Werkstatt
Werkstatt Zickiges WLAN & PMF

Werkstatt

IT-Infrastruktur · WLAN

Zickiges WLAN: von Abdeckung, Bändern, Kanälen – und einem Fernseher, der einfach nicht wollte

„Das Internet ist langsam" heißt fast nie, dass das Internet langsam ist – meistens zickt das WLAN. Dieser Beitrag räumt mit den üblichen Funk-Mythen auf: wie viel Abdeckung wirklich zählt, welche Bänder (2,4, 5 und 6 GHz) wofür taugen, welche Kanäle Sie nehmen sollten und worauf es bei der Sicherheit ankommt. Und am Ende die wahre Geschichte eines nagelneuen Fernsehers, der sich partout nicht verbinden wollte – die Auflösung hängt an einem unscheinbaren kleinen „w".

Stand: Juni 2026 · von byteland software solutions

WLAN ist unsichtbar – und genau deshalb der Lieblings-Sündenbock der IT. Stockt das Videostreaming, hakt die Videokonferenz oder lädt die Seite zu langsam, lautet die Diagnose reflexartig: „Es liegt am WLAN." Manchmal stimmt das sogar. Nur ist Funk kein Hexenwerk, sondern Physik plus ein paar Einstellungen – und wenn man beide versteht, hört das Zicken überraschend schnell auf. Fangen wir mit dem hartnäckigsten Missverständnis an.

Abdeckung: viel hilft nicht viel

Der Klassiker: ein einzelner, möglichst starker Router, am besten unten im Schrank neben dem Sicherungskasten – und dann wundert man sich, warum es im Schlafzimmer im ersten Stock nur noch tröpfelt. Gutes WLAN ist keine Frage der Leistung, sondern der gleichmäßigen Ausleuchtung. Und Funk ist immer ein Gespräch: Das Gerät muss den Access Point hören – und der Access Point das Gerät.

Genau hier liegt die beliebteste Falle. Man dreht den Router auf volle Sendeleistung, das Handy zeigt fröhlich volle Balken – aber laden will trotzdem nichts. Der Grund: Der dicke Sender schreit weit, doch die winzige Antenne im Handy kann nicht zurückschreien. Das Gerät hört den Access Point, aber der Access Point hört das Gerät nicht mehr. Volle Balken, kein Durchsatz. Die Lösung ist nicht lauter, sondern näher: lieber mehrere Access Points mit moderater Leistung – idealerweise per Kabel angebunden (PoE) – als ein einzelner Brüllwürfel.

Dazu ein paar handfeste Regeln: Access Points möglichst zentral platzieren, nicht in die hinterste Abstellkammer. Funk mag keine Metallflächen, Spiegel, Fußbodenheizungen, Aquarien und alukaschierte Dämmung – die schlucken oder reflektieren das Signal gnadenlos. Und damit das Gerät beim Gang durch die Wohnung sauber vom einen zum nächsten Access Point wechselt, hilft sauberes Roaming – die drei WLAN-Standards 802.11k, 802.11v und 802.11r, die zusammen den zügigen, nahtlosen Wechsel zum jeweils besten Access Point ermöglichen (Nachbarschaftsliste, sanftes Umlenken und blitzschnelle Neuanmeldung) –, statt sich am schwachen Erstkontakt festzubeißen.

Die Bänder: 2,4 gegen 5 gegen 6 GHz

WLAN funkt heute auf bis zu drei Frequenzbändern, und jedes hat seinen eigenen Charakter. Man kann sie sich wie drei Läufer vorstellen:

  • 2,4 GHz – der Marathonläufer. Große Reichweite, kommt am besten durch Wände und Decken. Aber langsam und hoffnungslos überfüllt: Hier tummeln sich Mikrowelle, Bluetooth, Babyfon, Funkkopfhörer und das WLAN sämtlicher Nachbarn. Obendrein gibt es nur drei wirklich nutzbare, überlappungsfreie Kanäle. Ideal für IoT-Geräte und die weit entfernte Ecke – nicht für 4K-Streaming.
  • 5 GHz – der Sprinter. Deutlich schneller, viel mehr Kanäle, spürbar weniger Gedränge. Dafür kürzere Beine: Reichweite und Wanddurchdringung sind schlechter. Das ist das Arbeitstier für Notebooks, Smartphones und Streaming.
  • 6 GHz – die nagelneue Autobahn (Wi-Fi 6E/7). Riesig viel freies, sehr schnelles Spektrum, herrlich leer. Aber die kürzeste Reichweite, und nur neuere Geräte können es überhaupt. Kleine Pointe am Rande: Im 6-GHz-Band ist WPA3 samt PMF Pflicht – alte Sicherheitsverfahren sind dort schlicht verboten. Merken Sie sich das, es wird gleich wichtig.

