Branchen
Technik
Recht & Datenschutz
Ein RADIUS-Server ist im modernen WLAN das Herz der Authentifizierung. Er entscheidet zentral, ob ein Nutzer oder ein Gerät Zugriff auf das Netzwerk erhält, vergibt Zugriffsrechte und protokolliert Sitzungen. Ohne RADIUS basiert ein WLAN entweder auf statischem PSK (Pre-Shared Key) oder auf einem Captive Portal mit lokaler Voucher-Datenbank. Für professionelle Umgebungen ab mittlerer Größe gibt es zur RADIUS-basierten Architektur kaum eine sinnvolle Alternative.
RADIUS steht für „Remote Authentication Dial-In User Service“ und ist trotz seines historischen Namens das Standardprotokoll für zentrale Authentifizierung in IP-Netzen. Ein Nutzer möchte sich am Access Point anmelden; der AP fungiert als „Authenticator“ und leitet die Credentials an den RADIUS-Server weiter. Der Server prüft sie gegen seine Datenbank (LDAP, Active Directory, MySQL, Voucher-DB) und antwortet mit Accept oder Reject. Optional liefert er Zusatzattribute wie VLAN-ID, Bandbreitenlimits und Session-Timeout.
Diese Architektur erlaubt es, hunderte Access Points mit einer einzigen Identitätsquelle zu betreiben. Wer einen Mitarbeiter sperrt, sperrt ihn an allen APs gleichzeitig. Wer einen Voucher anlegt, kann ihn netzweit verwenden. Mehr über Authentifizierungskonzepte lesen Sie im Beitrag zur WLAN-Authentifizierung.
Für kleine Cafés oder Boutique-Hotels reicht oft die im Captive-Portal-Gateway integrierte Voucher-Datenbank. Ab etwa 20 bis 30 dauerhaft genutzten Endgeräten und bei sicherheitskritischen Setups (Verwaltung, Praxen, Kanzleien, Schulen) führt jedoch kein Weg an einem dedizierten RADIUS-Server vorbei. Auch Tagungs-WLANs in großen Konferenzhäusern profitieren von der Skalierbarkeit eines RADIUS-Setups.
Konkrete Beispiele: ein Hotel mit 80 Zimmern, das Personal- und Gast-Netz trennt, eine Anwaltskanzlei mit 40 Mitarbeitenden, ein Industriebetrieb mit IoT-Sensoren und Bedienerterminals. Auch für ein professionelles Restaurant WLAN oder ein großes Camping WLAN mit mehreren Personalbereichen lohnt sich der Schritt zur zentralen Authentifizierung.
EAP (Extensible Authentication Protocol) ist der Rahmen, innerhalb dessen die eigentliche Authentifizierung stattfindet. Drei Methoden sind in der Praxis relevant:
Wer maximale Sicherheit braucht, wählt EAP-TLS. Für KMUs ist PEAP häufig der pragmatische Standard. Für ein Tagungs-WLAN mit gemischten Teilnehmern bleibt eine Captive-Portal-Variante oft sinnvoller. Detailinformationen zu Authentifizierungsverfahren in WLAN-Netzen veröffentlicht das BSI.
FreeRADIUS ist der mit Abstand am weitesten verbreitete RADIUS-Server. Er ist Open Source, läuft auf Linux, und kann mit nahezu beliebigen Datenbanken im Backend arbeiten. Eine FreeRADIUS-Installation passt auf eine kleine VM mit 2 vCPU und 2 GB RAM. Für Hochlast-Szenarien skaliert man mit mehreren Instanzen hinter einem Load-Balancer.
Im kommerziellen Bereich sind Cisco Identity Services Engine (ISE), Aruba ClearPass und Microsoft Network Policy Server (NPS) etabliert. Sie bieten komfortable Oberflächen, Integration in Compliance-Frameworks und Hersteller-Support. Für KMUs liegt der Cisco-Vorteil oft im Integrationsgrad mit der vorhandenen Netzwerk-Hardware. Aktuelle Tests und Marktüberblicke liefert das Fachmagazin heise online.
Cloud-RADIUS-Anbieter wie JumpCloud, SecureW2 oder Cloud-Distributionen von Aruba und Cisco Meraki erleichtern den Einstieg erheblich. Sie liefern hochverfügbare Endpunkte ohne Server-Aufwand und integrieren sich oft mit Identity-Providern wie Microsoft Entra ID oder Google Workspace. Vorteil: schneller Roll-out, automatische Updates, geringe Wartung. Nachteil: laufende Kosten und Datenfluss in externe Rechenzentren.
