AirSnitch: Angriffe auf WLAN-Client-Isolation und Gastnetzwerke

Wie AirSnitch-Schwachstellen Unternehmensnetzwerke bedrohen, und welche Änderungen du zur Sicherheit an der Netzwerkarchitektur und den Einstellungen vornehmen solltest

So schützt du dein Unternehmen vor den AirSnitch-Schwachstellen im WLAN

Februar 2026, San Diego. Beim NDSS Symposium stellt eine Gruppe namhafter Forscher eine Studie zum AirSnitch-Angriff vor. Dabei wird die Client-Isolationsfunktion für WLAN-Netze umgangen – auch bekannt als „Gastnetzwerk“ oder „Geräte-Isolation“. Dieser Angriff ermöglicht es, sich über einen Zugriffspunkt mit einem drahtlosen Netzwerk zu verbinden und dann auf andere damit verbundene Geräte zuzugreifen. Auch auf Geräte, die andere Service Set Identifier (SSIDs) verwenden. Angegriffene Geräte können durchaus mit drahtlosen Subnetzen verbunden sein, die durch das WPA2- oder WPA3-Protokoll geschützt sind. Der Angriff bricht die Verschlüsselung nicht wirklich. Stattdessen nutzt er die Art und Weise, wie Zugriffspunkte mit Gruppenschlüsseln und dem Paket-Routing umgehen.

In der Praxis bedeutet dies: Ein Gastnetzwerk bietet nur sehr geringe Sicherheit. Wenn dein Gast- und Mitarbeiternetzwerk auf demselben physischen Gerät ausgeführt werden, kann ein verbundener Angreifer mithilfe von AirSnitch bösartigen Datenverkehr in benachbarte SSIDs einschleusen. In einigen Fällen können Hacker sogar einen ausgewachsenen Man-in-the-Middle-Angriff (MitM) fahren.

WLAN-Sicherheit und die Rolle der Isolation

Die WLAN-Sicherheit entwickelt sich ständig weiter. Sobald ein theoretisch möglicher Angriff auf die neueste Schutzversion bekannt wird, wechselt die Branche zu komplexeren Algorithmen und Verfahren. Dieser Zyklus begann mit FMS-Angriffen, bei denen WEP-Chiffrierschlüsseln geknackt wurden, und dauert bis heute an: Jüngste Beispiele sind die KRACK-Angriffe auf WPA2 und die FragAttacks, die alle Sicherheitsprotokollversionen von WEP bis WPA3 betrafen.

Ein effektiver (und geräuschloser) Angriff auf moderne WLAN-Netzwerke ist kein Kinderspiel. Die meisten Experten sind sich einig, dass WPA2/WPA3 mit komplexen Schlüsseln und zweckmäßig getrennten Netzwerken normalerweise einen wasserdichten Schutz bietet. Allerdings wissen nur Spezialisten, dass die Client-Isolation innerhalb der IEEE 802.11-Protokolle nie wirklich standardisiert war. Hersteller implementieren die Isolation auf völlig unterschiedliche Weise – mithilfe von Layer 2 oder Layer 3 der Netzwerkarchitektur. Mit anderen Worten: Sie wird entweder auf Router- oder WLAN-Controller-Ebene gehandhabt. Darum variiert das Verhalten isolierter Subnetze je nach Zugriffspunkt oder Router-Modell ziemlich heftig.

Die Werbung behauptet: Client-Isolation ist perfekt, um Restaurant- oder Hotelgäste vor gegenseitigen Angriffen zu schützen (oder um sicherzustellen, dass Firmenbesucher nur auf das Internet zugreifen können). Die Wirklichkeit: Die Isolation verlässt sich oft allein darauf, dass keine Hacker am Werk sind. Genau das zeigt die AirSnitch-Studie.

