Secure Wi-Fi Ranging soll zuverlässig bestimmen, wie weit ein Smartphone, Notebook, Zugangspunkt oder anderes WLAN-Gerät von einem Gegenstück entfernt ist, berichtet die Redaktion von Techify. Eine im März 2026 veröffentlichte Untersuchung von Forschern der KU Leuven und der Johannes Kepler Universität Linz zeigt jedoch, dass die Sicherheitsgarantien von IEEE 802.11az stark von Authentifizierung, Gerätekonfiguration, Firmware und Funkhardware abhängen.
Die Forscher fanden keine einzelne universelle Sicherheitslücke, die jedes kompatible Gerät automatisch kompromittiert. Sie beschreiben vielmehr eine Kette realistischer Schwachstellen: gemeinsam genutzte WLAN-Passwörter, nicht authentifizierte PASN-Verbindungen, erlaubte Rückfälle auf älteres FTM, wiederverwendete Zählerwerte und Geräte, die nur einen Teil der vorgesehenen Schutzmechanismen unterstützen. Dadurch können Entfernungsmessungen manipuliert, auf einen falschen Zugangspunkt bezogen oder vollständig blockiert werden.
Was Secure Wi-Fi Ranging technisch leisten soll
Wi-Fi Ranging berechnet die Entfernung zwischen zwei Funkgeräten über die Laufzeit der Signale. Beim Fine Timing Measurement, kurz FTM, tauschen Initiator und Responder mehrere Zeitstempel aus. Aus der gemessenen Round Trip Time und der Ausbreitungsgeschwindigkeit des Funksignals lässt sich die Distanz ableiten.
Das Verfahren wurde mit IEEE 802.11mc standardisiert und wird bei Android unter der Bezeichnung Wi-Fi RTT verwendet. Werden mindestens drei geeignete Zugangspunkte gemessen, lässt sich über Multilateration eine Position bestimmen. Google nennt für herkömmliches Wi-Fi RTT unter geeigneten Bedingungen eine typische Genauigkeit von ein bis zwei Metern.
IEEE 802.11az sollte diese Technik genauer und widerstandsfähiger machen. Der Standard ergänzt geschützte Management-Frames, neue Authentifizierungswege und pseudorandomisierte Trainingssequenzen auf der physikalischen Ebene. IEEE beschreibt für 802.11az eine Genauigkeit von unter einem Meter und unter günstigen Bedingungen sogar Bereiche von weniger als 0,1 Meter.
Zu den vorgesehenen Anwendungen gehören:
- Navigation in Einkaufszentren, Flughäfen, Krankenhäusern oder Lagerhallen;
- Lokalisierung von Werkzeugen, Waren und mobilen Geräten;
- automatische Auswahl eines geeigneten Access Points;
- kontextabhängige Smart-Home-Steuerung;
- Entsperren eines Computers durch eine nahe Smartwatch;
- schlüsselloser Zugang zu Türen oder Fahrzeugen;
- zusätzliche Prüfung der Entfernung bei Zahlungen;
- ortsabhängige Freigabe von Dokumenten oder Systemfunktionen.
Diese Einsatzbereiche stellen sehr unterschiedliche Anforderungen. Eine ungenaue Position in einer Navigations-App ist meist nur störend. Eine manipulierte Distanzmessung an einer Tür, einem Fahrzeug oder einem geschützten Arbeitsplatz kann dagegen eine Sicherheitsgrenze umgehen.
„The result is typically accurate within 1–2 meters.“
(Android Developers über klassische Wi-Fi-RTT-Ortung mit mindestens drei Access Points)
Welche Schutzmechanismen IEEE 802.11az eingeführt hat
Das ältere FTM-Verfahren nach IEEE 802.11mc übertrug wesentliche Messinformationen ohne ausreichenden Integritäts- und Authentizitätsschutz. Zeitstempel konnten leichter beobachtet oder manipuliert werden. Auch die für die Laufzeitmessung verwendeten Trainingssignale folgten einer öffentlich bekannten, deterministischen Struktur.
