Welche WLAN-Standards (802.11a/b/g/n/ac/ax) passen zu meinem Netz – Unterschiede bei Frequenz, Kanalbreite, Datenrate und Reichweite

802.11a/b/g/n/ac/ax im Vergleich: IEEE-Standard, Wi‑Fi-Name, Frequenzbänder, Kanalbreiten, Streams und theoretische Maximalraten

Die WLAN-Generationen 802.11a/b/g/n/ac/ax unterscheiden sich weniger durch „WLAN an/aus“, sondern durch konkrete PHY-/MAC-Mechanismen: genutzte Frequenzbänder, Modulations- und Codierungsverfahren, Kanalbreiten, räumliche Datenströme (Spatial Streams, MIMO) sowie Protokollfunktionen für Effizienz und Gleichzeitigkeit. Marketingnamen wie Wi‑Fi 4/5/6 verweisen dabei auf definierte Standardfamilien, nicht automatisch auf identische Geräteleistung: Client-Klasse, Antennendesign, Funkumgebung und regulatorische Limits begrenzen den praktischen Durchsatz.

Brandson - Windmaschine Retro Stil 120 Watt - Ventilator in Chrom - Standventilator 45 cm - Bodenventilator - hoher Luftdurchsatz - stufenlos neigbarer Ventilatorkopf - Silber ^ℹ︎

Rezensionen lesen^ℹ︎

UVP**: € 79,85 € 67,86 -15% Ersparnis 15%

Auf Lager Preise inkl. MwSt., zzgl. Versandkosten

Bei Amazon ansehen^ℹ︎

ℹ︎ Affiliate-Link: Wenn Sie über diesen Link einkaufen, erhält der Betreiber dieser Website möglicherweise eine Provision. Für Sie bleibt der Preis dadurch gleich. Zuletzt aktualisiert am 3. Juni 2026 um 21:02. Die hier gezeigten Preise können sich zwischenzeitlich auf der Seite des Verkäufers geändert haben. Alle Angaben ohne Gewähr.
(**) UVP: Unverbindliche Preisempfehlung

Preise inkl. MwSt., zzgl. Versandkosten

Tabellarischer Überblick: Standards, Bänder, Kanalbreiten und theoretische Maximalraten

Die Tabelle ordnet die Standards nach ihren typischen Eigenschaften. Angegebene Maximalraten sind die PHY-Bruttodatenraten unter Idealbedingungen. Sie setzen u. a. optimale Signalqualität, passende Kanalbreite, kurze Guard-Interval-Varianten und den jeweils höchsten MCS voraus. Netto-Durchsatz liegt in realen Netzen deutlich darunter, weil MAC-Overhead, Interframe-Spaces, Management-Frames, Retransmits und Koexistenzmechanismen (insbesondere im 2,4‑GHz-Band) Kapazität binden.

*Wi‑Fi 6E bezeichnet 802.11ax im 6‑GHz-Band; der IEEE-Standard bleibt 802.11ax. Die Verfügbarkeit von 6 GHz (Kanäle, Indoor/Outdoor-Regeln, Sendeleistung) ist länderabhängig und richtet sich nach nationaler Regulierung.

Frequenzbänder und Kanalbreiten: Kapazität, Störanfälligkeit und Planungskonsequenzen

2,4 GHz bietet tendenziell größere Ausbreitung und bessere Durchdringung, aber deutlich weniger überlappungsfreie Kanalplanung (bei 20 MHz in der Praxis vor allem die nicht überlappenden Kanalsets) und höhere Fremdbelegung durch Bluetooth, Zigbee/Thread sowie Haushaltsgeräte. 5 GHz stellt meist mehr Kanäle und geringere Interferenz bereit, verliert jedoch Reichweite und ist in Teilen an DFS/TPC gebunden. 6 GHz (Wi‑Fi 6E) erweitert die nutzbare Spektrumsfläche erheblich, setzt jedoch kompatible Clients voraus und hat aufgrund höherer Frequenz eine vergleichbar anspruchsvolle Funkzellendichte wie 5 GHz oder höher.

Breitere Kanäle erhöhen die PHY-Rate, verschlechtern aber die Koexistenz in belegten Umgebungen: Ein 80‑MHz-Kanal belegt das Vierfache eines 20‑MHz-Kanals, was in Mehrparteienhäusern und Büros zu mehr Überlappung und damit zu geringerer Effizienz führen kann. In 2,4 GHz ist 40 MHz in vielen Szenarien praktisch kaum stabil nutzbar, weil die Koexistenzregeln (20/40‑BSS‑Coexistence) und die knappe Kanalzahl zu häufigen Rückfällen auf 20 MHz oder zu Störungen führen.

