{"id":33476,"date":"2026-05-19T11:32:16","date_gmt":"2026-05-19T09:32:16","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33476"},"modified":"2026-05-18T08:32:56","modified_gmt":"2026-05-18T06:32:56","slug":"airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation\/33476\/","title":{"rendered":"AirSnitch: Angriffe auf WLAN-Client-Isolation und Gastnetzwerke"},"content":{"rendered":"

Februar 2026, San Diego. Beim NDSS Symposium stellt eine Gruppe namhafter Forscher eine Studie zum AirSnitch<\/a>-Angriff vor. Dabei wird die Client-Isolationsfunktion f\u00fcr WLAN-Netze umgangen\u00a0\u2013 auch bekannt als \u201eGastnetzwerk\u201c oder \u201eGer\u00e4te-Isolation\u201c. Dieser Angriff erm\u00f6glicht es, sich \u00fcber einen Zugriffspunkt mit einem drahtlosen Netzwerk zu verbinden und dann auf andere damit verbundene Ger\u00e4te zuzugreifen. Auch auf Ger\u00e4te, die andere Service Set Identifier<\/a> (SSIDs) verwenden. Angegriffene Ger\u00e4te k\u00f6nnen durchaus mit drahtlosen Subnetzen verbunden sein, die durch das WPA2- oder WPA3-Protokoll gesch\u00fctzt sind. Der Angriff bricht die Verschl\u00fcsselung nicht wirklich. Stattdessen nutzt er die Art und Weise, wie Zugriffspunkte mit Gruppenschl\u00fcsseln und dem Paket-Routing umgehen.<\/p>\n

In der Praxis bedeutet dies: Ein Gastnetzwerk bietet nur sehr geringe Sicherheit. Wenn dein Gast- und Mitarbeiternetzwerk auf demselben physischen Ger\u00e4t ausgef\u00fchrt werden, kann ein verbundener Angreifer mithilfe von AirSnitch b\u00f6sartigen Datenverkehr in benachbarte SSIDs einschleusen. In einigen F\u00e4llen k\u00f6nnen Hacker sogar einen ausgewachsenen Man-in-the-Middle-<\/a>Angriff (MitM) fahren.<\/p>\n

WLAN-Sicherheit und die Rolle der Isolation<\/h2>\n

Die WLAN-Sicherheit entwickelt sich st\u00e4ndig weiter. Sobald ein theoretisch m\u00f6glicher Angriff auf die neueste Schutzversion bekannt wird, wechselt die Branche zu komplexeren Algorithmen und Verfahren. Dieser Zyklus begann mit FMS-Angriffen<\/a>, bei denen WEP-Chiffrierschl\u00fcsseln geknackt wurden, und dauert bis heute an: J\u00fcngste Beispiele sind die KRACK-<\/a>Angriffe auf WPA2 und die FragAttacks<\/a>, die alle Sicherheitsprotokollversionen von WEP bis WPA3 betrafen.<\/p>\n

Ein effektiver (und ger\u00e4uschloser) Angriff auf moderne WLAN-Netzwerke ist kein Kinderspiel. Die meisten Experten sind sich einig, dass WPA2\/WPA3 mit komplexen Schl\u00fcsseln und zweckm\u00e4\u00dfig getrennten Netzwerken normalerweise einen wasserdichten Schutz bietet. Allerdings wissen nur Spezialisten, dass die Client-Isolation innerhalb der IEEE 802.11-Protokolle nie wirklich standardisiert war. Hersteller implementieren die Isolation auf v\u00f6llig unterschiedliche Weise\u00a0\u2013 mithilfe von Layer\u00a02 oder Layer\u00a03 der Netzwerkarchitektur<\/a>. Mit anderen Worten: Sie wird entweder auf Router- oder WLAN-Controller-Ebene gehandhabt. Darum variiert das Verhalten isolierter Subnetze je nach Zugriffspunkt oder Router-Modell ziemlich heftig.<\/p>\n

Die Werbung behauptet: Client-Isolation ist perfekt, um Restaurant- oder Hotelg\u00e4ste vor gegenseitigen Angriffen zu sch\u00fctzen (oder um sicherzustellen, dass Firmenbesucher nur auf das Internet zugreifen k\u00f6nnen). Die Wirklichkeit: Die Isolation verl\u00e4sst sich oft allein darauf, dass keine Hacker am Werk sind. Genau das zeigt die AirSnitch-Studie.<\/p>\n

Typen der AirSnitch-Angriffe<\/h2>\n

Der Name \u201eAirSnitch\u201c bezieht sich nicht auf eine einzelne Schwachstelle, sondern auf eine ganze Familie von Architekturfehlern, die bei WLAN-Zugangspunkten f\u00fcr Unruhe sorgen. Den gleichen Namen tr\u00e4gt auch ein Open-Source-Tool, mit dem Router auf diese spezifischen Schwachstellen getestet werden. Sicherheitsexperten d\u00fcrfen jedoch nicht vergessen, dass zwischen Tests und Angriffen nur ein schmaler Grat liegt.<\/p>\n

Das Schema ist f\u00fcr alle diese Angriffe identisch: Ein b\u00f6sartiger Client wird mit einem Zugriffspunkt verbunden, an dem die Isolation aktiv ist. Andere Nutzer (die Ziele) sind mit derselben SSID oder sogar mit unterschiedlichen SSIDs auf demselben Zugriffspunkt verbunden. \u00dcbrigens ein sehr realistisches Szenario. Beispielsweise k\u00f6nnte ein Gastnetzwerk offen und unverschl\u00fcsselt sein, oder ein Angreifer k\u00f6nnte sich das Gast-WLAN-Passwort einfach besorgen, indem er sich als legitimer Besucher ausgibt.<\/p>\n

