Daten, Prozesse, IT und Compliance So führen Sie den digitalen Produktpass ein
Registrieren
Think Wireless IoT
(öffnet in neuem Tab)

WBA: OpenRoaming und Passpoint verbessern Sicherheit öffentlicher WLANs

  • Veröffentlicht: 27. April 2026
  • Lesezeit: 3 min

  • Quelle:

    Logo Think WIoT

Teilen:

WBA: OpenRoaming und Passpoint verbessern Sicherheit öffentlicher WLANs
Öffentliche WLAN-Umgebungen bergen vielfältige Sicherheitsrisiken. Standards wie OpenRoaming und Passpoint sollen eine sichere, nahtlose Konnektivität ermöglichen. Bildquelle: WBA (Getty Images)

Die Wireless Broadband Alliance (WBA) erläutert, wie standardbasierte Lösungen – WBA OpenRoaming™ und Passpoint® – die Risiken herkömmlicher öffentlicher WLAN-Gastnetze mindern.

Durch die Durchsetzung gegenseitiger Authentifizierung, Verschlüsselung auf Unternehmensniveau, Identitätsschutz und sicheren AAA-Transport zielen diese Standards darauf ab, ein Roaming-Erlebnis zu bieten, das an die Sicherheit von Mobilfunknetzen heranreicht.

Hintergrund

Aktuelle Branchenberichte, darunter der Google Android-Bericht „Behind the Screens“, haben die Sicherheitsrisiken herkömmlicher offener Gast-WLAN-Netzwerke hervorgehoben: Identitätsdiebstahl, Abfangen von Datenverkehr, Phishing, gefälschte Netzwerke und andere Angriffsvektoren.

Laut WBA arbeitet die Branche gemeinsam mit Betreibern, Identitätsanbietern, Geräteherstellern und Technologieführern daran, eine neue Generation von öffentlichen Gast-WLAN-Netzwerken zu entwickeln, die diesen Risiken begegnet.

Starke gegenseitige Authentifizierung

WBA OpenRoaming™ und Passpoint® erfordern eine gegenseitige Authentifizierung unter Verwendung branchenbewährter EAP-Methoden wie EAP-TLS, EAP-TTLS, EAP-SIM und EAP-AKA. Diese gegenseitige Authentifizierung verhindert, dass sich Geräte mit betrügerischen Zugangspunkten verbinden, die gefälschte SSIDs präsentieren, und verringert das Risiko von Man-in-the-Middle-Angriffen.

Verschlüsselung auf Unternehmensniveau

Der Datenverkehr in OpenRoaming- und Passpoint-fähigen Netzwerken wird durch WPA2-Enterprise oder WPA3-Enterprise geschützt, wobei AES-basierte Verschlüsselung und geschützte Verwaltungsframes zum Einsatz kommen. Laut WBA erhöht dies das Sicherheitsniveau von öffentlichem WLAN auf das von Mobilfunknetzen und mindert die Risiken durch Packet Sniffing und Datenverkehrsmanipulation.

Datenschutz durch Design bei der Benutzeridentität

Die WBA hebt die Datenschutzfunktionen dieser Standards hervor, um zu verhindern, dass Benutzerkennungen oder Anmeldedaten über Funk übertragen werden. Zu den Mechanismen gehören eindeutige und anonyme Identitäten, pseudonyme Identitäten für SIM-basierte Methoden sowie eine optionale undurchsichtige „Chargeable User Identity“ zum Schutz personenbezogener Daten. Diese Maßnahmen sollen die Übertragung von Anmeldedaten, Gerätekennungen oder IMSIs verhindern.

Sichere Speicherung von Anmeldedaten auf Geräten

Anmeldedaten für OpenRoaming und Passpoint sollen sicher auf Geräten gespeichert werden, beispielsweise im Android Keystore, im iOS Keychain oder in sicheren Hardware-Modulen/SIM-Karten. Dies verhindert das Extrahieren und die unzulässige Wiederverwendung von Anmeldedaten und sorgt dafür, dass diese Daten auf das jeweilige Gerät und den jeweiligen Nutzer beschränkt bleiben.

End-to-End-sicherer Transport

Um die Authentifizierung und Abrechnung über die Wi-Fi-Verbindungsschicht hinaus zu schützen, schreibt WBA OpenRoaming einen sicheren AAA-Transport unter Verwendung von RadSec (RADIUS über TLS) oder VPN vor. Dies verschlüsselt den Datenaustausch zwischen Netzwerkelementen und verringert das Risiko des Abfangens im Backhaul- und Carrier-Netzwerk.

Layer-2-Verkehrsisolierung

OpenRoaming- und Passpoint-Implementierungen setzen Client-Isolation und Layer-2-Filtertechniken wie Proxy-ARP sowie bei Bedarf die Deaktivierung von Broadcast/Multicast durch. Diese Maßnahmen schränken die laterale Bewegung lokaler Angreifer und Angriffe von Gerät zu Gerät in öffentlichen Netzwerken ein.

Was dies für Integratoren und Anbieter bedeutet

Systemintegratoren, Lösungsanbieter und Betreiber sollten diese Standards bei der Konzeption oder Aufrüstung öffentlicher WLAN-Dienste berücksichtigen. Zu den wichtigsten Implementierungspunkten gehören die Integration mit Identitätsanbietern und der AAA-Infrastruktur, die Sicherstellung, dass das Geräte-Onboarding eine sichere Speicherung von Anmeldedaten unterstützt, sowie die Aktivierung von RadSec oder einem gleichwertigen sicheren Transport zwischen Netzwerkelementen.

Fazit

Während herkömmliches öffentliches Gast-WLAN gut dokumentierte Risiken birgt, bieten WBA OpenRoaming™ und Passpoint® eine standardbasierte Alternative, die sicheres automatisches Onboarding, geschützte Identitäten, verschlüsselte Verbindungen und verifizierte Netzwerke gewährleisten soll. Die WBA positioniert diese Technologien als Grundlage für ein vertrauenswürdiges, globales öffentliches WLAN-Roaming-Erlebnis.

Weitere Details finden Sie auf der WBA-Website. Zusätzliche Informationen zu OpenRoaming: https://www.openroaming.org.

Kontakt- und Firmeninformationen

Veröffentlicht von
Think WIoT
Kontakt:
Anja Van Bocxlaer