• 20 MHz: Baseline für robuste Planung; in 2,4 GHz am konfliktärmsten, in 5/6 GHz oft die beste Wahl für hohe Client-Dichte.
• 40 MHz: sinnvoll vor allem in 5 GHz (802.11n/ac/ax) bei moderater Belegung; in 2,4 GHz häufig problematisch, weil benachbarte Netze stark überlagern.
• 80 MHz: verbreitetes Leistungsprofil für 802.11ac/ax; erhöht Spitzendurchsatz, senkt aber die Anzahl parallel nutzbarer Kanäle und reagiert empfindlicher auf Störer.
• 160 MHz: maximiert PHY-Raten, benötigt viel zusammenhängendes Spektrum; in 5 GHz oft durch DFS-Teilbereiche und Umfeldbelegung eingeschränkt, in 6 GHz (je nach Regulierung) häufiger praktikabel.

Streams, MIMO und MU‑MIMO: was die Geräteklasse tatsächlich limitiert

Spatial Streams bestimmen maßgeblich die Maximalrate: Ein 2×2-Client kann bei gleicher Kanalbreite und gleichem MCS grundsätzlich nur die Hälfte der PHY-Rate eines 4×4-Clients erreichen. In Endgeräten dominieren 1×1- und 2×2-Designs, während Access Points häufiger 4×4 oder 8×8 bereitstellen, primär um mehrere Clients parallel und mit besserer Empfangsdiversität zu bedienen. MU‑MIMO existiert bei 802.11ac (Downlink) und wird mit 802.11ax weitergeführt; bei 802.11ax kommt zusätzlich Uplink‑MU‑MIMO hinzu. Der reale Nutzen hängt jedoch von Client-Unterstützung, Scheduler-Implementierung und der räumlichen Trennbarkeit der Funkwege ab.

802.11ax verschiebt den Effizienzfokus zusätzlich auf OFDMA: Der Access Point kann ein breites Kanalband in Resource Units aufteilen und mehreren Clients gleichzeitig zuteilen. Das reduziert Wartezeiten und senkt Overhead bei vielen kleinen Frames, etwa bei IoT-Telemetrie oder in dichten Office-Umgebungen. Für einzelne große Downloads steigt die Spitzengeschwindigkeit weniger durch OFDMA als durch Kanalbreite, MCS und Streamzahl.

• Client-Klasse als Nadelöhr: Ein 1×1‑Smartphone in 80 MHz limitiert die mögliche Datenrate unabhängig davon, ob der Access Point 4×4 oder 8×8 unterstützt.
• Signalqualität steuert MCS: Mit sinkendem SNR fällt die Modulation (z. B. von 1024‑QAM/256‑QAM auf niedrigere Stufen); die PHY-Rate bricht dann sprunghaft ein, selbst bei unveränderter Kanalbreite.
• Guard Interval und Implementierungsdetails: Kurzvarianten des Guard Intervals und herstellerspezifische Optimierungen beeinflussen die PHY-Rate, sind aber in gemischten Netzen nicht garantiert durchgängig verfügbar.

Theorie vs. Praxis: warum Maximalraten selten erreichbar sind

Die theoretische Maximalrate ist eine Bruttogröße. In der Praxis reduziert bereits die Halbduplex-Natur von WLAN (CSMA/CA) die gleichzeitige Sende-/Empfangskapazität, zudem müssen alle Stationen das Medium teilen. Hinzu kommen Beacons, Probe- und Association-Traffic, ACKs, Block-ACK-Mechanismen sowie Schutzmechanismen für Abwärtskompatibilität. Sobald ältere 802.11b/g-Clients oder 2,4‑GHz-Koexistenz ins Spiel kommen, steigen Airtime-Verbrauch und Retransmit-Raten typischerweise stärker als die reine Linkrate vermuten lässt.

Auch die Kanalbreite wird im Betrieb nicht immer voll ausgenutzt: DFS-Ereignisse können Kanalwechsel erzwingen, und automatische Kanalwahl kann in stark belegten Umgebungen bewusst auf 20/40 MHz zurückgehen. In Unternehmensnetzen treten zusätzlich Rahmenbedingungen wie Mindest-RSSI, Roaming-Parameter und Band-Steering auf, die Stabilität und Latenz priorisieren und damit den Maximaldurchsatz pro Client begrenzen können. Für verlässliche Planungswerte ist deshalb die Geräteklasse (1×1/2×2/3×3), das Zielband (2,4/5/6 GHz) und die zu erwartende Airtime-Konkurrenz aussagekräftiger als die beworbene Gbit/s-Zahl.