In der Praxis lässt man die Geräte per Band Steering sanft aufs jeweils beste Band schubsen: Was 5 oder 6 GHz kann, soll es auch nutzen; was nur 2,4 GHz spricht, bleibt dort glücklich.

Kanäle: bitte nicht alle auf einmal

Innerhalb eines Bandes teilt sich der Funk in Kanäle auf – und gerade im engen 2,4-GHz-Band ist die Versuchung groß, einfach „Automatik" zu wählen und zu hoffen. In dicht bebauten Lagen geht das oft schief. Die Regel im 2,4-GHz-Band: Überlappungsfrei ist nur eine Handvoll Kanäle. Weltweit und in den USA – wo nur die Kanäle 1–11 erlaubt sind – sind das 1, 6 und 11; in Europa kommt dank der zusätzlichen Kanäle 12 und 13 noch die Vierer-Wahl 1, 5, 9 und 13 hinzu. Praktisch bleibt 1, 6 oder 11 die sichere, geräteübergreifend kompatible Wahl – etwas großzügiger gepackt, und fast jeder Nachbar nutzt sie ohnehin. Jeder Kanal dazwischen ragt in seine Nachbarn hinein und stört sie (und sich selbst).

2,4-GHz-Kanäle: 1, 6 und 11 überlappen sich nicht Im 2,4-GHz-Band sind die 20 MHz breiten Kanäle so dicht gepackt, dass sich die klassische Wahl 1, 6 und 11 nicht überlappt. Ein dazwischenliegender Kanal wie Kanal 4 ragt in beide Nachbarn hinein und stört sie. Kanal 4 überlappt 1 6 11 1 2 3 4 5 6 7 8 9 10 11 12 13 2,4-GHz-Band · Kanalnummer

Die klassische überlappungsfreie Wahl im 2,4-GHz-Band sind die Kanäle 1, 6 und 11 (in Europa ginge dank Kanal 13 auch 1/5/9/13). Jeder Kanal dazwischen – hier Kanal 4 – ragt in seine Nachbarn und stört. Also: einen sauberen Kanal nehmen und die Breite bei 20 MHz lassen.

Im weiten 5-GHz-Band ist viel mehr Platz; dort sind 80 MHz Kanalbreite ein guter Kompromiss aus Tempo und Stabilität (die ganz breiten 160 MHz sind oft fragiler, als sie nützen – sie sind auf DFS-Kanäle angewiesen). Ein paar 5-GHz-Kanäle sind nämlich sogenannte DFS-Kanäle – sie bieten zusätzlichen Raum, allerdings wechselt der Access Point dort den Kanal, sobald er ein Wetter- oder Flugradar zu erkennen glaubt (auch mal fälschlich); der betroffene Kanal bleibt danach für eine Weile gesperrt, was kurze Aussetzer geben kann. Grundsatz über alle Bänder: Breiter ist schneller, aber empfindlicher. In voller Nachbarschaft gewinnt oft der schmalere, ruhigere Kanal.

Sicherheit: WPA2, WPA3 und das kleine „w"

Beim WLAN-Schloss gibt es zwei Generationen, die heute zählen: WPA2 – alt, aber überall verstanden – und WPA3 (mit dem moderneren Anmeldeverfahren SAE) – sicherer, aber noch nicht von jedem Gerät beherrscht. Damit beide zusammenkommen, gibt es den gemischten WPA2/WPA3-Betrieb (Transition Mode): Neue Geräte nehmen WPA3, ältere fallen sanft auf WPA2 zurück.

Und dann ist da noch dieses unscheinbare kleine „w": PMF – Protected Management Frames, der WLAN-Standard 802.11w. PMF schützt die Verwaltungs-Frames eines WLANs – das sind die kleinen Steuer-Befehle wie „melde dich ab" – vor Fälschung. Ohne PMF kann ein Angreifer solche Befehle einfach nachmachen und Geräte reihenweise aus dem Netz werfen (ein „Deauth-Angriff"). PMF ist also eine gute Sache. Der Haken steckt in einer einzigen Einstellung mit zwei Stufen:

  • Optional (auch „verfügbar"): Geräte, die PMF können, nutzen es; alle anderen kommen weiterhin per WPA2 herein. Friedliche Koexistenz.
  • Erforderlich: Jedes Gerät muss PMF beherrschen, sonst wird es gar nicht erst zugelassen – auch nicht über WPA2. Wer 802.11w nicht spricht, steht vor verschlossener Tür.