IEEE 802.11az, auch Next Generation Positioning genannt, soll diese Schwächen auf mehreren Ebenen schließen. Der Standard schützt nicht nur Protokollnachrichten, sondern verändert auch die Funksignale, anhand derer der genaue Empfangszeitpunkt berechnet wird.
| Schutzmechanismus | Aufgabe | Kritische Voraussetzung |
|---|---|---|
| Protected Management Frames | Schützt FTM-Anfragen, Messberichte und ausgewählte Management-Frames | Korrekt aufgebaute Schlüssel und erzwungener PMF-Einsatz |
| PTK-basierte Absicherung | Bindet Messnachrichten an einen Sitzungsschlüssel | Vertrauenswürdige Authentifizierung des Gegenübers |
| PASN | Erstellt Schlüssel vor einer vollständigen WLAN-Verbindung | Für starke Sicherheit muss eine authentifizierte Vertrauensbasis vorhanden sein |
| Secure HE-LTF | Ersetzt vorhersehbare Trainingsfolgen durch pseudorandomisierte Signale | Vollständige PHY-Unterstützung in Chipsatz und Firmware |
| Secure-LTF-Zähler | Verhindert die erneute Nutzung derselben Signalfolge | Strikt monotone Zähler ohne Reset oder Wiederholung |
| Validation SAC | Prüft, ob die empfangene Trainingsfolge zur erwarteten Sitzung gehört | Keine Wiederverwendung von Zähler- und Schlüsselmaterial |
| Zero-Power Guard Interval | Reduziert ausnutzbare Wiederholungen zwischen Symbolen | Geeignete HF-Hardware und saubere Leistungsverstärkung |
Die sichere Trainingssequenz wird aus geheimem Schlüsselmaterial erzeugt. Für jede Messinstanz soll ein neuer Zählerwert verwendet werden. Daraus entstehen eine neue Validierungssequenz und neue pseudorandomisierte HE-LTF-Symbole.
Bei 20 MHz tragen nach der Analyse 122 von 256 Unterträger nicht-nullwertige pseudorandomisierte Symbole. Bei 40 MHz sind es 242, bei 80 MHz 498. Diese Struktur soll verhindern, dass ein Angreifer das vollständige Signal frühzeitig berechnet und zeitlich versetzt wiederholt.
„Secure Wi-Fi ranging is highly sensitive to configuration choices.“
(Nikola Antonijević, Bernhard Etzlinger, Dave Singelée und Bart Preneel in der Studie vom 19. März 2026)
Warum WPA2-Personal keine starke Vertrauensbasis liefert
In einem WPA2-Personal-Netz verwenden alle zugelassenen Geräte gewöhnlich dasselbe WLAN-Passwort. Aus diesem Passwort und dem Netzwerknamen wird das grundlegende Schlüsselmaterial abgeleitet. Wer das Passwort kennt und den Verbindungsaufbau eines anderen Geräts aufzeichnet, kann unter den im Paper beschriebenen Bedingungen den zugehörigen Sitzungsschlüssel berechnen.
Dieser Sitzungsschlüssel schützt nicht nur gewöhnliche WLAN-Daten. Bei Secure FTM kann er außerdem zur Absicherung der Management-Frames und zur Erzeugung der sicheren Trainingssignale dienen. Ein Nutzer, Gast oder kompromittiertes Gerät mit Kenntnis des gemeinsamen Passworts erhält dadurch eine wesentlich stärkere Position als von vielen Betreibern erwartet.
Der Angriff setzt voraus, dass der Täter sich in Funkreichweite befindet, das Passwort kennt und die erforderlichen Frames beobachten oder aktiv beeinflussen kann. Es handelt sich nicht um einen Angriff aus beliebiger Entfernung über das Internet. In Haushalten, Hotels, kleinen Büros, Geschäften und Veranstaltungsnetzen kann ein weit verbreitetes Passwort jedoch keine eindeutige Identität eines vertrauenswürdigen Access Points garantieren.
Mögliche Folgen sind:
- gefälschte oder veränderte Messberichte;
- Erzeugung gültig wirkender Trainingssignale;
- Manipulation des erkannten Empfangszeitpunkts;
- Zuordnung der Entfernung zu einem nicht vertrauenswürdigen Gerät;
- Umgehung einer ausschließlich auf Distanz basierenden Freigabe.
