempo steigt damit über die 5-GHz-Frequenz von 867 MBit/s auf knapp 1,2 GBit/s.
Mehr Daten werden gleichzeitig übertragen
11ax soll ein grundsätzliches Problem der WLAN-Technik in den Griff bekommen: Den Streit um einen freien Funkkanal. Denn eigentlich dürfen WLAN-Geräte nur übertragen, wenn die Funkstrecke frei ist – je mehr Geräte in einem Funknetz unterwegs sind, umso heftiger wird um die knappe Ressource gestritten; für jedes Gerät bleibt weniger davon übrig, was zu geringerem Tempo führt. Die Lösung von 11ax: Mehrere Geräte dürfen das Funkmedium gleichzeitig nutzen.
Einen ersten Schritt hat bereits 11ac mit MU-Mimo (Multi-User-Mimo) gemacht: Ein Router kann damit an mehrere Geräte gleichzeitig Daten übertragen. Mit 11ax klappt das jetzt auch in der Gegenrichtung von mehreren WLAN-Clients zum Router. Außerdem nutzt mit 11ax erstmals auch die WLAN-Technik das Verfahren OFDMA (Orthogonal Frequency Division Multiple Access), das bereits bei LTE zum Einsatz kommt. Damit können WLAN-Geräte das Funkmedium noch kleinteiliger gemeinsam nutzen: Bisher teilte der Router den Clients einen bestimmten Zeitraum zu, in dem sie übertragen durften. Mit Mimo lässt sich eine Übertragung in einzelne Datenströme unterteilen, die gleichzeitig über die verschiedenen Antennen von Router und Gegenstelle ausgetauscht werden. Mit 11ax kann der Router nun auch diese einzelnen Datenströme unterteilen, um verschiedene Gegenstellen gleichzeitig zu bedienen: Das Funkmedium wird also sehr effizient genutzt. Das funktioniert auch in Gegenrichtung, indem der Router festlegt, welche Gegenstellen ihm zu einem bestimmten Zeitpunkt Daten senden dürfen.
Router-Grundlagen: Fünf Tipps zur optimalen Einrichtung
11ax sorgt dafür, dass Störsignale weniger stören
Durch enge Abstimmung zwischen Router und Gegenstellen soll das eigene WLAN mit 11ax also schneller werden. Doch meist funkt nicht nur Ihr WLAN, sondern auch zahlreiche Netze in der Nachbarschaft funken: Wenn sie denselben Funkkanal wie Ihr WLAN nutzen, reicht es nicht, die Geräte im eigenen Netz zu koordinieren, denn sie müssen sich auch mit denen in den anderen Netzen um das Übertragungsmedium streiten. Diese sogenannte CCI (Co-Channel-Interference) entschärft 11ax dadurch, dass Geräte Datenpakete für das eigene Funknetz erkennen und die aus anderen Funknetzen ignorieren. Dazu markieren die Router ihre Datenpakete mit zusätzlichen Bits: So wissen die Empfänger, dass sie zum eigenen WLAN gehören. Mit dieser „Einfärbung“ können die Geräte in einem WLAN ihre Signalstärken so aufeinander abstimmen, dass sie nur reagieren, wenn das Medium durch ein Gerät aus dem eigenen WLAN belegt ist und Übertragungen anderer Funknetze ignorieren. Allerdings funktioniert dieses Verfahren am besten, wenn alle Clients nahe am Router stehen, deshalb ist es für verwaltete Unternehmens- WLANs geeigneter als für private Heimnetze.
So geht’s: 11AX-Tempo schon jetzt
Bestehende WLAN-Geräte lassen sich nicht auf 11ax aufrüsten, der neue Standard erfordert auch neue Hardware. Doch einige Merkmale, die dem neuen Standard zu mehr Tempo verhelfen sollen, können Sie in einigen Routern schon jetzt nutzen.
1. MU-Mimo einsetzen: Unterstützt Ihr Router das parallele Übertragen an mehrere Geräte, sollten Sie im WLAN entsprechende Clients einsetzen. Viele aktuelle Notebooks und Smartphones beherrschen MU-Mimo. Da der Router Daten schneller an diese Gegenstellen versenden kann, kommen Geräte ohne MU-MIMO schneller zum Zug, sodass sich das Tempo im gesamten WLAN erhöht.
2. Band Steering aktivieren: Mit dieser Technik verschieben aktuelle Router Dualband-fähige Clients auf die jeweils schnellere oder stabilere Frequenz. Dazu müssen das WLAN über 2,4 GHz und das über 5 GHz den gleichen Namen (SSID) haben. Sie können die WLANs für jede Frequenz auch unterschiedlich benennen, um Geräte manuell über die optimale Frequenz zu verbinden: WLAN-Gegenstellen, die kein Top-Tempo, aber dafür hohe Reichweite benötigen, sollten dann über 2,4 GHz funken. WLAN-Clients, die Sie für Videostreaming nutzen, sind im 5-GHz-WLAN besser aufgehoben.