Für kleine Betriebe ist Cloud-RADIUS oft der schnellste Weg, 802.1X einzuführen. Für Behörden, Anwälte und sicherheitskritische Bereiche bleibt die On-Premises-Variante meist erste Wahl. Datenschutzrechtliche Hinweise zur Cloud-Nutzung veröffentlicht der Bundesbeauftragte für den Datenschutz.
Auch ein klassisches WLAN-Voucher-System kann mit einem RADIUS-Server verbunden werden. Das Captive Portal prüft den Voucher gegen die RADIUS-Backend-Datenbank und erhält im Erfolgsfall die zugehörigen Limits (Bandbreite, Sessiondauer, Datenvolumen). Diese Architektur skaliert beliebig nach oben.
In Kombination mit einer Voucher-Drucklösung (Voucher Drucker) entsteht eine durchgängige Kette: Personal druckt Voucher, Gast meldet sich an, RADIUS validiert, Gateway setzt Limits, Logging schreibt Eintrag. Das gleiche Schema funktioniert in der Gastronomie, im Hotel, im Konferenzhaus und im öffentlichen Raum mit Free WiFi.
Ein RADIUS-Server ist nur so sicher wie sein Zertifikatsmanagement. Setzen Sie auf eine eigene PKI mit deutlich gemachten Root- und Intermediate-Zertifikaten. Stellen Sie sicher, dass Clients die Server-Identität prüfen – sonst sind Man-in-the-Middle-Angriffe trivial. Ein klassischer Fehler: PEAP-Konfiguration ohne erzwungene Server-Validierung. Damit kann ein Angreifer mit einem Fake-AP Hashwerte abgreifen.
Schützen Sie außerdem den RADIUS-Server selbst durch ein eigenes Verwaltungs-VLAN, Firewall-Regeln und Pflicht-Verschlüsselung (RadSec/TLS) für Cross-Site-Verbindungen. Verknüpfen Sie ihn nicht ungeschützt mit dem Internet. Mehr Hintergrund zum Schutz von Netzwerkkomponenten finden Sie in den einschlägigen Empfehlungen der nationalen IT-Sicherheitsbehörden.
Ein RADIUS-Server gehört zu den kritischen Diensten Ihrer IT. Fällt er aus, können sich Nutzer im WLAN nicht mehr anmelden. Planen Sie deshalb Hochverfügbarkeit ein – mindestens zwei RADIUS-Instanzen in unterschiedlichen Brand- oder Stromabschnitten. Access Points unterstützen meist eine Liste primärer und sekundärer RADIUS-Server.
Monitoring sollte mindestens Anfrageraten, Antwortzeiten, Anteile von Reject- und Accept-Antworten sowie Zertifikats-Laufzeiten umfassen. Ein abgelaufenes Zertifikat ist eine der häufigsten Ausfallsursachen in produktiven RADIUS-Setups. Mehr zum allgemeinen Betrieb von öffentlichen WLAN-Diensten lesen Sie im Artikel Public-WLAN-Betrieb.
Erstens: Time-Drift. Wenn der RADIUS-Server zeitlich abweicht, werden Zertifikate als ungültig abgelehnt. NTP-Synchronisation ist Pflicht. Zweitens: zu kurze Shared-Secrets zwischen AP und RADIUS. Verwenden Sie mindestens 22 Zeichen aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Drittens: kein Backup der Konfiguration. FreeRADIUS hat viele Dateien – ein vollständiges Backup spart später Tage Rekonstruktion.
Viertens: zu wenige Test-Clients in der Vorphase. Manche Endgeräte haben Eigenheiten (Android-Generationen, IoT-Sensoren). Fünftens: fehlende Dokumentation der EAP-Settings. Hinterlegen Sie diese sauber im Handbuch für Mitarbeitende. Mehr zu ergänzenden Themen findet sich in unserem Beitrag zur Bandbreitenverwaltung sowie in unserem Beitrag zur Access Point Planung. Auch unabhängige IT-Fachmedien berichten regelmäßig über Authentifizierungstrends und neue EAP-Erweiterungen.
Wir unterstützen bei Architektur, Einrichtung von FreeRADIUS oder Cloud-RADIUS, Anbindung an Active Directory und Roll-out von Zertifikaten. Jetzt Kontakt aufnehmen.