Die Bezeichnung „secure“ schützt daher nicht automatisch vor jedem Teilnehmer, dem der Betreiber selbst das gemeinsame Passwort gegeben hat. Genau diese Unterscheidung ist für Türöffnungen, Fahrzeugzugänge und lokale Autorisierung entscheidend.

Weshalb auch WPA3-Personal das Gegenüber nicht eindeutig identifiziert
WPA3-Personal verbessert den Schutz gegen passives Mitschneiden. Das SAE-Verfahren verwendet einen Diffie-Hellman-basierten Schlüsselaustausch und bietet Forward Secrecy. Ein Angreifer kann daher nicht allein aus einem aufgezeichneten Handshake und dem später bekannten Passwort den bereits verwendeten Sitzungsschlüssel rekonstruieren.
Das löst jedoch nicht das Identitätsproblem eines gemeinsam genutzten Passworts. SAE bestätigt, dass beide Seiten dasselbe Geheimnis kennen. Es bestätigt nicht automatisch, dass der Access Point tatsächlich das vorgesehene physische Gerät an der erwarteten Position ist.
Kennt ein Angreifer das Passwort, kann er einen Rogue Access Point beziehungsweise einen Evil Twin aufbauen. Ein Client kann mit diesem falschen Zugangspunkt einen gültigen WPA3-Handshake durchführen. Die daraus abgeleitete Secure-FTM-Sitzung misst dann die Nähe zum Angreifer und nicht zum ursprünglich vorgesehenen Anker.
| Szenario | WPA2-Personal | WPA3-Personal |
| Passives Mitschneiden bei bekanntem Passwort | Sitzungsschlüssel unter beschriebenen Bedingungen ableitbar | Durch SAE deutlich erschwert |
| Falscher Access Point mit bekanntem Passwort | Möglich | Weiterhin möglich |
| Eindeutige Identifizierung eines bestimmten AP | Nicht gewährleistet | Nicht allein durch das gemeinsame Passwort gewährleistet |
| Eignung für kritische Distanzfreigaben | Schwach | Ohne zusätzliche Identitätsprüfung weiterhin problematisch |
Für gewöhnlichen Internetzugang ist WPA3-Personal dem älteren WPA2-Personal vorzuziehen. Für proximity-based access control reicht die Verbesserung jedoch nicht aus, wenn die Entscheidung davon abhängt, dass sich das Gerät neben einem ganz bestimmten, vertrauenswürdigen Access Point befindet.
Betreiber sollten außerdem die Funkumgebung nicht isoliert betrachten. Der Beitrag über Wi-Fi und Bluetooth im 6-GHz-Band erklärt, wie Kanalbreite, Frequenzband und konkurrierende Funkgeräte die Zuverlässigkeit aktueller WLAN-Verbindungen beeinflussen.
Das Problem mit PASN ohne vorherige Authentifizierung
Preassociation Security Negotiation soll geschützte Entfernungsmessungen ermöglichen, ohne dass das Gerät zuvor eine vollständige Datenverbindung zum WLAN aufbauen muss. Das ist für Navigation, Besuchergeräte und kurzzeitige Interaktionen praktisch. Die beiden Stationen können Schlüssel erzeugen und FTM-Nachrichten schützen, bevor eine gewöhnliche Assoziation abgeschlossen ist.
PASN kann auf einer bereits authentifizierten WLAN-Verbindung aufbauen. In diesem Fall übernimmt es die Vertrauensbeziehung des zugrunde liegenden Verfahrens. Wird PASN dagegen allein verwendet, garantiert der Standard laut Studie keine gegenseitige Authentifizierung der beiden Stationen.
Ein aktiver Angreifer kann dann getrennte Verbindungen zur Station und zum Access Point aufbauen. Gegenüber beiden Seiten erscheint er als gültiger Kommunikationspartner. Er besitzt jeweils eigenes Schlüsselmaterial und kann geschützte Frames kontrolliert weiterleiten oder verändern.