WPA3 bringt PMF zwingend mit; bei WPA2 ist es zuschaltbar. Ein wichtiger Punkt dabei: Ein echter WPA2/WPA3-Mischbetrieb bedeutet technisch immer PMF auf „Optional" – gerade damit die Alt-Geräte ohne 802.11w noch hereinkommen. Stellt man PMF trotzdem auf „Erforderlich", hebt man diese WPA2-Freundlichkeit faktisch wieder auf: Solche Geräte bleiben dann komplett draußen. Und genau diese Stellschraube – „Erforderlich" statt „Optional" – hat einem Kunden von uns einen erstaunlich zähen Nachmittag beschert.

Der Praxisfall: der Fernseher, der nicht wollte

Schauplatz war ein Gäste-Apartment. Der Kunde hatte sich einen nagelneuen Fernseher gekauft, ihn aufgestellt, eingeschaltet – und wollte ihn ganz selbstverständlich ins WLAN bringen. Nur: Der Fernseher fand das Netz, fragte brav nach dem Passwort, schluckte es … und verband sich dann einfach nicht. Kein Fehler, keine Erklärung, nur ein stures „nicht verbunden". Passwort dreimal geprüft, neu getippt, Fernseher neu gestartet, Router neu gestartet – nichts.

Das Verdächtige: Alles andere funktionierte tadellos. Handy im selben Raum – sofort drin. Notebook – sofort drin. Nur der Fernseher sülzte vor sich hin. Damit waren die üblichen Verdächtigen schnell entlastet: nicht das Passwort, nicht die Reichweite, nicht ein überlasteter Kanal. Wenn ein einzelnes, frisches Gerät als Einziges draußen bleibt, ist selten die Funkstrecke schuld – sondern ein Verständigungsproblem zwischen Gerät und Access Point.

Der Blick in die WLAN-Einstellungen brachte die Auflösung. Das verwendete Netz lief im gemischten WPA2/WPA3-Betrieb – klingt vernünftig. Aber: PMF stand auf „Erforderlich", und genau das macht den freundlichen Mischbetrieb für Alt-Geräte zunichte. Und der nagelneue Fernseher? Konnte schlicht kein 802.11w. Damit war die Sache klar: Der Access Point bestand auf einem Sicherheits-Handschlag, den der Fernseher nicht beherrschte – und ließ ihn deshalb konsequent nicht herein. Volle Signalstärke, richtiges Passwort, und trotzdem kein Durchkommen.

Die Reparatur war ein Einzeiler: PMF von „Erforderlich" auf „Optional" gestellt – und der Fernseher war auf Anhieb im Netz. Die fähigen Geräte nutzen weiter PMF, der sture Fernseher kommt über WPA2 herein, alle sind zufrieden.

Die feine Ironie: Man sollte meinen, ein brandneuer Fernseher beherrsche 2026 selbstverständlich WPA3 und PMF. Tut er aber nicht. Unter der schicken Oberfläche steckt oft ein billiger WLAN-Chip mit betagtem Treiber – moderne Funk-Sicherheit war dem Hersteller offenbar keine Zeile Code wert.

Die Moral: IoT gehört ins eigene Netz

Dieser Fernseher ist das perfekte Lehrstück. Er ist im Grunde ein kleiner, schlecht gepflegter Computer mit Bildschirm, der nicht einmal aktuelle WLAN-Sicherheit beherrscht – und genau solche Geräte will man weder im selben Netz wie die Arbeitsrechner haben, noch will man wegen ihnen die Sicherheit des Hauptnetzes herunterschrauben. Beides muss man auch nicht.

Die saubere Lösung ist ein eigenes, abgeschottetes IoT-WLAN: Dort stellt man die Funk-Sicherheit passend für die betagte Gerätewelt ein (etwa WPA2 mit PMF auf „Optional"), während das Haupt- und das Gäste-WLAN streng bleiben dürfen. Und dieses IoT-Netz hängt in seinem eigenen VLAN, sauber getrennt von Arbeitsplätzen, Servern und Daten. So bekommt der Fernseher seine Verbindung – und kommt im Ernstfall trotzdem nicht in die Nähe von irgendetwas Wichtigem. Wie man so eine Trennung baut, steht ausführlich im Beitrag VLANs, WLANs und Segmentierung.

Der Spickzettel

Die wiederkehrenden Grundeinstellungen, kurz zusammengefasst – als Ausgangspunkt, nicht als Dogma:

# WLAN-Spickzettel (Ausgangswerte)

Haupt-WLAN  (Notebooks, Smartphones)
  Band       : 5 GHz bevorzugt, Band Steering an
  Kanal      : 5 GHz mit 80 MHz; 2,4 GHz nur 1, 6 oder 11 (20 MHz)
  Sicherheit : WPA3 oder WPA2/WPA3-Mix, PMF: optional

IoT-WLAN    (Fernseher, Kameras, Smart-Home)
  Band       : 2,4 GHz (Reichweite; viele Geraete koennen kein 5/6 GHz)
  Sicherheit : WPA2 oder WPA2/WPA3-Mix, PMF: OPTIONAL - nie "erforderlich"
  Netz       : eigenes VLAN, vom Hauptnetz abgeschottet

Gaeste-WLAN
  Sicherheit : WPA2/WPA3-Mix, PMF: optional, Client-Isolation an
  Zugriff    : nur Internet

Abdeckung
  Lieber mehrere Access Points mit moderater Leistung als einen auf Vollgas.
  Zentral platzieren, weg von Metall/Spiegel/Wasser. Roaming an (802.11k/v/r).