Reichweite und Tempo in der Praxis: typische Durchsatzwerte, Einfluss von 2,4 vs. 5 GHz, Kanalplanung, Störquellen und Client-Limits

Typischer Durchsatz statt Brutto-Rate: warum „bis zu“ selten ankommt

Die PHY-Datenrate eines WLAN-Links (die „Brutto-Rate“) bildet nur die modulierte Funkübertragung ab. In realen Netzen reduzieren MAC-Overhead, Interframe-Spaces, Beaconing, Management-Frames, Retransmissions, Airtime-Konkurrenz und die Halbduplex-Natur des Mediums den Nutzdatendurchsatz deutlich. Zusätzlich wirkt sich die TCP/IP- und Anwendungsprotokollierung aus; selbst bei idealem Signal bleibt ein Teil der Funkzeit unproduktiv, weil jeder Frame bestätigt werden muss (ACK) und Kollisionen bzw. Backoff-Zeiten auftreten.

Bei Wi‑Fi 5/6 fallen die Abweichungen besonders auf, weil hohe Brutto-Raten meist aus breiten Kanälen (80/160 MHz), hohen Modulationsstufen (z. B. 256‑QAM/1024‑QAM) und mehreren Spatial Streams resultieren. Diese Bedingungen sind in Wohn- und Büroumgebungen nicht konstant erreichbar: Schon eine moderate Dämpfung oder Interferenz senkt den MCS-Index, und der Link wechselt auf robustere, aber langsamere Modulation. Der beobachtbare Durchsatz hängt zudem vom Gegenüber ab: Ein 2×2-Client limitiert den Link unabhängig davon, ob der Access Point 4×4 oder 8×8 unterstützt.

Die Werte dienen als praxisnahe Orientierung für einzelne Endgeräte. In Mehrclient-Szenarien sinken die pro Gerät erreichbaren Raten, weil alle Stationen sich dieselbe Airtime teilen. Gerade bei gemischten Clients (alte 802.11n- oder IoT-Geräte) kann ein einzelnes langsames Endgerät die Airtime-Ökonomie spürbar verschlechtern, auch wenn moderne Standards Mechanismen zur Effizienzsteigerung mitbringen.

2,4 GHz vs. 5 GHz: Dämpfung, Sendeleistung und „nutzbare“ Reichweite

2,4 GHz bietet bei gleicher Sendeleistung und Antennengewinn tendenziell mehr Reichweite, weil die Freiraumdämpfung geringer ist und viele Materialien bei niedrigeren Frequenzen weniger stark dämpfen. Dafür ist das Band in der Praxis oft überfüllt und durch nicht-WLAN-Störer belastet. 5 GHz ermöglicht mehr Kanäle und höhere Kanalbreiten, erreicht aber durch stärkere Wand- und Möbeldämpfung sowie regulatorisch bedingte Leistungsgrenzen in bestimmten Teilbändern häufig eine geringere „gute“ Reichweite, also die Distanz, bei der hohe MCS-Stufen stabil bleiben.

Für Tempo ist nicht die maximale Reichweite entscheidend, sondern der Bereich mit hohem Signal-Rausch-Abstand (SNR). Sobald der Link auf niedrigere MCS-Stufen zurückfällt, kann 2,4 GHz in Randlagen trotz größerer Reichweite langsamer sein als ein näher platzierter 5‑GHz-Access-Point. In Gebäuden wirkt zudem Mehrwegeausbreitung: Moderne Verfahren (MIMO, Beamforming) können Reflexionen nutzen, bleiben aber empfindlich gegenüber ungünstigen Antennenpositionen und Abschattung durch Körper oder Metallflächen.