Was eine Person-in-the-Middle erreichen kann
Der Angreifer muss die Kryptografie nicht mathematisch brechen. Er nutzt aus, dass die Schlüssel nicht sicher an eine langfristig bekannte Identität gebunden sind. Das System bestätigt eine geschützte Sitzung, aber nicht zwingend die Identität des vorgesehenen Messpartners.
Daraus ergeben sich drei Risiken:
- Die gemessene Nähe kann sich auf den Vermittler statt auf den vorgesehenen Access Point beziehen.
- Geschützte Nachrichten können zwischen zwei getrennten PASN-Sitzungen umgesetzt werden.
- Eine Anwendung kann eine kryptografisch geschützte, aber semantisch falsche Entfernung akzeptieren.
Für Besucherführung oder grobe Innenraumortung kann dieser Schutz ausreichend sein. Für Zutrittskontrolle, Fahrzeugöffnung oder Zahlungsfreigabe ist alleinstehendes PASN nach Einschätzung der Autoren keine geeignete primäre Vertrauensbasis.
Downgrade: Wenn ein sicheres Gerät auf altes FTM zurückfällt
Ein weiterer Angriffspunkt liegt in der Aushandlung des Messmodus. Unterstützt ein Gerät sowohl Secure FTM als auch das ältere, ungeschützte FTM, kann eine zu tolerante Konfiguration einen Rückfall erlauben. Der Angreifer muss dann nicht den neuen Schutz brechen. Er versucht, die Stationen zur Nutzung des schwächeren Verfahrens zu bewegen.
Ein Downgrade kann mehrere Ebenen betreffen:
- Wechsel von Secure FTM zu Legacy FTM;
- Nutzung ungeschützter statt geschützter Management-Frames;
- Einsatz deterministischer statt sicherer HE-LTF-Signale;
- Auswahl eines kompatibleren, aber schwächeren Messmodus;
- Akzeptieren einer Sitzung ohne PTK;
- Fortsetzen der Messung nach einer fehlgeschlagenen Sicherheitsverhandlung.
Die Gefahr liegt im stillen Funktionsverlust. Die Ortung liefert weiterhin einen Zahlenwert. Eine App kann daher den Eindruck gewinnen, dass eine sichere Distanzmessung stattgefunden hat, obwohl wesentliche Schutzmechanismen nicht aktiv waren.
Ein sicherer Betriebsmodus muss deshalb nicht nur unterstützt, sondern zwingend vorgeschrieben werden. Systeme für kritische Freigaben sollten die Messung abbrechen, sobald Secure HE-LTF, erforderliche Schlüssel oder authentifizierte Betriebsarten fehlen.
Wer parallel die praktische WLAN-Konfiguration prüfen muss, findet im Vergleich 2,4 GHz oder 5 GHz die Unterschiede bei Reichweite, Störungen und Kanalbelegung. Diese Bandwahl ersetzt keine Secure-FTM-Prüfung, beeinflusst aber die Stabilität der Funkverbindung.
Warum ein sicherer Rückfallstopp neue DoS-Risiken schafft
Wird jeder unsichere Rückfall verboten, verbessert das die Integrität. Gleichzeitig kann ein Angreifer die Messung leichter vollständig blockieren. Er muss nur ausgewählte Nachrichten stören, damit die sichere Sitzung nicht zustande kommt.
Bereits eine gezielte Störung der ersten FTM-Anfrage oder des PASN-Austauschs kann ausreichen. Ein korrekt konfiguriertes Gerät lehnt anschließend Legacy FTM ab. Die Entfernung wird nicht manipuliert, aber auch nicht mehr bereitgestellt.