Typen der AirSnitch-Angriffe

Der Name „AirSnitch“ bezieht sich nicht auf eine einzelne Schwachstelle, sondern auf eine ganze Familie von Architekturfehlern, die bei WLAN-Zugangspunkten für Unruhe sorgen. Den gleichen Namen trägt auch ein Open-Source-Tool, mit dem Router auf diese spezifischen Schwachstellen getestet werden. Sicherheitsexperten dürfen jedoch nicht vergessen, dass zwischen Tests und Angriffen nur ein schmaler Grat liegt.

Das Schema ist für alle diese Angriffe identisch: Ein bösartiger Client wird mit einem Zugriffspunkt verbunden, an dem die Isolation aktiv ist. Andere Nutzer (die Ziele) sind mit derselben SSID oder sogar mit unterschiedlichen SSIDs auf demselben Zugriffspunkt verbunden. Übrigens ein sehr realistisches Szenario. Beispielsweise könnte ein Gastnetzwerk offen und unverschlüsselt sein, oder ein Angreifer könnte sich das Gast-WLAN-Passwort einfach besorgen, indem er sich als legitimer Besucher ausgibt.

Für bestimmte AirSnitch-Angriffe muss der Angreifer vorher die MAC- oder IP-Adresse des Opfers kennen.  Wie effektiv ein Angriff ist, hängt letztendlich vom jeweiligen Hardwarehersteller ab (mehr dazu weiter unten).

GTK-Angriff

Nach dem WPA2/WPA3-Handshake einigen sich Zugriffspunkt und Clients auf einen Group Transient Key (GTK), um den Broadcast-Datenverkehr abzuwickeln. In diesem Szenario verpackt der Angreifer Pakete, die für ein bestimmtes Opfer bestimmt sind, in einen Envelope für den Broadcast-Traffic. Anschließend sendet er diese Pakete direkt an das Opfer und fälscht dabei die MAC-Adresse des Zugriffspunkts. Dieser Angriff erlaubt nur das Einschleusen von Datenverkehr, d. h. der Angreifer erhält keine Antwort. Aber selbst das reicht aus, um an den Client bösartige ICMPv6-Routing-Aufforderungen oder DNS- und ARP-Nachrichten zu übermitteln – und so die Isolation effektiv zu umgehen. Dies ist die universellste Version des Angriffs. Sie funktioniert in jedem WPA2/WPA3-Netzwerk, das einen gemeinsam genutzten GTK verwendet. Allerdings unterstützen einige Zugriffspunkte der Enterprise-Klasse die GTK-Randomisierung für jeden einzelnen Client, was diese ausgefeilte Methode zunichtemacht.

Umleitung von Broadcast-Paketen

Bei dieser Angriffsvariante muss sich der Hacker noch nicht einmal am Zugriffspunkt authentifizieren. Der Angreifer sendet Pakete mit einer Broadcast-Zieladresse (FF:FF:FF:FF:FF:FF) und dem auf 1 gesetzten ToDS-Flag an den Zugriffspunkt.  Viele Zugriffspunkte behandeln dieses Paket wie legitimen Broadcast-Datenverkehr. Sie verschlüsseln es mithilfe des GTK und senden es an alle Clients im Subnetz, auch an das Opfer. Genau wie bei der vorherigen Methode kann der Datenverkehr, der speziell für ein einzelnes Opfer bestimmt ist, intern vorkonfiguriert werden.

Router-Umleitung

Diese Attacke nutzt eine architektonische Lücke, die zwischen Layer 2 und 3 klafft und in der Hardware einiger Hersteller zu finden ist. Der Angreifer sendet ein Paket an den Zugriffspunkt und legt auf der Netzwerkschicht (L3) die IP-Adresse des Opfers als Ziel fest.  Auf Ebene des drahtlosen Netzwerks (L2) wird dagegen die MAC-Adresse des Zugriffspunkts als Ziel genannt, damit der Isolationsfilter nicht auslöst. Das Routing-Subsystem (L3) leitet das Paket dann ganz brav zurück zum Opfer, wobei die L2-Isolation vollständig umgangen wird. Wie bei den vorherigen Methoden kann der Angreifer nur Daten senden und keine Antwort erhalten.

