Ein überraschender Angriff auf das Sicherheitsversprechen moderner Netzwerke
WLAN-Netzwerke gelten als sicherer Schutzraum, primär durch die Vorrichtung der Client-Isolation. Diese Technik soll verhindern – dass Geräte innerhalb eines Netzwerks unmittelbar miteinander kommunizieren können. Dennoch hat eine Forschungsgruppe rund um Xin’an Zhou von der University of California Riverside und Mathy Vanhoef von KU Leuven eine kritische Schwachstelle namens AirSnitch entdeckt. Präsentiert während des Network and Distributed System Security Symposiums 2026 zeigt sie, dass die isolierende Funktion ebenfalls in fortschrittlichen WPA3-Enterprise-Umgebungen ausgehebelt werden kann.
Was ist die Client-Isolation und warum gilt sie als sicher?
Die sogenannte Client-Isolation soll unterbinden, dass kompromittierte Geräte andere Clients im WLAN angreifen oder ausnutzen. Sie bewirkt – dass sich Geräte gegenseitig im Netzwerk nicht sehen und keine direkten Verbindungen herstellen können. Diese Hypothese basiert auf der Vorstellung: Die einzelnen Schichten des WLAN-Stacks zuverlässig kooperieren.
Warum ist die Sicherheitsmaßnahme in Frage gestellt?
Konkrete Schwachstellen die AirSnitch aufzeigt, betreffen nicht die Verschlüsselung selbst. WPA2 und WPA3 verbleiben kryptografisch unberührt. Vielmehr verwendet die Angriffsstrategie strukturelle Mängel im Aufbau der Netzwerkarchitektur aus. Es besteht keine durchgängige Verknüpfung von MAC-Adresse, IP-Adresse und kryptografischem Schlüssel.
Die Architektur des WLANs und ihre Schwächen
Auf Layer 2 der MAC- und Switching-Ebene, erkennt das Netzwerk Geräte anhand ihrer MAC-Adresse. Hier werden Geräte dynamisch zugeordnet – weil sie im WLAN mobil sind. Auf Layer 3 erfolgt die Weiterleitung anhand der IP-Adressen. Die Verwaltung der Kryptoschlüssel läuft zur selben Zeit, wird aber nicht stringent mit MAC- oder IP-Identitäten gekoppelt.
Das Problem der schichtübergreifenden Desynchronisation
Fehlt eine strikte Verbindung zwischen MAC, IP und Schlüsseln, nutzt AirSnitch diese Inkonsistenz aus. Angreifer können Geräte anhand manipulierten MAC-Adressen identifizieren, weiterleiten oder den Traffic umleiten – selbst bei WPA3-Enterprise.
Die Angriffsmechanismen im Übersicht
Missbrauch gemeinsamer Gruppenschlüssel (GTK-Exploit)
In den meisten WLANs teilen sich alle Geräte denselben Gruppenschlüssel für Broadcasts. Diese Schwachstelle erlaubt es Angreifern, Broadcast-Frames mit gültigem Gruppenschlüssel zu verschlüsseln und versteckte Unicast-Pakete einzuschleusen. Damit umgehen sie die Verschlüsselung – ohne sie zu brechen.
Gateway-Bouncing: Offene Lücke auf Layer 3
Ein weiterer Angriff, bekannt als Gateway-Bouncing, nutzt die Lücke in der Layer-3-Ableitung. Obwohl die MAC- und Layer-2-Absicherung aktiv ist, kann ein Angreifer Pakete an das Gateway schicken die vom Router an das Opfer weitergeleitet werden. Damit unterlaufen sie die Isolation.
MAC-Spoofing und Port-Stealing
Indem ein Angreifer die MAC-Adresse des Opfers nachahmt, beeinflusst er die interne Zuordnungstabelle des Access Points. So wird der Traffic nicht ergänzend an das echte Gerät geleitet, vielmehr an den Angreifer. Diese Technik ermöglicht Man-in-the-Middle-Angriffe selbst in WPA3-Netzen.
Das Testergebnis: Alle Geräte beeinflussbar
Forscher testeten elf unterschiedliche Geräte darunter Heimrouter, Open-Source-Firmware und Enterprise-Access-Points. Überall ließ sich mindestens eine der Angriffsmethoden erfolgreich demonstrieren – eine alarmierende Erkenntnis.
Warum WPA3-Enterprise nicht ausreichend schützt
Viele gehen fälschlich davon aus. Dass WPA3-Enterprise durch individuelle 802․1X-Zugangsdaten und Schlüsselaushandlungen zuverlässig schützt. Doch die Schwachstelle liegt im eigentlichen Netzwerkdesign. AirSnitch zeigt · dass die Weiterleitung und die interne Logik untergraben werden können · ohne die Verschlüsselung zu kompromittieren.
Die Risiken bei erfolgreichem Angriff
Wer eine Man-in-the-Middle-Standpunkt erlangt, kann unverschlüsselte Daten abfangen, DNS-Cache-Poisoning betreiben oder Cookies stehlen. Zusätzlich sind Traffic-Analysen und Manipulationen im Intranet möglich. Gerade bei öffentlich zugänglichen WLANs und Unternehmensnetzen besteht eine hohe Gefahr.
Das architektonische Kernproblem
Client-Isolation ist kein standardisiertes Feature; es variieren die Implementierungen beträchtlich. Das Fehlen einer konsequenten schichtübergreifenden Bindung zwischen MAC IP und Schlüsseln lässt Manipulationen zu. Funktionen auf Layer 2 und Layer 3 sind oft nur oberflächlich oder inkonsistent umgesetzt.
Folgen für die WLAN-Infrastruktur
Diese inkonsistente Umsetzung erlaubt es Angreifern – etwa durch MAC-Spoofing oder das Ausnutzen unzureichender Weiterleitungsregeln – Kontrolle über den Datenverkehr im Netzwerk zu erzielen. Selbst in WPA3-Netzen bleibt daher die Gefahr einer lateral bewegenden Attacke vorhanden sein.
Gegenmaßnahmen und Empfehlungen Um das Risiko zu senken, schlagen die Forscher vor:
- VLAN-Segmentierung zur isolierten Geräteaufteilung
- Implementierung von individuellen, randomisierten Gruppenschlüsseln
- Strikte Bindung von MAC-Adressen an einzelne BSSIDs
- Entwicklung eines einheitlichen Standards für Client-Isolation
- Einsatz eines Zero-Trust-Modells, das jede Kommunikation überprüft
Obwohl VPNs zusätzlichen Schutz bieten, beseitigen sie nicht die grundlegenden architektonischen Schwächen der internen Weiterleitung.
Kommentare
Ein Weckruf für WLAN-Architekturen
AirSnitch hebt verständlich hervor, dass Verschlüsselung allein keinen ausreichenden Schutz bietet. Vielmehr liegt die Sicherheit in der durchgängigen · schichtübergreifenden Durchsetzung von Identität · Weiterleitung und Isolation. Dieses Resultat sollte Anlass sein – die Netzwerkinfrastrukturen gegenwärtig zu überdenken und Sicherheitskonzepte konsequenter umzusetzen.