3. Störsignale umgehen: Aktuelle Router prüfen regelmäßig die Signale im WLAN, um bei schlechter Qualität auf einen stabileren Kanal umzuschalten. Manuell prüfen Sie mit einem Tool wie Inssider Lite oder im Menü der Fritzbox, über welche Kanäle WLANs in der Umgebung funken. Legen Sie anschließend im Router den Kanal als Übertragungsmedium fest, auf dem keine oder nur sehr wenige Fremd-WLANs funken: So reduzieren Sie die Störwirkung von Co-Channel-Interference.
Längere Akkulaufzeiten für Smartphone & Co.
11ax bereitet das WLAN darauf vor, dass nicht nur PCs und Smartphones kabellos Daten übertragen: Künftig wird ein Netzwerk vor allem aus IoT-Geräten bestehen, die keine große Bandbreite benötigen, aber aufgrund ihres kleinen Akkus sehr sparsam funken sollen. Das regelt im neuen Standard das Verfahren Target-Wakeup Time (TWT): Jeder einzelne WLAN-Client vereinbart mit dem WLAN-Router, wie oft er aufwachen muss, um Daten rechtzeitig und regelmäßig zu erhalten. Auf diese Weise vermeidet das Gerät unnötige Aktivitäten und verlängert seine Akkulaufzeit.
Router & Repeater: Wann gibt es 11ax-Geräte zu kaufen?
©D-Link
Der 11ax-Standard wird erst Ende 2019 offiziell verabschiedet. Doch den Vorentwurf Draft 3.0 gibt es bereits seit Mai. Auf dessen Basis haben WLAN-Chip-Hersteller wie Broadcom, Quantenna und Dualcomm bereits Produkte entworfen, die in Routern, PCs und Smartphones eingesetzt werden. Routerhersteller haben bereits 11ax-Geräte angekündigt: Von Asus kommt zum Beispiel der RT-AX88U, von D-Link der DIRX9000 und von TP-Link der Archer AX11000. Preise und Verfügbarkeit stehen für diese Produkte noch nicht fest; es wird wahrscheinlich Frühjahr 2019 werden, bis Sie diese Router in Deutschland kaufen können. AVM hat noch keine konkreten Pläne für 11ax-Router.
WPA3: Mehr Sicherheit für WLANs mit schwachem Passwort
Mitte 2018 hat die Wi-Fi-Alliance den neuen Sicherheitsstandard WPA3 vorgestellt. Auch er trägt dem Trend Rechnung, dass immer mehr Anwender immer mehr Geräte in einem WLAN nutzen: Deshalb soll WPA3 vor allem die Sicherheit in Netzwerken mit einem schwachen Passwort verbessern, Anwender besser schützen, die in einem öffentlichen WLAN surfen, und dafür sorgen, dass auch Geräte, denen ein Display oder eine Benutzeroberfläche fehlt, mit einem starken WLAN-Passwort versehen werden können. WPA3 ist vor allem aber eine Reaktion auf die Krack-Attacke, die im Oktober 2017 WLAN-Nutzer verunsicherte: Forscher stellten fest, dass sich das etablierte WPA2- Schutzverfahren grundsätzlich aushebeln lässt. Die Folgen stellten sich aber dann als wesentlich weniger dramatisch heraus, weil Software-Updates das Angriffsszenario so weit erschwerten, dass es praktisch kaum mehr umsetzbar war, und weil die meisten betroffenen Hersteller diese Updates schnell verfügbar machten.
Deshalb fällt WPA3 weniger umfangreich aus als ursprünglich geplant: Viele vorgeschlagene Schutzverfahren sind jetzt nur noch optionale Teile des Standards oder wurden in andere Schutzstandards verschoben. Auch bei WPA3 wird es eine Variante für das Heimnetz geben, die ein gemeinsames Passwort für alle WLAN-Geräte in einem Netzwerk erfordert (WPA3-Personal). Unternehmen nutzen ein Verfahren, das eine zentrale Sicherheitsverwaltung für das WLAN erlaubt (WPA3-Enterprise). Der Übergang von WPA2 zu WPA3 wird langsam und schrittweise erfolgen: Beide Verfahren sind kompatibel, sodass auch ein WLAN, in dem Geräte mit beiden Schutzmechanismen vertreten sind, optimal gesichert werden kann. WPA3-Geräte nutzen dann den sogenannten Transition Mode, den auch WPA2-Geräte verstehen. WPA2 bleibt so lange verpflichtend für die Wi-Fi-Zertifizierung, bis die Mehrzahl der neuen WLAN-Produkte mit WPA3 arbeiten. Experten rechnen damit, dass dies noch rund zwei Jahre dauern wird.