Der Übergang von WPA2-PSK zu 802.1X mit RADIUS ist organisatorisch oft anspruchsvoller als technisch. Mitarbeitende müssen ihre Endgeräte neu konfigurieren, neue Zertifikate akzeptieren und gegebenenfalls die Anmeldemethoden ihrer mobilen Geräte lernen. Eine sorgfältige Kommunikation vor dem Stichtag – mit Schritt-für-Schritt-Anleitungen pro Betriebssystem – verhindert Stress am Roll-out-Tag. Best Practice: parallel zur alten WPA2-SSID die neue 802.1X-SSID einrichten, beide drei Wochen lang aktiv halten und dann die alte abschalten.
Wichtig: Endgeräte mit fest verdrahteten WLAN-Modulen (Drucker, Etiketten-Etiketteure, IoT-Sensoren) unterstützen 802.1X oft nicht oder nur eingeschränkt. Für diese Klasse von Geräten lohnt sich eine eigene SSID mit MAC-basierter Anmeldung über RADIUS, ohne EAP. Auch das ist eine valide Authentifizierungsmethode, die der RADIUS-Server verwaltet. Mehr zur Trennung von Endgeräteklassen in VLANs steht in unserem Beitrag zur Access Point Planung.
Das RADIUS-Protokoll ist in RFC 2865 und Folgerichtlinien definiert. Es nutzt UDP-Port 1812 für Authentifizierung und Port 1813 für Accounting. Eine RADIUS-Transaktion besteht aus Request, Challenge, Response – ein leichtgewichtiger Austausch, der Tausende parallele Anfragen pro Sekunde ermöglicht. Die Sicherheit basiert auf einem Shared Secret zwischen Authenticator (Access Point) und RADIUS-Server. Moderne Setups ergänzen dies um RadSec, das die UDP-Verbindung über TLS tunnelt – insbesondere für WAN-Strecken Pflicht.
Die Erweiterungen für Accounting (RFC 2866) ermöglichen detaillierte Sitzungsdaten: Startzeit, Stoppzeit, übertragenes Datenvolumen, IP-Adresse, MAC-Adresse. Damit lassen sich Voucher-Volumen, Online-Zeiten und Missbrauchsfälle revisionssicher dokumentieren. Für Hotspot-Anbieter ist das die rechtliche Grundlage für ein DSGVO-konformes Logging mit definierter Aufbewahrungsdauer.
Eine Stadtverwaltung mit 800 Mitarbeitenden hat 2024 die WLAN-Authentifizierung von WPA2-PSK auf 802.1X mit FreeRADIUS umgestellt. Vorher musste bei jedem ausscheidenden Mitarbeiter das WLAN-Passwort flächendeckend geändert werden – ein erheblicher Aufwand. Heute werden Benutzerkonten in Active Directory deaktiviert, was den Zugang sofort und automatisch sperrt. Die Investition lag im mittleren vierstelligen Bereich und amortisierte sich allein durch gesätzte 60 Stunden Verwaltungsaufwand pro Jahr.
Ein Universitätsklinikum nutzt RADIUS, um die zahlreichen Subnetze für medizinisches Personal, Verwaltung, Forschung und Gastnutzer sauber zu trennen. Über RADIUS-Attribute werden Endgeräte beim Anmelden automatisch in das richtige VLAN gemappt, ohne dass Personal manuell konfigurieren muss. Für solche Setups ist die Verbindung zwischen RADIUS und dem zentralen Identity-Provider Schlüssel zum Erfolg.
Moderne RADIUS-Server arbeiten selten allein. Sie integrieren sich in das Identitätsmanagement des Unternehmens: Microsoft Active Directory oder Entra ID, OpenLDAP, Google Workspace, Okta. Das Single-Sign-On reduziert die Anzahl der Passwörter und erhöht zugleich die Sicherheit. Für einen wachsenden Mittelstand ist die Anbindung an Entra ID ein praktischer Mittelweg – ohne eigene Active-Directory-Infrastruktur, aber mit zentraler Identitätsverwaltung.
Wer mehrere Standorte betreibt, sollte RADIUS-Proxies einsetzen. So bleibt die zentrale Authentifizierung erhalten, während lokale Proxies Latenzen senken und bei Wegfall der WAN-Verbindung kurzzeitig autonom arbeiten können. Ein RADIUS-Proxy ist auch das Herzstück von Eduroam – dem internationalen Bildungsnetz, mit dem sich Forschende weltweit in fremden Universitäten mit ihren Heim-Credentials anmelden können.