Auch während einer laufenden Sitzung entstehen Angriffsmöglichkeiten. Schlägt die Prüfung einer sicheren Trainingssequenz fehl, müssen betroffene Messwerte verworfen und Zähler aktualisiert werden. Wiederholte Störungen können fortlaufend Wiederherstellungsrunden auslösen.
| Angriff | Wirkung | Sicherheitsreaktion | Betriebsfolge |
| FTM-Anfrage stören | Sitzung startet nicht | Kein Rückfall erlaubt | Ortung fällt aus |
| PASN-Verhandlung unterbrechen | Kein gemeinsamer Schlüssel | Messung wird abgebrochen | Zugang oder Navigation blockiert |
| Validation SAC ungültig machen | Messwert wird verworfen | Zählerwechsel und Recovery | Höhere Latenz |
| Wiederholte PHY-Störung | Fortlaufende Validierungsfehler | Keine akzeptierte Distanz | Effektiver Denial of Service |
| Legacy-Modus vortäuschen | Downgrade-Versuch | Strikte Richtlinie lehnt ab | Funktion bleibt gesperrt |
Für sicherheitskritische Systeme ist diese Reaktion meist besser als ein unbemerkter Rückfall. Betreiber müssen den Ausfall jedoch im Systemdesign berücksichtigen. Eine Tür darf bei fehlender Messung nicht automatisch öffnen. Gleichzeitig braucht sie einen kontrollierten alternativen Zugang, etwa eine physische Berechtigung, einen separaten kryptografischen Faktor oder eine beaufsichtigte Freigabe.
Zählerwiederverwendung kann den PHY-Schutz aushebeln
Secure HE-LTF verwendet einen Zähler, der für jede Messinstanz steigen soll. Aus dem Zähler und geheimem Schlüsselmaterial werden neue Signalfolgen und ein Validation Sequence Authentication Code erzeugt. Derselbe Wert darf nach einem Fehler nicht erneut verwendet werden.
Firmwarefehler, fehlerhafte Zustandsautomaten oder unvollständige Recovery-Routinen können diese Regel verletzen. Startet ein Gerät den Zähler nach einem Reset falsch, wiederholt einen vorherigen Wert oder aktualisiert ihn nach einer fehlgeschlagenen Messung nicht, entstehen erneut identische Signalbestandteile.
Damit verliert die pseudorandomisierte Trainingssequenz ihre wichtigste Eigenschaft: Ein Angreifer kann eine bereits beobachtete Folge aufzeichnen und zeitlich verschoben wiedergeben. Das Problem ähnelt grundlegend anderen Sicherheitsvorfällen, bei denen Nonces oder Zähler wiederverwendet wurden.
Zu prüfen sind insbesondere:
- Verhalten nach Neustart und Firmware-Update;
- Speicherung des letzten sicheren Zählerstands;
- Recovery nach Funkstörungen;
- parallele Messsitzungen mehrerer Clients;
- Roaming zwischen mehreren Access Points;
- Abbruch während eines FTM-Bursts;
- Zurücksetzen von WLAN-Chip oder Treiber;
- Synchronisation zwischen Host, Firmware und Baseband.
„Error handling and availability make secure FTM fragile.“
(Zusammenfassung der logischen Schwachstellen in der Forschungsarbeit)
Wie Entfernungsmessungen auf der Funkschicht manipuliert werden
Der Empfänger bestimmt die Ankunftszeit eines Signals anhand der Trainingssequenz. Gelingt es einem Angreifer, eine passende Sequenz etwas früher einzuspeisen, kann der Empfänger einen zu frühen Signalbeginn erkennen. Das berechnete Gerät erscheint näher, als es tatsächlich ist.
Bei korrekt erzeugten Secure-HE-LTF-Symbolen ist dieser Angriff erheblich schwieriger. Die Forscher simulierten, wie gut ein Angreifer aus einem bereits beobachteten Teil des Signals den noch unbekannten Rest vorhersagen kann. Die vollständige, verlässliche Rekonstruktion der pseudorandomisierten 64-QAM-Symbole gelang nicht.
Die Untersuchung zeigt allerdings, dass bereits teilweise verwertbare Vorhersagen den geschätzten Empfangszeitpunkt beeinflussen können. Der Effekt wird durch Signalverzerrungen begrenzt. Eine zu starke zeitliche Verschiebung erhöht die Error Vector Magnitude und kann die Demodulation scheitern lassen oder als Anomalie erkennbar werden.