Port-Diebstahl zum Abfangen von Paketen

Der Angreifer verbindet sich mithilfe einer gefälschten Version der Opfer-MAC-Adresse mit dem Netzwerk und flutet es mit ARP-Antworten, die vorgeben, dass diese MAC-Adresse zum Port und zur SSID des Angreifers gehört.  Der Router des Zielnetzwerks aktualisiert seine MAC-Tabellen und sendet den Datenverkehr des Opfers künftig an den neuen Port. Folglich landet der für das Opfer bestimmte Traffic beim Angreifer – selbst wenn das Opfer mit einer ganz anderen SSID verbunden ist.

In einem Szenario, in dem der Angreifer eine Verbindung über ein offenes, unverschlüsseltes Netzwerk herstellt, bedeutet dies: Der Datenverkehr, der für einen Client in einem WPA2/WPA3-gesicherten Netzwerk bestimmt ist, wird tatsächlich unverschlüsselt übertragen. Und nicht nur der Angreifer, sondern alle Personen in der Nähe können den Datenverkehr abfangen.

Port-Diebstahl zum Versenden von Paketen

Bei dieser Variante verbindet sich der Angreifer direkt mit dem WLAN-Adapter des Opfers und bombardiert diesen mit ARP-Anfragen mit einer gefälschten MAC-Adresse des Zugriffspunkts. Dadurch sendet der angegriffene Computer seinen ausgehenden Datenverkehr an den Angreifer und nicht an das Netzwerk. Wenn beide Diebstahlangriffe synchron ausgeführt werden, ist für bestimmte Szenarien ein vollwertiger MitM-Angriff denkbar.

Praktische Folgen von AirSnitch-Angriffen

Wenn ein Hacker mehrere der oben beschriebenen Methoden kombiniert, hat er die folgenden Optionen:

  • Vollständige bidirektionale Überwachung des Datenverkehrs für einen MitM-Angriff. Der Hacker kann also Daten, die zwischen dem Opfer und dem Zugriffspunkt ausgetauscht werden, abrufen und ändern, ohne dass das Opfer überhaupt etwas davon bemerkt.
  • Wechsel zwischen SSIDs. Ein Angreifer, der mit einem Gastnetzwerk verbunden ist, kann Hosts in einem geschlossenen Unternehmensnetzwerk erreichen, wenn beide Netze über denselben physischen Zugriffspunkt laufen.
  • Angriffe auf RADIUS. Da viele Unternehmen die RADIUS-Authentifizierung für ihr Unternehmens-WLAN einsetzen, kann ein Angreifer die MAC-Adresse des Zugriffspunkts fälschen, um die ersten RADIUS-Authentifizierungspakete abzufangen. Dann kann er den gemeinsamen Schlüssel per Brute-Force-Methode knacken. Bei Erfolg kann er einen nicht autorisierten RADIUS-Server und Zugriffspunkt einrichten, um Daten von allen verbundenen Geräten abzufangen.
  • Offenlegung unverschlüsselter Daten aus „sicheren“ Subnetzen: Datenverkehr, der mit WPA2/WPA3-Schutz an einen Client gesendet werden soll, kann in ein offenes Gastnetzwerk zurückgesendet werden, wo er ungeschützt übertragen wird.

Um diese Angriffe effektiv zu realisieren, benötigt ein Hacker ein Gerät, das Daten an den Adapter des Opfers und den Zugriffspunkt senden und von diesen empfangen kann. In einem realen Szenario ist dies normalerweise ein Laptop mit zwei WLAN-Adaptern und speziell konfigurierten Linux-Treibern. Der Angriff kann nicht als „leise“ bezeichnet werden: Er erfordert eine Flut von ARP-Paketen, kann beim Start kurze WLAN-Störungen verursachen und die Netzwerkgeschwindigkeit auf etwa 10 Mbit/s drosseln. Trotz dieser Warnzeichen ist er in vielen Umgebungen eine realistische Bedrohung.