F\u00fcr bestimmte AirSnitch-Angriffe muss der Angreifer vorher die MAC- oder IP-Adresse des Opfers kennen.\u00a0 Wie effektiv ein Angriff ist, h\u00e4ngt letztendlich vom jeweiligen Hardwarehersteller ab (mehr dazu weiter unten).<\/p>\n

GTK-Angriff<\/h3>\n

Nach dem WPA2\/WPA3-Handshake einigen sich Zugriffspunkt und Clients auf einen Group Transient Key (GTK), um den Broadcast-Datenverkehr abzuwickeln. In diesem Szenario verpackt der Angreifer Pakete, die f\u00fcr ein bestimmtes Opfer bestimmt sind, in einen Envelope f\u00fcr den Broadcast-Traffic. Anschlie\u00dfend sendet er diese Pakete direkt an das Opfer und f\u00e4lscht dabei die MAC-Adresse des Zugriffspunkts. Dieser Angriff erlaubt nur das Einschleusen von Datenverkehr, d.\u00a0h. der Angreifer erh\u00e4lt keine Antwort. Aber selbst das reicht aus, um an den Client b\u00f6sartige ICMPv6-Routing-Aufforderungen oder DNS- und ARP-Nachrichten zu \u00fcbermitteln\u00a0\u2013 und so die Isolation effektiv zu umgehen. Dies ist die universellste Version des Angriffs. Sie funktioniert in jedem WPA2\/WPA3-Netzwerk, das einen gemeinsam genutzten GTK verwendet. Allerdings unterst\u00fctzen einige Zugriffspunkte der Enterprise-Klasse die GTK-Randomisierung f\u00fcr jeden einzelnen Client, was diese ausgefeilte Methode zunichtemacht.<\/p>\n

Umleitung von Broadcast-Paketen<\/h3>\n

Bei dieser Angriffsvariante muss sich der Hacker noch nicht einmal am Zugriffspunkt authentifizieren. Der Angreifer sendet Pakete mit einer Broadcast-Zieladresse (FF:FF:FF:FF:FF:FF) und dem auf\u00a01 gesetzten ToDS-Flag an den Zugriffspunkt.\u00a0 Viele Zugriffspunkte behandeln dieses Paket wie legitimen Broadcast-Datenverkehr. Sie verschl\u00fcsseln es mithilfe des GTK und senden es an alle Clients im Subnetz, auch an das Opfer. Genau wie bei der vorherigen Methode kann der Datenverkehr, der speziell f\u00fcr ein einzelnes Opfer bestimmt ist, intern vorkonfiguriert werden.<\/p>\n

Router-Umleitung<\/h3>\n

Diese Attacke nutzt eine architektonische L\u00fccke, die zwischen Layer\u00a02 und\u00a03 klafft und in der Hardware einiger Hersteller zu finden ist. Der Angreifer sendet ein Paket an den Zugriffspunkt und legt auf der Netzwerkschicht (L3) die IP-Adresse des Opfers als Ziel fest.\u00a0 Auf Ebene des drahtlosen Netzwerks (L2) wird dagegen die MAC-Adresse des Zugriffspunkts als Ziel genannt, damit der Isolationsfilter nicht ausl\u00f6st. Das Routing-Subsystem (L3) leitet das Paket dann ganz brav zur\u00fcck zum Opfer, wobei die L2-Isolation vollst\u00e4ndig umgangen wird. Wie bei den vorherigen Methoden kann der Angreifer nur Daten senden und keine Antwort erhalten.<\/p>\n

Port-Diebstahl zum Abfangen von Paketen<\/h3>\n

Der Angreifer verbindet sich mithilfe einer gef\u00e4lschten Version der Opfer-MAC-Adresse mit dem Netzwerk und flutet es mit ARP-Antworten, die vorgeben, dass diese MAC-Adresse zum Port und zur SSID des Angreifers geh\u00f6rt.\u00a0 Der Router des Zielnetzwerks aktualisiert seine MAC-Tabellen und sendet den Datenverkehr des Opfers k\u00fcnftig an den neuen Port. Folglich landet der f\u00fcr das Opfer bestimmte Traffic beim Angreifer\u00a0\u2013 selbst wenn das Opfer mit einer ganz anderen SSID verbunden ist.<\/p>\n

In einem Szenario, in dem der Angreifer eine Verbindung \u00fcber ein offenes, unverschl\u00fcsseltes Netzwerk herstellt, bedeutet dies: Der Datenverkehr, der f\u00fcr einen Client in einem WPA2\/WPA3-gesicherten Netzwerk bestimmt ist, wird tats\u00e4chlich unverschl\u00fcsselt \u00fcbertragen. Und nicht nur der Angreifer, sondern alle Personen in der N\u00e4he k\u00f6nnen den Datenverkehr abfangen.<\/p>\n

Port-Diebstahl zum Versenden von Paketen<\/h3>\n

Bei dieser Variante verbindet sich der Angreifer direkt mit dem WLAN-Adapter des Opfers und bombardiert diesen mit ARP-Anfragen mit einer gef\u00e4lschten MAC-Adresse des Zugriffspunkts. Dadurch sendet der angegriffene Computer seinen ausgehenden Datenverkehr an den Angreifer und nicht an das Netzwerk. Wenn beide Diebstahlangriffe synchron ausgef\u00fchrt werden, ist f\u00fcr bestimmte Szenarien ein vollwertiger MitM-Angriff denkbar.<\/p>\n

Praktische Folgen von AirSnitch-Angriffen<\/h2>\n

Wenn ein Hacker mehrere der oben beschriebenen Methoden kombiniert, hat er die folgenden Optionen:<\/p>\n