Wird die Signalfolge jedoch durch bekannte Schlüssel, Zählerwiederverwendung oder deaktivierte Secure HE-LTFs vorhersehbar, fällt diese Hürde weg. Dann kann ein Angreifer eine exakte zeitversetzte Kopie erzeugen.
Welche Distanzangriffe unterschieden werden müssen
- Distance Reduction: Das Zielgerät wird künstlich näher dargestellt.
- Distance Enlargement: Das Zielgerät erscheint weiter entfernt.
- Relay-Angriff: Nachrichten werden zwischen entfernten Geräten weitergeleitet.
- Rogue-Anchor-Angriff: Die Messung bezieht sich auf einen falschen Access Point.
- Messwertfälschung: Zeitstempel oder Berichte werden verändert.
- Selective Jamming: Nur sicherheitsrelevante Frames werden gestört.
- Replay: Eine bekannte Trainingsfolge wird zeitlich versetzt erneut ausgesendet.
Die Angriffsmethoden unterscheiden sich technisch. Für die Anwendung ist das Ergebnis jedoch ähnlich: Die berechnete Distanz darf nicht automatisch als unveränderliche physikalische Wahrheit behandelt werden.
Warum aktuelle Geräte Secure FTM oft nur teilweise unterstützen
Die Studie dokumentiert eine geringe praktische Verbreitung der vollständigen IEEE-802.11az-Sicherheitsfunktionen. Android stellt zwar Schnittstellen für Wi-Fi RTT bereit, und Android 15 führte Unterstützung für nicht triggerbasiertes IEEE-802.11az-Ranging ein. Das bedeutet jedoch nicht, dass jedes Gerät Secure HE-LTF oder alle vorgesehenen PHY-Schutzmechanismen hardwareseitig umsetzt.
Die Forscher testeten unter anderem ein Pixel 9a und eine nicht genannte Entwicklungsplattform. Die Entwicklungsplatine wurde mit IEEE-802.11az-Unterstützung beworben, implementierte nach Angaben der Autoren aber nur geschützte Management-Frames. Secure HE-LTF und weitere Schutzfunktionen der physikalischen Schicht fehlten.
Der Hersteller erklärte laut Studie unter einer Vertraulichkeitsvereinbarung, dass diese Funktionen für den verwendeten Chipsatz wegen architektonischer Einschränkungen nicht geplant seien. Die Forscher nennen den Anbieter deshalb nicht.
Gründe für die begrenzte Unterstützung sind:
- Secure HE-LTF muss im Baseband erzeugt und verarbeitet werden;
- Zero-Power Guard Intervals verlangen schnelles Schalten der Sendeleistung;
- bestehende HF-Frontends wurden für gewöhnliche zyklische Präfixe entwickelt;
- nichtlineare Leistungsverstärker können zusätzliche Spektralanteile erzeugen;
- strengere Filterung kann Kosten und Energieverbrauch erhöhen;
- neue Funktionen lassen sich nicht immer per Firmware nachrüsten;
- Chipentwicklung und Zertifizierung benötigen mehrjährige Produktzyklen;
- der größte Sicherheitsgewinn entsteht vor allem in verwalteten Enterprise-Netzen.
Das führt zu einem problematischen Marktbild. Ein Datenblatt kann „802.11az“, „Wi-Fi Ranging“ oder „Secure FTM“ nennen, ohne eindeutig zu erklären, welche Schutzmechanismen aktiv sind. Käufer und Systemintegratoren sollten daher keine Sicherheitsentscheidung allein auf eine Standardnummer stützen.

Welche Konfiguration für kritische Anwendungen erforderlich ist
Die Autoren empfehlen Secure FTM derzeit eher für Anwendungen mit niedriger oder mittlerer Kritikalität. Dazu gehören Innenraumnavigation, Analyse von Besucherströmen oder grobe Zuordnung eines Geräts zu einem Raum. Die Distanz bleibt dabei ein bestmögliches Signal, aber keine alleinige Sicherheitsgrenze.
Für Türöffnung, Fahrzeugzugang, Zahlungsfreigabe oder Dokumentenzugriff sind strengere Bedingungen erforderlich. Die Messung sollte auf gegenseitiger Authentifizierung beruhen, beispielsweise in einem kontrollierten 802.1X-Enterprise-Netz. Legacy-Rückfälle müssen deaktiviert sein.
