PMF

PMF steht für Protected Management Frames und bezeichnet einen Sicherheitsmechanismus im WLAN-Standard IEEE 802.11w, der speziell dafür entwickelt wurde, Management-Frames vor Manipulation, Spoofing und gezielten Angriffen zu schützen. Management-Frames sind ein essenzieller Bestandteil jeder WLAN-Verbindung, da sie für grundlegende Funktionen wie Authentifizierung, Assoziierung, De-Authentifizierung und Disassoziierung verantwortlich sind. Ohne PMF wurden diese Frames lange Zeit unverschlüsselt und ungeschützt übertragen, was es Angreifern erlaubte, relativ einfach gefälschte Management-Frames zu senden und damit Clients aus einem WLAN zu werfen oder Verbindungen gezielt zu stören. Genau an dieser Schwachstelle setzt PMF an und schließt eine der zentralen Sicherheitslücken klassischer WLAN-Netze.

In der Praxis sorgt PMF dafür, dass bestimmte Management-Frames kryptografisch geschützt werden. Das bedeutet, dass diese Frames entweder signiert oder verschlüsselt übertragen werden, sodass ein Client oder Access Point eindeutig überprüfen kann, ob ein empfangener Management-Frame tatsächlich von einer legitimen Gegenstelle stammt. Insbesondere Deauthentication- und Disassociation-Frames, die früher ein beliebtes Angriffsziel waren, sind durch PMF geschützt. Ohne diesen Schutz konnte ein Angreifer mit einfachen Tools massenhaft gefälschte Abmelde-Frames senden und so einen sogenannten Deauthentication-Attack ausführen, bei dem alle verbundenen Geräte regelmäßig aus dem Netzwerk geworfen werden. Mit aktivem PMF werden solche gefälschten Frames erkannt und verworfen, da sie nicht die korrekten kryptografischen Eigenschaften besitzen.

Technisch basiert PMF auf den Sicherheitsmechanismen, die auch bei WPA2 und WPA3 zum Einsatz kommen. Sobald eine gesicherte Verbindung zwischen Client und Access Point aufgebaut ist, stehen kryptografische Schlüssel zur Verfügung, die nicht nur für die Verschlüsselung von Nutzdaten, sondern auch für den Schutz bestimmter Management-Frames genutzt werden. PMF unterscheidet dabei zwischen geschützten und ungeschützten Management-Frames. Frames, die für den initialen Verbindungsaufbau notwendig sind, wie etwa Beacon-Frames oder Probe-Requests, bleiben weiterhin ungeschützt, da zu diesem Zeitpunkt noch kein gemeinsamer Schlüssel existiert. Alle kritischen Frames, die nach der Authentifizierung übertragen werden, können jedoch abgesichert werden und sind damit deutlich besser vor Angriffen geschützt.

In modernen WLAN-Netzen spielt PMF eine zentrale Rolle, insbesondere im Zusammenspiel mit WPA3. Während PMF bei WPA2 optional war und oft aus Kompatibilitätsgründen deaktiviert blieb, ist es bei WPA3 verpflichtend vorgeschrieben. Das bedeutet, dass jedes Gerät, das WPA3 unterstützt, auch PMF beherrschen muss. Dadurch wird ein deutlich höheres Sicherheitsniveau erreicht, da Angriffe auf Management-Frames nicht mehr nur optional, sondern standardmäßig unterbunden werden. Gerade in öffentlichen WLANs, Unternehmensnetzwerken oder sensiblen Umgebungen ist das ein entscheidender Vorteil, da hier gezielte Störangriffe oder das Abfangen von Verbindungsinformationen besonders kritisch sind.

Aus administrativer Sicht kann PMF in der Regel in drei Modi betrieben werden. Es kann vollständig deaktiviert sein, was aus heutiger Sicht als unsicher gilt. Es kann optional aktiviert sein, sodass Geräte mit PMF-Unterstützung geschützt werden, während ältere Clients weiterhin eine Verbindung ohne PMF aufbauen dürfen. Oder es kann erzwungen werden, was bedeutet, dass sich nur noch Clients verbinden können, die PMF vollständig unterstützen. Letzterer Modus bietet die höchste Sicherheit, kann jedoch zu Kompatibilitätsproblemen mit sehr alten WLAN-Geräten führen, die den Standard nicht implementiert haben. In professionellen IT-Umgebungen wird daher häufig abgewogen, ob maximale Sicherheit oder größtmögliche Gerätekompatibilität im Vordergrund steht.

Für dich als IT-Administrator oder technisch interessierten Nutzer ist PMF vor allem deshalb relevant, weil es die Stabilität und Sicherheit eines WLANs spürbar verbessert. Netzwerke mit aktiviertem PMF sind deutlich weniger anfällig für zufällige Verbindungsabbrüche durch externe Störungen oder absichtliche Angriffe. Gleichzeitig steigt das Vertrauen in die Authentizität von Netzwerkereignissen, da Management-Operationen nicht mehr beliebig von außen manipuliert werden können. In Zeiten zunehmender WLAN-Nutzung, wachsender Gerätedichte und steigender Sicherheitsanforderungen ist PMF daher kein optionales Extra mehr, sondern ein wichtiger Bestandteil moderner IT-Sicherheitskonzepte im drahtlosen Netzwerkbereich.