Bildungseinrichtungen sind klassische Großeinsatzgebiete für RADIUS-Server. Schulen, Hochschulen und Volkshochschulen verwalten oft mehrere tausend Nutzerkonten und brauchen eine zentrale Authentifizierung, die mit dem schulischen Verwaltungsverfahren zusammenarbeitet. Der RADIUS-Server entscheidet, welche Lernenden in welche VLANs gelangen, ob Lehrkräfte erweiterte Rechte haben und wie lange Gastzugänge gültig sind. Eduroam – das internationale Wissenschaftsnetz – basiert vollständig auf einer Kette von RADIUS-Server-Proxies, die universitätsübergreifend zusammenarbeiten.
Für öffentliche Verwaltungen ist der RADIUS-Server ein Sicherheits-Anker. Behörden, die schutzbedürftige Daten verarbeiten, müssen Anmeldungen zentral protokollieren, Zertifikate revisionssicher verwalten und im Notfall einzelne Konten sofort deaktivieren können. Ein dedizierter RADIUS-Server mit angebundener PKI und 802.1X-EAP-TLS-Konfiguration ist hier Standard. Cloud-Varianten sind in Behörden meist nicht zugelassen, da personenbezogene Authentifizierungsdaten das eigene Rechenzentrum nicht verlassen dürfen.
Eine besondere Rolle spielt die Integration mit IDM-Systemen (Identitätsmanagement). Wer Mitarbeitende ein- oder ausstellt, ändert deren Status zentral – der RADIUS-Server folgt der Quelle automatisch und passt Zugriffsrechte ohne manuelle Eingriffe an. Diese Verkettung verhindert Sicherheitslücken durch vergessene Account-Sperrungen und ist in vielen Compliance-Frameworks Pflicht. Wer einen RADIUS-Server in einer Behörde einführt, sollte deshalb früh auch das IDM-Team einbinden.
Das Internet der Dinge stellt einen RADIUS-Server vor neue Aufgaben. Drucker, Etiketten-Drucker, Bezahlterminals, Industriesensoren und Gebäudetechnik bringen oft keine vollwertige 802.1X-Implementierung mit. Für diese Endgeräte bietet der RADIUS-Server eine MAC-basierte Authentifizierung an – weniger sicher als EAP-TLS, aber für abgeschottete VLANs ausreichend. Wichtig ist die saubere Trennung: IoT-Endgeräte gehören in eigene Subnetze ohne Zugriff auf das Hauptnetz.
Moderne RADIUS-Server liefern zusätzlich dynamische Attribute. Beim Anmelden eines Endgeräts setzt der RADIUS-Server automatisch das passende VLAN, schaltet Firewall-Regeln frei und legt Bandbreitenlimits fest. Bei IoT-Sensoren mit niedrigem Datenvolumen sind das oft nur wenige Kilobit pro Sekunde – ein bewusst eng gestecktes Profil, das im Fall einer Kompromittierung den Schaden begrenzt. Mit dieser Mikro-Segmentierung wird der RADIUS-Server zum aktiven Sicherheitsorgan.
Für Hotels mit smarten Zimmerterminals, Krankenhäuser mit Medizintechnik oder Industriebetriebe mit OT-Komponenten ist ein zentraler RADIUS-Server damit längst Pflichtbestandteil moderner Netzarchitektur. Wer hier improvisiert oder Endgeräte mit hartem WPA2-PSK direkt ins Hauptnetz lässt, schafft Angriffsflächen, die sich später nur teuer korrigieren lassen. Ein durchdachter RADIUS-Server liefert dagegen Transparenz, automatische Segmentierung und eine solide Grundlage für Compliance-Audits – vom kleinen Mittelständler bis zum Klinikkonzern mit mehreren tausend authentifizierten Endgeräten pro Stunde, die der RADIUS-Server zuverlässig abarbeitet.
Wenn Sie das Gesamtbild der WLAN-Ticketwelt vertiefen wollen, hilft unser ultimativer Leitfaden zum WLAN Ticket System. Für typische Anwendungen lohnt sich ein Blick in unsere Beiträge zu WLAN im Hotel und Gäste-WLAN anbieten.
Über den Autor:
Mein Name ist Nico Schubert und komme aus Arnstadt, welches in der Nähe von Erfurt liegt.
Seit über zehn Jahren bin ich selbstständig im Bereich der Web Programmierung, Webhosting und Affiliate-Marketing.