Siehe auch: 10 Tipps für ein schnelles und stabiles WLAN
WPA3-Personal: Der neue Schutz für das WLAN zu Hause
Für Sie wird sich mit WPA3 nicht viel ändern: Denn es gilt weiterhin, dass Sie Ihr Netzwerk mit einem möglichst komplexen Passwort schützen sollten. Daraus berechnen die WLAN-Geräte dann weitere Schlüssel, die die Datenübertragung gegen Lauscher absichern sollen. Allerdings nutzen WPA3-Geräte dafür nicht mehr das aktuelle Verfahren PSK (Pre-Shared-Key), sondern SAE (Simultaneous Authentication of Equals). Denn SAE behebt eine grundsätzliche Schwachstelle von WPA2: Um passende Schlüssel berechnen zu können, müssen die beiden WLAN-Gegenstellen das Passwort (Pre-Shared-Key, PSK) austauschen, das Sie bei beiden eingegeben haben. Das passiert zwar ebenfalls verschlüsselt: Doch Angreifer können diesen Austausch abhören und anhand dieser Informationen versuchen, den PSK mit einer Wörterbuch-Attacke zu erraten. SAE erfüllt dagegen den sogenannten Zero- Knowledge-Proof: Router und Gegenstelle können sich gegenseitig bestätigen, dass sie das gemeinsame Passwort kennen, ohne es austauschen zu müssen. Der PSK ist also nicht mehr in den Datenpaketen enthalten, die zwischen beiden hin und her gehen.
Das schützt vor allem vor Wörterbuch-Attacken auf WLANs mit einem schwachen Passwort: Denn üblicherweise schneidet ein Angreifer den Datenverkehr mit, nachdem er einen Client veranlasst hat, sich vom Router abzumelden. Beim Abhören der erneuten Kontaktaufnahme zwischen Router und Client bekommt er dann auf jeden Fall Datenpakete, die den PSK-Austausch enthalten. Damit führt er eine sogenannte Offline-Wörterbuch-Attacke durch, indem er mit hoher Rechnerleistung – zum Beispiel per Cloudserver – verschiedene Passwörter durchprobiert. Je schwächer der ursprüngliche PSK, desto schneller ist er am Ziel und kann den kompletten Datenverkehr entschlüsseln oder sich ins WLAN einklinken. Mit SAE soll sich dieses Verfahren selbst bei höchster Rechenleistung nicht in einer überschaubaren Zeitdauer durchführen lassen und deshalb einen Angriff praktisch sinnlos machen. Außerdem bietet SAE Perfect Forward Secrecy (PFS, vorwärts gerichtete Geheimhaltung): Selbst, wenn ein Angreifer den Schlüssel herausfinden sollte, lassen sich damit zuvor mitgeschnittene Datenpakete nicht mehr entschlüsseln.
Wi-Fi Easy Connect: Sicherheit für Smart Home und IoT
Wenn sich ein WLAN am besten mit einem komplexen Passwort schützen lässt, sollte es auf jedem Gerät auch einfach einzutragen sein. Bei WLAN-Clients mit einem kleinen oder gar keinem Display oder ohne Tasten ist das schwierig, weshalb dafür aktuell das WPS-Verfahren (Wi-Fi Protected Setup) genutzt wird. Allerdings hat WPS einige Schwachstellen. Deshalb soll es künftig durch das Device Provisioning Protocol (DPP) ersetzt werden, das die Basis für das Verfahren Wi-Fi Easy Connect bildet. Dieser Standard schreibt vor, wie Smart- Home-Geräte, etwa Steckdosen, Lampen, Heizungsthermostate und Sensoren, einen sicheren Zugangsschlüssel für das WLAN erhalten können. Das kann zum Beispiel über eine Smartphone-App geschehen, in der sich ein Passwort für das Gerät eingeben lässt beziehungsweise die den QR-Code auf dem Gerät einliest oder den das Gerät am Smartphone erkennt. Auch per NFC oder Bluetooth kann der Erstkontakt für einen sicheren Verbindungsaufbau erfolgen. Viele Hersteller, zum Beispiel von IP-Kameras, nutzen diesen Weg schon für die Vernetzung ihrer Geräte. Mit Wi-Fi Easy Connect soll aber sichergestellt werden, dass sich auch Geräte unterschiedlicher Hersteller auf diese Weise verbinden lassen.