• Reichweitenlogik: „Verbindung vorhanden“ ist nicht gleich „schnell“. Hohe Datenraten benötigen hohe SNR; die nutzbare High-Rate-Zone schrumpft bei 5 GHz meist stärker als die reine Verbindungszone.
• Band-Steering: Eine sinnvolle Lenkung bevorzugt 5 GHz für leistungsfähige Clients in AP-Nähe und belässt 2,4 GHz für Reichweite, IoT und Randbereiche; Fehlkonfiguration kann Clients zwischen Bändern pendeln lassen („Sticky“ vs. „Ping-Pong“).
• Kanalbreite vs. Robustheit: 80/160 MHz erhöhen die Brutto-Rate, senken aber die Störfestigkeit, weil mehr Spektrum „eingesammelt“ wird und die erlaubte EIRP sich je nach Land/Teilband unterscheiden kann.
• Legacy-Bremse: Ältere 802.11b/g/n-Clients im selben BSS verursachen mehr Schutzmechanismen und Airtime-Verbrauch; die messbare Auswirkung hängt von deren Aktivität, nicht nur von deren Anwesenheit ab.

Kanalplanung: Koexistenz, DFS und warum „Auto“ nicht immer optimal ist

In 2,4 GHz führt eine saubere Planung praktisch immer zu 20 MHz Kanalbreite und einer Verteilung auf die überlappungsarmen Kanäle 1/6/11 (bei 5‑MHz-Kanalraster). 40 MHz bündelt dort zwei Kanäle, verschärft Überlappungen und erhöht die Wahrscheinlichkeit für CCA-Busy-Zustände, sodass der Nettoeffekt in dicht belegten Umgebungen negativ ausfallen kann. In 5 GHz stehen mehr Kanäle zur Verfügung; dennoch kann eine breite Kanalwahl das Spektrum unnötig belegen und die Stabilität verschlechtern, wenn Nachbarn dieselben Bereiche nutzen.

DFS-Kanäle (radarüberwacht) sind in vielen Regionen ein zweischneidiges Werkzeug. Sie entlasten die typischen Nicht-DFS-Kanäle, können aber bei Radarerkennung Kanalwechsel auslösen. Das führt kurzzeitig zu Unterbrechungen und in ungünstigen Setups zu merkbaren Session-Abbrüchen, etwa bei Echtzeitkommunikation. Bei Unternehmensdesigns wird DFS häufig bewusst eingeplant, jedoch mit abgestimmten RRM-Parametern, ausreichend Kanalpuffer und Monitoring. In Heimnetzen hängt die Sinnhaftigkeit stark von der lokalen Radar- und Nachbarsituation ab.

Störquellen und „unsichtbare“ Bremsen: Interferenz, Airtime und Hardwaregrenzen

Interferenz entsteht nicht nur durch andere WLANs (Ko-Kanal- und Nachbarkanalbelegung), sondern auch durch nicht-802.11-Signale. In 2,4 GHz treten Bluetooth, Funkkameras, Babyphones und Mikrowellen häufig als Störer auf. In 5 GHz sind Nicht-WLAN-Störer seltener, dafür dominieren Ko-Kanal-Konkurrenz in Mehrparteienhäusern sowie dynamische Änderungen durch automatische Kanalwahl. Eine hohe gemessene Signalstärke (RSSI) schützt nicht vor Interferenz; entscheidend ist das Verhältnis aus Nutzsignal und Stör- bzw. Rauschpegel.

Neben Funkumgebung und AP-Konfiguration limitiert oft der Client: Viele Smartphones und Notebooks unterstützen 2×2 MIMO, einige IoT-Geräte nur 1×1. Ältere Clients beherrschen 80 MHz nicht oder nur auf bestimmten Kanalgruppen. Auch die CPU- und Treiberleistung kann zum Flaschenhals werden, insbesondere bei hoher Paketlast, VPN-Tunneling oder aktivierter Deep Packet Inspection auf dem Gateway. Bei Access Points spielt die Backhaul-Anbindung eine Rolle: Ein WLAN-Mesh mit funktechnischem Backhaul teilt Airtime zwischen Uplink und Downlink; das reduziert den Netto-Durchsatz gegenüber einer Ethernet-Anbindung typischerweise deutlich.

• Client-Fähigkeiten prüfen: Begrenzungen ergeben sich häufig aus 1x1 oder 2x2 MIMO, fehlender 80 MHz-Unterstützung oder konservativen Roaming-Schwellen im Treiber.
• Mesh-Backhaul einordnen: Ein Funk-Backhaul belegt Airtime; ein Tri-Band-System kann entlasten, ersetzt aber keine kabelgebundene Uplink-Kapazität bei hoher Last.
• Störer lokalisieren: Periodische Einbrüche deuten bei 2,4 GHz oft auf Mikrowellenbetrieb hin; breitbandige Dauerlast spricht eher für Ko-Kanal-Belegung oder Dauerstreaming eines Nachbarn.
• AP-Placement: Zentraler, erhöhter Standort mit Abstand zu Metallflächen reduziert Abschattung; ein zusätzliches, niedriger eingestelltes 5‑GHz-Radio nahe der Nutzung bringt häufig mehr als maximale Sendeleistung.

