WPA3 vs. WPA2: Der ultimative Sicherheitsvergleich für dein WLAN

WPA2 und WPA3 im Überblick – was steckt technisch dahinter?

WPA2 war über ein Jahrzehnt der Sicherheitsstandard für WLANs. Es basiert auf dem sogenannten Pre-Shared Key (PSK)-Verfahren, bei dem Router und Client über einen vierstufigen Handshake den gemeinsamen Schlüssel aushandeln. Die Daten werden mit AES-CCMP verschlüsselt – das war lange Zeit ausreichend sicher, bis Forscher Schwächen in der Handshake-Implementierung fanden (Stichwort: KRACK-Attacke). Offline-Wörterbuchangriffe waren ebenfalls möglich, wenn ein Angreifer den Handshake mitschneidet und das Passwort offline durchprobiert. Mit WPA3 hat die Wi-Fi Alliance 2018 ein deutlich moderneres Sicherheitsfundament geschaffen. Statt des PSK-Handshakes nutzt WPA3 das Simultaneous Authentication of Equals (SAE)-Verfahren, auch bekannt als Dragonfly. Dabei wird das Passwort nie direkt übertragen oder abgeleitet, sondern in einen kryptografischen Dialog eingebunden, der Forward Secrecy gewährleistet. Selbst wenn ein Angreifer später das Passwort erfährt, kann er keine alten Datenströme entschlüsseln. Außerdem sind geschützte Management-Frames (802.11w) Pflicht – ein wichtiger Schritt, um Deauthentication-Angriffe zu verhindern. Für Unternehmen gibt es zusätzlich WPA3-Enterprise, das weiterhin auf 802.1X/EAP setzt, optional aber mit 192-Bit-Verschlüsselung (Suite-B) arbeitet. Damit eignet sich WPA3 auch für sicherheitskritische Anwendungen, etwa in Behörden oder medizinischen Einrichtungen.

Technische Unterschiede im Detail: Handshake, Verschlüsselung und Management-Frames

Wer den Unterschied zwischen WPA2 und WPA3 verstehen will, sollte sich die Authentifizierung genauer anschauen.

Handshake-Verfahren

Beim klassischen WPA2-PSK wird der Schlüssel aus dem WLAN-Passwort abgeleitet und über einen 4-Wege-Handshake bestätigt. Wird dieser Handshake aufgezeichnet, kann ein Angreifer offline versuchen, das Passwort zu erraten. Bei WPA3 ersetzt SAE diesen Ablauf durch einen interaktiven Austausch – beide Seiten führen einen mathematischen Beweis durch, dass sie dasselbe Passwort kennen, ohne es zu verraten. Damit sind Offline-Attacken praktisch ausgeschlossen.

Verschlüsselungs-Algorithmen

WPA2 nutzt meist AES-CCMP (128 Bit), während WPA3 auf AES-GCM (128 oder 192 Bit) setzt. GCM ist effizienter und sicherer gegen Manipulationen. Alte Verfahren wie TKIP, MD5 und SHA-1 wurden vollständig entfernt. Für Unternehmen kann WPA3-Enterprise zusätzlich 192-Bit-Suite-B-Verschlüsselung aktivieren – ein Niveau, das sonst nur in militärischen Umgebungen üblich ist.

Management-Frame-Schutz

Ein häufiger Angriff bei WPA2 war das gezielte Trennen von Clients durch gefälschte Deauth-Frames. WPA3 verpflichtet zur Nutzung von Protected Management Frames (PMF). Diese Signierung verhindert, dass ein Angreifer den Verbindungszustand manipulieren kann – ein großer Schritt in Richtung stabilerer WLAN-Verbindungen, insbesondere bei Mesh-Systemen und Videoüberwachung.

Praxisvergleich: WPA3 im Smart Home, Büro und öffentlichen WLANs

In meinem eigenen Smart Home läuft seit über zwei Jahren ein WPA3-Personal-Netz. Alle modernen Geräte – von den Unifi-Access-Points über Netgear-Switches bis zu den Reolink-Kameras – verbinden sich problemlos. Besonders spannend ist, wie sich WPA3 in verschiedenen Szenarien auswirkt:

• Smart Home: Dank SAE sind selbst schwächere Passwörter nicht mehr so leicht angreifbar. IoT-Geräte, die WPA3 noch nicht unterstützen, laufen bei mir im separaten WLAN mit WPA2+WPA3-Mixed-Mode. So bleibt das Netz kompatibel, ohne auf die neuen Sicherheitsvorteile zu verzichten.
• Öffentliche Hotspots: WPA3 bringt hier mit Enhanced Open (OWE) eine echte Verbesserung. Offene Netze, etwa in Cafés, sind damit verschlüsselt, ohne dass der Nutzer ein Passwort eingeben muss. Jeder Client erhält einen individuellen Schlüssel – das schützt vor neugierigen Nachbarn im selben WLAN.
• Kleine Büros: Auch für Selbstständige und kleine Unternehmen lohnt sich der Wechsel. WPA3-Personal schützt effektiv gegen Passwort-Cracking, während WPA3-Enterprise für sensible Datenumgebungen noch eine Schippe drauflegt.