Ergebnis: Ein WLAN, das nicht mehr zickt, weil es nicht auf Hoffnung gebaut ist, sondern auf Physik und die richtigen Einstellungen. Schnelle Geräte fahren auf 5 oder 6 GHz, die betagte Funk-Verwandtschaft funkt zufrieden auf 2,4 GHz in ihrem eigenen, abgeschotteten Netz – und der nächste neue Fernseher verbindet sich auf Anhieb.

Häufige Fragen

Mein neues Gerät verbindet sich nicht, obwohl das Passwort stimmt. Woran liegt das?

Ein häufiger, fies versteckter Grund ist PMF (802.11w), das auf „Erforderlich" steht. Geräte, die PMF nicht beherrschen – gerade ältere oder günstige Fernseher, Kameras und Smart-Home-Technik – werden dann gar nicht erst zugelassen, unabhängig vom richtigen Passwort. Lösung: PMF auf „Optional" stellen oder das Gerät in ein passend konfiguriertes IoT-WLAN hängen.

Was ist PMF (Protected Management Frames)?

PMF nach IEEE 802.11w schützt die Verwaltungs-Frames eines WLANs – etwa die Abmelde-Befehle – vor Fälschung und damit vor Deauth-Angriffen. WPA3 setzt PMF zwingend voraus; bei WPA2 ist es optional zuschaltbar. Steht es auf „Erforderlich", müssen alle Geräte es beherrschen; steht es auf „Optional", nutzen es die fähigen Geräte, während ältere weiterhin per WPA2 hereinkommen.

Soll ich PMF auf „Erforderlich" oder „Optional" stellen?

Im gemischten WPA2/WPA3-Betrieb gehört PMF auf „Optional", sonst sperren Sie alle Geräte aus, die kein 802.11w können. „Erforderlich" ist nur dann sinnvoll, wenn wirklich alle Clients PMF beherrschen – etwa in einem reinen WPA3-Netz. Im 6-GHz-Band ist WPA3 mit PMF ohnehin Pflicht.

Welches Band soll ich nehmen – 2,4, 5 oder 6 GHz?

2,4 GHz hat die größte Reichweite und kommt am besten durch Wände, ist aber langsam und überfüllt – ideal für IoT und weit entfernte Ecken. 5 GHz ist der schnelle Alltags-Arbeiter mit viel mehr Platz, aber kürzerer Reichweite. 6 GHz (Wi-Fi 6E/7) bietet sehr viel freies, schnelles Spektrum, hat aber die kürzeste Reichweite, verlangt zwingend WPA3 – und es können nur neuere Geräte.

Welche WLAN-Kanäle sind im 2,4-GHz-Band die besten?

Weltweit überlappungsfrei sind die Kanäle 1, 6 und 11; in Europa erlaubt ETSI mit 1, 5, 9 und 13 sogar vier. Praktisch ist 1, 6 oder 11 die sichere, geräteübergreifend kompatible Wahl – nehmen Sie genau einen davon und lassen Sie die Kanalbreite bei 20 MHz. 40 MHz frisst im 2,4-GHz-Band das halbe Spektrum und stört die Nachbarn. Im 5-GHz-Band ist deutlich mehr Platz; dort sind 80 MHz ein guter Kompromiss.

Warum gehören smarte Fernseher und IoT in ein eigenes WLAN?

Weil sie oft kleine, schlecht gepflegte Computer mit veralteter Funktechnik sind – manche beherrschen nicht einmal aktuelle WLAN-Sicherheit wie WPA3 oder PMF. Ein eigenes, abgeschottetes IoT-WLAN lässt sich passend einstellen (etwa WPA2 mit PMF optional) und hält diese Geräte zugleich von Arbeitsplätzen, Servern und Daten fern. Sicherheit und Kompatibilität in einem.

WLAN, das mehr zickt als funkt?

Wir planen und messen Ihr WLAN sauber aus – Abdeckung, Bänder, Kanäle und Sicherheit – und trennen IoT, Gäste und Arbeitsplätze in eigene Netze. Damit sich auch der nächste neue Fernseher auf Anhieb verbindet. Sprechen Sie uns an.

Jetzt Kontakt aufnehmen →