Wi-Fi Enhanced Open: Einfacher Schutz im öffentlichen WLAN
Öffentliche WLANs sind eine bequeme Alternative zum Surfen über das Mobilfunknetz. Allerdings sind sie meist entweder völlig unverschlüsselt, oder der WLAN-Schlüssel ist gut sichtbar auf einem Plakat notiert. So können Sie sich zwar schnell verbinden, aber ein Angreifer kann ebenso bequem den Datenverkehr abhören. Das Verfahren Wi-Fi Enhanced Open soll die Sicherheit in frei verfügbaren WLANs zumindest etwas erhöhen. Dafür nutzt es OWE (Opportunistic Wireless Encryption): Damit kommt ein Gerät ohne Passwort in ein öffentliches WLAN, handelt mit dessen Router aber eine individuelle Verschlüsselung für die Datenverbindung aus. Ein passiver Lauscher am Nebentisch oder im Nebenzimmer bekommt dann nichts mehr mit. Voraussetzung dafür ist allerdings, dass sowohl der Router des WLANs wie auch das WLAN-Gerät, das sich verbinden will, OWE unterstützen. Denn während der Anmeldung müssen beide signalisieren, dass sie das Verfahren kennen, um anschließend auf diese Weise einen sicheren Verbindungsschlüssel aushandeln zu können.
Wie lassen sich WLAN-Geräte mit WPA3 aktualisieren?
WPA3 und die anderen neuen Sicherheitsstandards lassen sich grundsätzlich über ein Software-Update nachrüsten, da sie keine neue Hardware voraussetzen. Einige Experten gehen bei WPA3 davon aus, dass der SAE-Schlüsselaustausch weniger Rechenleistung als PSK erfordern soll, also auch für ältere Geräte möglich ist. Ob und wann aber Hersteller ein WPA3-Upgrade anbieten und ob sie das für alle ihre Geräte tun werden, ist unklar. Wahrscheinlich wird das erst dann der Fall sein, wenn die Nachfrage nach WPA3 so stark ist, dass sich WPA2-Geräte nicht mehr gut verkaufen lassen. Die meisten WLAN-Hersteller, die Geräte für das Heimnetz verkaufen, sehen WPA2 derzeit als ausreichend sicher an, sofern alle entsprechenden Firmware-Updates installiert sind. Einen verpflichtenden Teil des WPA3-Standards bieten einige WLAN-Geräte schon jetzt: Protected Management Frames (PMF) sollten Schutz vor gefälschten Steuerungspaketen bieten. Damit lässt sich verhindern, dass ein Angreifer Clients absichtlich vom Router trennt, um sie anschließend auf einen eigenen Router umzuleiten oder ihre erneute Verbindung mit dem Router zu belauschen, um an das WLAN-Passwort zu kommen. Bei einer Fritzbox mit Fritz-OS 7 zum Beispiel aktivieren Sie PMF unter „WLAN –› Sicherheit –› Verschlüsselung“.
So geht’s: Sicherer WLAN-Zugang
WPA3soll es vor allem erleichtern, eine sichere Verbindung im Funknetz einzurichten. Mit den richtigen Sicherheitsvorkehrungen können Sie Angreifern aber schon jetzt die Attacke auf Ihr WLAN so erschweren, dass es sich für sie nicht lohnt.
1. Nutzen Sie ein starkes Passwort: Nutzen Sie eine Wort-Ziffern-Kombination mit mindestens acht Zeichen. Sie sollte nicht einem Wörterbuch zu finden sein und sich nicht aus Informationen zusammensetzen, die von Ihnen bekannt sein können – etwa eigener Name, Name von Kindern oder Tieren sowie Geburtsdatum. Spielen Sie außerdem immer sofort neue Firmware-Versionen ein, sobald sie verfügbar sind. Auch ein voreingestelltes Passwort sollten Sie ändern, denn es ist meist auf dem Routergehäuse aufgedruckt und daher nicht nur für Sie zugänglich.
2. Schützen Sie den Zugang zum Routermenü: Ein Router speichert das WLAN-Passwort im Klartext. Kommt jemand in das Menü, hat er das Passwort: Dazu muss er sich nicht in Ihrem WLAN befinden. Die meisten Remote-Attacken auf Netzwerke beruhen darauf, dass der Angreifer einfach das Standardpasswort für das Menü nutzt.
3. Sichern Sie Smart-Home-Geräte besonders. Bei dieser Geräteklasse wird die Update-Pflege oft vernachlässigt – entweder vom Anwender oder sogar vom Hersteller. Damit sie kein Einfallstor in Ihr WLAN bilden, sollten Sie sie in ein logisch getrenntes Netzwerk auslagern. Wie’ s geht, lesen Sie hier .
4. VPN im öffentlichen WLAN nutzen. So lange OWE kein Standard in öffentlichen WLANs ist – und auch dann –, ist ein VPN der sicherste Weg, sich in einem ungeschützten Netz zu bewegen. Damit ist der gesamte Datenverkehr verschlüsselt, den Sie über den Hotspot schicken: Angreifer können ihn dann belauschen, aber nichts damit anfangen.