In Unternehmensnetzen verschiebt sich der Fokus von Maximalrate zu Planbarkeit: kleinere Zellen, moderate Kanalbreiten, kontrollierte Sendeleistung und konsistentes Roaming liefern häufig den besseren Gesamtdurchsatz pro Fläche. In Heimnetzen entscheidet meist die Kombination aus Bandwahl, Kanalbreite, Platzierung und Clientmix darüber, ob eine schnelle Internetleitung auch am Endgerät ankommt.

Sicherheit und Kompatibilität: WEP/WPA/WPA2/WPA3, Mischbetrieb, Abwärtskompatibilität, Übergangsmodi und typische Fallstricke

WLAN-Standard, Frequenzband und Kanalbreite erklären nur einen Teil der Praxis. In realen Netzen entscheidet die Sicherheitskonfiguration darüber, ob Clients überhaupt verbinden, welche Datenraten möglich sind und ob ein Access Point moderne PHY- und MAC-Funktionen (etwa 802.11n/ac/ax-Features) nutzen darf. Gleichzeitig erzwingt Kompatibilität in gemischten Umgebungen oft Übergangsmodi, die den Durchsatz drosseln oder die Angriffsfläche vergrößern. Besonders heikel sind Konfigurationen, die aus Bequemlichkeit mehrere Generationen von Verschlüsselung und Authentisierung parallel zulassen.

Verschlüsselungs- und Authentisierungsstandards: Sicherheitsniveau und Nebenwirkungen

WEP gilt als kryptografisch gebrochen und ist in professionellen wie privaten Umgebungen nicht mehr vertretbar. WPA (mit TKIP) war ein Übergang, der heute ebenfalls als unsicher und zugleich leistungsbegrenzend gilt. WPA2 etablierte AES-CCMP als Standard und ist weiterhin verbreitet; die Sicherheit hängt allerdings stark von der Schlüsselverwaltung und vom Schutz gegen Offline-Angriffe ab. WPA3 hebt das Niveau vor allem durch SAE (Simultaneous Authentication of Equals) im Personal-Modus und durch eine 192-Bit-Sicherheitsstufe im Enterprise-Umfeld (WPA3-Enterprise 192-bit, u. a. mit GCMP-256) an. Für Gast- und IoT-Szenarien kann Enhanced Open (OWE) relevant sein: Es bietet Verschlüsselung ohne Pre-Shared Key, ersetzt aber keine starke Authentisierung.

Mischbetrieb und Abwärtskompatibilität: Wenn „läuft“ trotzdem bremst

Gemischte Client-Landschaften erzwingen häufig parallele Betriebsarten. Ein Access Point, der sowohl alte als auch neue Stationen bedienen soll, kann dafür mehrere SSIDs (getrennt nach Sicherheitsprofilen) oder einen Übergangsmodus auf einer SSID verwenden. Beides hat Nebenwirkungen: Mehr SSIDs erhöhen Management-Overhead (Beacons, Probe Responses) und senken die Airtime-Effizienz. Übergangsmodi halten Abwärtskompatibilität in einer einzigen SSID, können aber zu Sicherheits-Downgrade, zu erhöhten Reauthentifizierungen oder zu unklaren Client-Entscheidungen führen, wenn Endgeräte zwischen WPA2 und WPA3 „wählen“.

• WPA2/WPA3-Transition (Personal): Eine SSID akzeptiert WPA2-PSK und WPA3-SAE; ältere Clients verbinden weiterhin, moderne nutzen idealerweise SAE. In der Praxis verursachen fehlerhafte Client-Stacks gelegentlich Verbindungsabbrüche oder „Sticky“-Verhalten (Festhalten am schlechteren BSS).
• WPA/WPA2-Mix mit TKIP: Sobald TKIP erlaubt bleibt, sinkt häufig die Performance, weil bestimmte 802.11n/ac/ax-Optimierungen nicht oder nur eingeschränkt greifen; zusätzlich steigt das Sicherheitsrisiko.
• Mehrere SSIDs statt Übergangsmodus: Trennung in „Legacy“ (z. B. WPA2-PSK) und „Modern“ (z. B. WPA3-SAE) reduziert Downgrade-Risiken, kostet aber Airtime durch zusätzliche Beacon-Last und erhöht Betriebsaufwand.
• Band-Steering und Kompatibilität: Clients entscheiden oft selbstständig; aggressive Steering-Mechanismen können bei älteren WLAN-Chips zu wiederholten Roam-Versuchen führen, die Latenz und Durchsatz verschlechtern.