In der Praxis merkt man: WPA3 ist stabil, performant und kompatibel – solange alle Geräte auf aktuellem Stand sind.

Einrichtung und Kompatibilität: So gelingt der Umstieg

Der Wechsel auf WPA3 ist einfacher, als viele denken. Wichtig ist, dass sowohl Router als auch Endgeräte die neue Verschlüsselung unterstützen. Fast alle modernen WLAN-6- und 6E-Router – etwa von Netgear, ASUS, Ubiquiti oder AVM – bieten WPA3 inzwischen ab Werk an.

Beispiel: WPA3 auf einem Netgear-Router aktivieren

1. Firmware prüfen und aktualisieren. 2. Über routerlogin.net im Browser anmelden. 3. Unter „WLAN-Konfiguration“ den Sicherheitsmodus WPA3-Personal auswählen. 4. Passwort setzen und speichern. Nach dem Neustart verbinden sich kompatible Geräte automatisch mit WPA3. Falls ein älteres Gerät Probleme macht, hilft der WPA2+WPA3-Mixed-Mode. Damit können neue Clients WPA3, alte weiterhin WPA2 nutzen.

Kompatibilitätsprüfung

Unter Windows zeigt der Befehl netsh wlan show drivers, ob WPA3 unterstützt wird. Auf Android (ab Version 10) und iOS (ab 13) ist WPA3-Personal standardmäßig aktiv. macOS ab 10.15 und aktuelle Linux-Distributionen bringen ebenfalls volle Unterstützung mit. Bei älteren WLAN-Clients ohne WPA3-Fähigkeit bleibt nur der Mischbetrieb oder das separate WPA2-Netz für Legacy-Geräte – etwa ältere Kameras oder Smart-TVs.

Sicherheitsbewertung: Stärken, Schwächen und reale Angriffsvektoren

WPA3 bringt viele Sicherheitsvorteile, aber kein System ist perfekt. Kurz nach der Einführung wurden unter dem Namen Dragonblood Schwachstellen im SAE-Handshake entdeckt. Diese betrafen jedoch nur bestimmte Implementierungen und wurden durch Firmware-Updates behoben. Die Wi-Fi Alliance hat daraufhin die Zertifizierungsrichtlinien verschärft. Ein echter Nachteil im Alltag ist der sogenannte Downgrade-Angriff im Übergangsmodus (WPA2+WPA3). Ein Angreifer könnte versuchen, dem Client ein reines WPA2-Netz vorzutäuschen, um wieder den schwächeren PSK-Handshake zu erzwingen. Daher empfehle ich: Wer kann, sollte langfristig auf reinen WPA3-Betrieb umstellen und alte Geräte ersetzen. Insgesamt ist WPA3 heute sehr ausgereift. Die Kombination aus SAE, AES-GCM und PMF bietet ein Sicherheitsniveau, das selbst fortgeschrittene Angreifer vor große Hürden stellt. Besonders die Forward Secrecy sorgt dafür, dass selbst bei später kompromittierten Passwörtern alte Datenströme sicher bleiben.

Fazit: WPA3 ist die Zukunft – aber mit Übergangsphase

Im direkten Vergleich zeigt sich klar: WPA3 ist WPA2 in allen sicherheitsrelevanten Punkten überlegen. Der neue SAE-Handshake macht Brute-Force- und Offline-Angriffe nahezu unmöglich, die Pflicht zu geschützten Management-Frames erhöht die Stabilität und Integrität des WLANs, und mit Enhanced Open und Easy Connect wird WLAN auch im Alltag komfortabler. Für Privatanwender bedeutet das: Wenn euer Router WPA3 unterstützt, aktiviert es – selbst im Mixed-Mode. Wer regelmäßig neue Geräte ins Netz bringt, profitiert langfristig von der zusätzlichen Sicherheit. In meinem Smart Home ist WPA3 mittlerweile Standard, und ich kann sagen: Nach der Umstellung hatte ich weniger Verbindungsabbrüche und ein besseres Gefühl, dass meine Kameras und Sensoren nicht einfach mitgeschnitten werden können. WPA2 wird uns noch eine Weile begleiten, aber die Zukunft gehört WPA3. Und wer heute umstellt, ist für kommende WLAN-Generationen – Stichwort Wi-Fi 7 – bestens gewappnet.