Eine belastbare Mindestkonfiguration umfasst:
- eindeutige Zertifikate oder vergleichbare Geräteidentitäten;
- gegenseitige Authentifizierung von Initiator und Responder;
- vorgeschriebene Protected Management Frames;
- PTK als Voraussetzung für jede sichere Messung;
- aktivierte Secure HE-LTFs;
- keine automatische Rückkehr zu Legacy FTM;
- strikt monotone Secure-LTF-Zähler;
- Protokollierung fehlgeschlagener Validierungen;
- Erkennung ungewöhnlicher SIR- und EVM-Werte;
- getrennte Behandlung von Integritätsfehlern und Funkstörungen;
- signierte und regelmäßig aktualisierte Firmware;
- zweiter Authentifizierungsfaktor für besonders kritische Aktionen.
| Einsatz | Secure FTM allein | Empfohlene Zusatzkontrolle |
| Innenraumnavigation | Meist vertretbar | Plausibilitätsprüfung mehrerer APs |
| Lagerortung | Bedingt vertretbar | Inventar-ID und Zeitstempel |
| Smart-Home-Automation | Nur für unkritische Aktionen | Benutzerfreigabe für sensible Funktionen |
| Bildschirm entsperren | Nicht als alleiniger Faktor | Gerätezertifikat oder biometrische Prüfung |
| Tür öffnen | Nicht als alleinige Sicherheitsgrenze | Zugangstoken und Enterprise-Authentifizierung |
| Fahrzeugzugang | Nicht allein verwenden | Kryptografischer Fahrzeugschlüssel |
| Zahlung autorisieren | Unzureichend | Transaktionssignatur und Benutzerbestätigung |
Für öffentliche Netze gelten weitere Risiken. Der Beitrag öffentliche WLAN-Netzwerke sicher nutzen beschreibt Schutzmaßnahmen für Geräte und Konten in Hotspots. Diese Maßnahmen verhindern keine PHY-Manipulation von FTM, reduzieren aber zusätzliche Gefahren durch fremde Netzteilnehmer.
Was Unternehmen vor einer Einführung prüfen sollten
Vor einem Einsatz reicht eine Funktion im Administrationsmenü nicht aus. Die tatsächliche Sicherheitskette muss vom Anwendungscode über Betriebssystem, Treiber und Firmware bis zum WLAN-Chip geprüft werden.
Hersteller sollten konkret beantworten, ob ihr Produkt:
- IEEE 802.11az nur erkennt oder vollständig implementiert;
- als Initiator, Responder oder in beiden Rollen arbeitet;
- triggerbasiertes und nicht triggerbasiertes Ranging unterstützt;
- Secure HE-LTF tatsächlich sendet und validiert;
- PASN an eine authentifizierte Verbindung bindet;
- Protected Management Frames zwingend verlangt;
- Legacy FTM abschalten kann;
- Zählerstände über Neustarts hinweg sicher verwaltet;
- fehlerhafte Validation SACs protokolliert;
- PHY-Anomalien wie SIR-Abfälle oder hohe EVM-Werte meldet;
- Sicherheitsupdates über den gesamten Produktlebenszyklus erhält;
- unabhängige Interoperabilitäts- oder Sicherheitstests bestanden hat.
Zusätzlich sollte ein Penetrationstest nicht nur den Netzwerkverkehr untersuchen. Für eine belastbare Bewertung sind Funkmessungen, kontrollierte Interferenz, Replay-Versuche, Rogue-AP-Szenarien und Tests der Fehlerbehandlung erforderlich.
Bei gewöhnlichen Verbindungsproblemen muss zunächst ausgeschlossen werden, dass DNS, VPN oder Betriebssystemdienste die eigentliche Ursache sind. Die Anleitung Mac mit WLAN verbunden, aber Safari lädt keine Seiten zeigt, wie solche Fehler getrennt von Problemen der Funkortung diagnostiziert werden.