Übergangsmodi im Enterprise-Umfeld: 802.1X, EAP-Auswahl und PMF

In Unternehmensnetzen ist WPA2/WPA3 meist mit 802.1X gekoppelt. Das Sicherheitsniveau wird maßgeblich durch die EAP-Methode bestimmt. EAP-TLS gilt als robust, weil es auf Client-Zertifikaten basiert und keine passwortbasierten Offline-Angriffe zulässt; dafür steigen Anforderungen an PKI, Zertifikatsverteilung und Lifecycle-Management. PEAP oder EAP-TTLS sind verbreitet, hängen aber stark von Passwortqualität und der sauberen Serverzertifikatsprüfung am Client ab. Fehlkonfigurationen führen zu „Evil Twin“-Risiken, wenn Clients falsche RADIUS-Zertifikate akzeptieren.

Protected Management Frames (PMF, 802.11w) sind mit WPA3 verpflichtend und bei WPA2 optional. PMF erschwert Deauthentication- und Disassociation-Angriffe, kann aber ältere Clients aussperren, wenn es strikt erzwungen wird. In Übergangsphasen ist häufig „capable“ (optional) statt „required“ nötig; das senkt jedoch den Schutzgrad für Geräte, die PMF nicht nutzen. In dichten WLANs beeinflusst PMF zudem Roaming-Verhalten, weil mehr Managementframes geschützt werden und Timing-Fehler in Client-Treibern stärker auffallen können.

Typische Fallstricke: Downgrades, IoT, Gastnetze und Altgeräte

Viele Probleme entstehen nicht durch „zu wenig“ Sicherheit, sondern durch inkonsistente Profile über mehrere Access Points, VLANs und SSIDs hinweg. Wenn einzelne APs abweichende Cipher-Suiten anbieten oder unterschiedliche PMF-Policies fahren, wechseln Clients beim Roaming die Sicherheitsparameter, was zu erneuten EAP-Dialogen, Delay-Spikes oder kompletten Verbindungsverlusten führen kann. IoT-Geräte verschärfen die Lage: Ein Teil unterstützt nur 2,4 GHz und WPA2-PSK, manche sogar nur WPA/TKIP; solche Geräte sollten isoliert werden, statt das Hauptnetz zu schwächen.

• Downgrade durch „Kompatibilitätsmodus“: Wenn eine SSID zusätzlich WPA-PSK oder TKIP erlaubt, kann ein Client (oder ein Angreifer über Manipulation) auf schwächere Parameter fallen; daher TKIP konsequent deaktivieren.
• Inhomogene Cipher-Suiten: Mischungen wie CCMP und GCMP über verschiedene AP-Modelle können zu unerwarteten Inkompatibilitäten führen; eine einheitliche Policy und Firmwarestände reduzieren Roaming-Probleme.
• Falsche SSID-Konsolidierung: Das Zusammenlegen von Mitarbeiter-, Gast- und IoT-Anforderungen in eine SSID erzwingt oft den kleinsten gemeinsamen Nenner (z. B. WPA2-PSK), während getrennte SSIDs mit klaren VLAN- und Firewall-Regeln sicherer und betrieblich stabiler sind.
• Passphrase- und PSK-Risiken: Bei WPA2-PSK ist eine schwache Passphrase kritisch, weil Handshakes Offline-Angriffe ermöglichen; lange, zufällige Schlüssel oder individuelle PSKs (wenn verfügbar) senken das Risiko.
• Clientseitige Zertifikatsprüfung: Bei PEAP/EAP-TTLS muss die Serverzertifikatsprüfung sauber konfiguriert sein (CA-Pinning/Name-Prüfung), sonst drohen Evil-Twin-Szenarien trotz 802.1X.

Kompatibilität bleibt ein legitimes Ziel, aber sie sollte gezielt hergestellt werden: durch separate SSIDs für Legacy- und IoT-Bedarf, durch klare PMF-Strategien und durch das konsequente Entfernen von TKIP/WEP. Wo möglich, führt WPA3 (Personal mit SAE oder Enterprise mit EAP-TLS) nicht nur zu besserer Kryptografie, sondern auch zu konsistenteren Sicherheitsparametern, die moderne Clients und Roaming-Mechanismen weniger ausbremsen.