Betroffene Geräte

Im Rahmen der Studie wurden mehrere Zugriffspunkte und Router für Unternehmen und private Nutzer getestet. Dazu gehörten Produkte von Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM und ASUS sowie Router mit gängiger Open-Source-Firmware wie DD-WRT und OpenWrt. Jedes getestete Gerät war zumindest für einige der hier beschriebenen Angriffe anfällig. Noch besorgniserregender ist, dass D-Link DIR-3040 und LANCOM LX-6500 bei allen AirSnitch-Variationen schwach wurden.

Interessanterweise verfügten einige Router über Schutzmechanismen, die die Angriffe blockierten, obwohl die Architekturfehler noch vorhanden waren. Tenda RX2 Pro trennt beispielsweise automatisch die Verbindung jedes Clients, dessen MAC-Adresse gleichzeitig auf zwei BSSIDs erscheint. Dadurch wird der Port-Diebstahl effektiv unterbunden.

Die Forscher betonen, dass Netzwerkadministratoren und IT-Sicherheitsteams, die es mit der Verteidigung ernst meinen, ihre jeweils spezifischen Konfigurationen testen sollten. Nur so lässt sich genau bestimmen, welche Bedrohungen für die Konfiguration eines Unternehmens relevant sind.

So schützt du dein Unternehmensnetzwerk vor AirSnitch

Besonders ernst ist die Bedrohung für Unternehmen, die Gast- und Unternehmens-WLAN-Netzwerke auf denselben Zugriffspunkten ohne zusätzliche VLAN-Segmentierung betreiben. Erhebliche Risiken bestehen auch für Unternehmen, die RADIUS mit veralteten Einstellungen oder mit einem schwachen gemeinsamen Schlüssel für die drahtlose Authentifizierung nutzen.

Unterm Strich kann die Client-Isolation auf einem Zugriffspunkt nicht länger als echte Sicherheitsmaßnahme gelten, sondern eher als Komfortfunktion. Handfeste Sicherheit erfordert andere Maßnahmen:

  • Segmentiere das Netzwerk mithilfe von VLANs. Jede SSID muss über ein eigenes VLAN verfügen, in dem vom Zugriffspunkt bis zur Firewall bzw. zum Router ein striktes 802.1Q-Paket-Tagging aufrechterhalten wird.
  • Implementiere je nach Hardwarefunktionen eine strengere Paket-Inspektion auf der Routing-Ebene. Funktionen wie dynamische ARP-Untersuchung, DHCP-Snooping und eine begrenzte Anzahl von MAC-Adressen pro Port helfen beim Schutz vor IP/MAC-Spoofing.
  • Aktiviere individuelle GTK-Schlüssel für jeden Client, sofern dein Gerät diese Option unterstützt.
  • Verwende stabilere RADIUS- und 802.1X-Einstellungen. Dazu gehören aktuelle Verschlüsselungsalgorithmen und robuste gemeinsame Geheimnisse.
  • Protokolliere und analysiere Anomalien der EAP/RADIUS-Authentifizierung in deinem SIEM. Auf diese Weise können viele Angriffsversuche verfolgt werden, nicht nur AirSnitch. Es gibt noch andere (möglicherweise) kritische Ereignisse, auf die du achten solltest: eine identische MAC-Adresse auf verschiedenen SSIDs, eine hohe Anzahl von ARP-Anfragen und der schnelle Wechsel von Clients zwischen BSSIDs oder VLANs.
  • Schütze die Netzwerktopologie auf höheren Ebenen. Viele dieser Angriffe verpuffen einfach, wenn das Unternehmen TLS und HSTS für den gesamten Datenverkehr von Business-Anwendungen implementiert hat, alle WLAN-Verbindungen ein aktives VPN erfordern oder das Zero-Trust-Prinzip gilt.
Tipps
  • Für alle anderen Länder