Was die Forschung ausdrücklich nicht beweist
Die Studie zeigt nicht, dass jedes Gerät mit IEEE 802.11az kompromittiert ist. Sie veröffentlicht auch keinen universellen Angriff, der ohne Zugangsdaten, Funknähe und geeignete Hardware jede Entfernungsmessung verändert. Mehrere Ergebnisse stammen aus Standardanalyse und MATLAB-Simulationen.
Die praktischen Experimente waren durch die geringe Verfügbarkeit vollständiger Secure-FTM-Hardware begrenzt. Die getestete Entwicklungsplattform unterstützte gerade nicht alle vorgesehenen PHY-Funktionen. Dadurch konnten einzelne theoretisch identifizierte Fehlerfälle, darunter bestimmte Formen der Zählerwiederverwendung, nicht vollständig auf Serienhardware demonstriert werden.
Trotzdem sind die Ergebnisse für Hersteller relevant. Sicherheitsversprechen entstehen erst aus dem Zusammenspiel von Standard, Implementierung und Konfiguration. Eine korrekte Verschlüsselung einzelner Frames reicht nicht aus, wenn der Messpartner nicht eindeutig identifiziert wird oder das Gerät auf einen älteren Modus zurückfällt.
„Secure FTM is better suited to low- and medium-stakes applications.“
(Empfehlung der Forscher für den derzeitigen Einsatz von IEEE 802.11az)
Häufige Fragen zu Secure Wi-Fi Ranging
Ist Secure Wi-Fi Ranging grundsätzlich unsicher?
Nein. IEEE 802.11az verbessert den Schutz gegenüber älterem FTM deutlich. Unsicherheiten entstehen vor allem durch schwache Authentifizierung, gemeinsam genutzte Passwörter, ungeschütztes PASN, erlaubte Downgrades, Zählerfehler oder unvollständige Hardwareunterstützung.
Kann ein Angreifer über das Internet die Entfernung manipulieren?
Die beschriebenen Angriffe setzen gewöhnlich Funknähe und aktive Kontrolle über WLAN-Signale oder Protokollnachrichten voraus. Ein beliebiger entfernter Internetangreifer kann eine FTM-Messung nicht allein durch gewöhnlichen Netzwerkzugriff verändern.
Reicht WPA3-Personal für eine sichere Türöffnung?
Nicht als alleinige Grundlage. WPA3-Personal schützt besser gegen passives Mitschneiden, bindet ein gemeinsam verwendetes Passwort aber nicht automatisch an einen bestimmten Access Point. Ein autorisiertes Zertifikat oder eine andere eindeutige Geräteidentität ist erforderlich.
Was ist der Unterschied zwischen Wi-Fi RTT und Secure FTM?
Wi-Fi RTT bezeichnet die Entfernungsmessung über Round Trip Time. Klassisches FTM nach IEEE 802.11mc bietet nur begrenzten Schutz. Secure FTM nach IEEE 802.11az ergänzt geschützte Frames, sichere Trainingssequenzen und weitere Mechanismen gegen Manipulation.
Können vorhandene Router Secure FTM per Update erhalten?
Teilweise Funktionen können per Firmware ergänzt werden. Secure HE-LTF und ein korrektes Zero-Power Guard Interval können jedoch Änderungen am Baseband oder an der HF-Hardware erfordern. Ein Softwareupdate reicht daher nicht bei jedem Chipsatz.
Woran erkennt man vollständige IEEE-802.11az-Unterstützung?
Die Standardnummer allein genügt nicht. Datenblatt oder Herstellerdokumentation müssen Rollen, unterstützte Ranging-Modi, Secure HE-LTF, PASN, PMF, Downgrade-Schutz und Zählerverwaltung ausdrücklich beschreiben. Bei kritischen Projekten ist ein eigener Funk- und Sicherheitstest erforderlich.
Sie können dies und weitere nützliche Informationen auf unserer Website nachlesen. Wir empfehlen Ihnen außerdem die Lektüre folgender Artikel: Wi-Fi und Bluetooth im 6-GHz-Band: Was die neue Zusammenarbeit für Nutzer bringt
