SSID (Service Set Identifier)
Was ist eine SSID?
Die SSID (Service Set Identifier) ist der Name, unter dem ein WLAN für Clients sichtbar ist. Access Points (AP) senden die SSID in Management-Frames (Beacons und Probe Responses), sodass Endgeräte verfügbare Netze auflisten können. Technisch gesehen ist die SSID eine Zeichenfolge mit bis zu 32 Oktetten. Sie kann theoretisch auch leer sein, was in der Praxis jedoch Nachteile bringt.
SSID, ESSID und BSSID: Was ist der Unterschied?
- BSSID: Die BSSID identifiziert eine einzelne Funkzelle eindeutig.Sie entspricht der MAC-Adresse der jeweiligen AP-Funkkarte/Radioinstanz. Ein Access Point sendet pro aktivem Funkband und SSID jeweils eine eigene BSSID; bei Tri-Band-APs für Wi-Fi 6E sind das typischerweise drei BSSIDs pro SSID (2,4/5/6 GHz).
- SSID/ESSID: Nutzen mehrere Access Points denselben Netzwerknamen (SSID), bilden sie zusammen ein Extended Service Set (ESS). Für Nutzer erscheint das als ein einziges WLAN und Roaming zwischen Zellen ist möglich. In vielen Tools wird ESSID synonym zu SSID verwendet, um den Verbund zu betonen.
Wie versteckt ist eine versteckte SSID?
Bei einer versteckten SSID bleibt das SSID-Feld in Beacon-Frames leer. Das erhöht jedoch nicht die Sicherheit: Endgeräte, die sich aktiv verbinden wollen, verraten den Netzwerknamen in Probe Requests. Sniffer können die SSID dann rekonstruieren. Zusätzliche Nachteile sind:
- Schlechtere Verbindungszeiten, da Clients aktiv scannen müssen.
- Es besteht ein potenziell höheres Tracking-Risiko, da Geräte die SSID unterwegs aussenden.
Das Verstecken von SSIDs ist also keine Sicherheitsmaßnahme. Nutzen Sie stattdessen starke Verschlüsselung und saubere Zugangskontrollen.
Sicherheit: Welche Rolle spielt die SSID?
Die SSID ist an sich kein Geheimnis. Sicherheit entsteht durch das Authentifizierungs- und Verschlüsselungsverfahren.
- Unternehmen: Bevorzugt WPA3 Enterprise (802.1X) mit EAP-Methoden und PMF (Protected Management Frames) nutzen. Fällt WPA3 aus Kompatibilitätsgründen weg, sollte wenigstens WPA2 Enterprise (AES) mit PMF (optional) verwendet werden.
- Heimnetze/Kleinstandorte: WPA3-Personal (SAE), ersatzweise WPA2-PSK (AES). PSKs sollten regelmäßig erneuert werden.
- Gästezugang: Für Gäste ist eine eigene SSID mit VLAN-Trennung und ein Captive Portal nach Bedarf zu verwenden. Niemals Produktiv- und Gastverkehr auf einer SSID vermischen.
- Tipp zur Namenswahl: Keine internen Informationen (Firmenname, Gebäudeteil, Etage, Projektnamen) in die SSID aufnehmen. Das reduziert die Angriffsfläche und die Risiken durch Social Engineering.
SSID-Design in der Praxis
Ein sauberes SSID-Design ist entscheidend für die Performance, Sicherheit und den Betriebsaufwand eines WLANs.
- Anzahl der SSIDs: Jede SSID verursacht Beacon-Traffic. Zu viele SSIDs erhöhen den Airtime-Overhead und mindern den Durchsatz. In Unternehmensumgebungen haben sich drei bis fünf SSIDs als sinnvoll erwiesen (zum Beispiel Unternehmen, BYOD/IoT, Gast und gegebenenfalls Admin/Test).
- VLAN-Zuordnung: SSIDs werden üblicherweise auf VLANs gemappt, um Datenströme zu trennen (zum Beispiel Unternehmen auf VLAN 10, Gast auf VLAN 20). Firewall-Richtlinien erzwingen eine Segmentierung bis in die Core-/Edge-Netze.
- Band- und Kanalstrategie: Eine einheitliche SSID über 2,4/5/6 GHz (Wi-Fi 6E/7) ist üblich. Band Steering lenkt entsprechende Clients auf 5/6 GHz. Die Kanalplanung (automatisiert oder manuell) ist entscheidend, um Interferenzen zu vermeiden.
- Roaming: Die aktivierten Standards 802.11k/v/r beschleunigen Zellwechsel und verbessern das Nutzererlebnis bei Voice/Video über WLAN. Voraussetzung ist, dass Controller und Clients diese Features unterstützen.
- IoT und Legacy: Ältere oder eingeschränkte Geräte unterstützen häufig nur WPA2-PSK und 2,4 GHz. Bündeln Sie solche Geräte in einer separaten SSID mit restriktiven Richtlinien (zum Beispiel nur erforderliche Zieladressen, kein Ost-West-Traffic).
Verwaltung mehrerer SSIDs pro Access Point
Moderne Access Points senden mehrere SSIDs parallel (Multi-SSID). Achten Sie dabei auf:
- Airtime-Budget: Jede zusätzliche SSID erhöht den Beacon-Intervall-Traffic.
- Richtlinien pro SSID: VLAN, QoS, Client-Isolation (AP-seitige Layer-2-Trennung, besonders im Gastnetz) und Bandbreitenlimits.
- Broadcast/Multicast-Handling: Snooping-/Proxy-Mechanismen reduzieren unnötigen Multicast-Flooding-Traffic.
Häufige Fragen zu SSIDs
Viele Detailfragen zur SSID tauchen im Alltag immer wieder auf, beispielsweise zu Themen wie Roaming, Sicherheit und Anzahl paralleler SSIDs. Die folgende FAQ bündelt typische Praxisfälle und gibt kurze, konkrete Antworten für schnelle Entscheidungen.
- Ist SSID gleich WLAN-Name? Ja, SSID ist der technische Begriff für den angezeigten Netzwerknamen.
- Kann ich zwei SSIDs für ein Netz nutzen? Ja, aber trennen Sie die Daten per VLAN/Richtlinien. Mehr SSIDs bedeuten mehr Overhead.
- Hilft eine kryptische SSID bei der Sicherheit? Nur bedingt. Ausschlaggebend sind WPA-Verfahren, PMF und saubere Segmentierung.
- Sollte ich pro Etage eigene SSIDs nutzen? Meist nicht nötig. Besser ist eine einheitliche SSID über das gesamte Gebäude plus gute Kanalplanung und 802.11k/v/r als Roaming-Strategie.
Fazit
Die SSID ist mehr als nur ein Anzeigename. Sie strukturiert Funkzellen, ermöglicht Roaming und dient als Ankerpunkt für Segmentierung und Richtlinien. Sicherheit entsteht jedoch nicht durch das Verbergen der SSID, sondern durch WPA3/WPA2, PMF, VLAN-Trennung und klare Namens- und Betriebsrichtlinien. Halten Sie die Zahl der SSIDs gering, verwenden Sie neutrale Bezeichnungen und planen Sie Roaming- und Bandstrategien sorgfältig. So bleibt das WLAN leistungsfähig und sicher.