Wie verhindert man, dass ein Deauth-Befehl eine WLAN-Alarmanlage außer Funktion setzt?

**Ganz verhindern lässt sich das über WLAN allein nicht; der wirksame Schutz gegen Deauth-Angriffe ist 802.11w/PMF plus ein zweiter, unabhängiger Übertragungsweg für den Alarm.** Deauth-Frames sind in klassischen WLANs leicht fälschbar, und genau deshalb schützt 802.11w bzw. Protected Management Frames die relevanten Deauthentication- und Disassociation-Frames kryptografisch. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide/b_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter_0100.html)) ## Was konkret hilft Wenn die Alarmanlage WLAN nutzt, muss der Access Point **PMF/802.11w aktiv** haben und die Alarmanlage muss es **auch unterstützen**. Nur dann werden gefälschte Deauth-Befehle vom Client verworfen. Ohne diese Unterstützung bleibt die Anlage per Funk grundsätzlich störbar. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide/b_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter_0100.html)) Noch wichtiger: **Eine sicherheitskritische Alarmanlage sollte nie nur von WLAN abhängen.** In der Praxis ist ein Mobilfunk-Fallback oder eine kabelgebundene Verbindung entscheidend, weil ein Angreifer nicht nur Deauth senden, sondern das 2,4-/5-GHz-Band auch einfach stören kann. PMF schützt gegen gefälschte Management-Frames, aber nicht gegen breitbandiges Jamming. Diese Grenze folgt direkt daraus, dass 802.11w nur bestimmte Management-Frames schützt. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide/b_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter_0100.html)) ## Der häufigste Denkfehler Viele gehen davon aus, dass „WPA2/WPA3 = sicher gegen Deauth“ bedeutet. Das stimmt so nicht. **Normale Verschlüsselung schützt Datenverkehr, aber nicht automatisch die Abmelde-Frames.** Genau diese Lücke schließt erst PMF/802.11w. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide/b_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter_0100.html)) ## Praktisch sinnvolle Maßnahmen - **Alarmanlage nur kaufen oder betreiben, wenn PMF/802.11w unterstützt wird.** - **PMF nach Möglichkeit auf „required“ statt nur „optional“ setzen**, damit unsichere Clients gar nicht erst zugelassen werden. Das erhöht die Sicherheit, kann aber ältere Geräte aussperren. ([cisco.com](https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/212576-configure-802-11w-management-frame-prote.html)) - **Zusätzlichen Kommunikationsweg nutzen**: LTE/5G oder Ethernet. - **Sabotageerkennung konfigurieren**: Meldung bei WLAN-Verlust, nicht erst bei Einbruch. - **Eigenes IoT-/Alarm-SSID oder VLAN** nutzen, damit Fehlkonfigurationen und Nebeneffekte anderer Geräte die Anlage nicht mitreißen. Der entscheidende Unterschied ist also: **PMF verhindert den typischen gefälschten Deauth-Angriff, aber nur Redundanz verhindert, dass die Alarmanlage durch Funkstörung insgesamt blind wird.**