1960661

6 Schritte zum optimal geschützten Router

30.12.2020 | 09:09 Uhr |

Hacker lieben unzureichend gesicherte WLAN-Router. Mit unserer Check-Liste machen Sie Ihren Router angriffssicher.

Ein Windows-Rechner hat es gut: Sie schützen ihn gegen Angriffe mit einem Zugangspasswort und über eine Sicherheitssoftware. Doch Rechner oder Notebooks sind nicht die einzigen Geräte, die im heimischen Netzwerk mit dem Internet verbunden sind. Zusätzlich tummeln sich auch Smartphone, Tablet sowie vernetzte Streaming-Clients, Smart-TV, Smart-Home-Schalter und Lautsprecher im Netzwerk. Diesen Geräten fehlen allerdings meistens spezielle Schutzfunktionen: Sie müssen sich auf den Internetrouter verlassen, der sie online bringt, aber Gefahren von dort für WLAN und Heimnetz zuverlässig abwehrt. Das gelingt jedoch nur dann, wenn der Router keine Sicherheitslücken bietet, die Angreifer ausnutzen können. Aber das versuchen Hacker permanent, wie viele Beispiele aus der letzten Zeit und vielleicht sogar das Ereignisprotokoll Ihres Routers belegen. Mit den folgenden Tipps treffen Sie die richtigen Vorkehrungen, um Ihren Router komplett zu schützen.

1. Installieren Sie immer eine aktuelle Firmware

Der grundlegende Schutz des Routers basiert auf seiner Firmware. Bietet diese Lücken oder ist sie veraltet, erhöht sich seine Anfälligkeit für Angriffe. Da die Firmware nichts anderes ist als das Betriebssystem des Routers, enthält sie wie Windows, MacOS oder Android auch Bugs und Fehler und sollte aus diesem Grund regelmäßig aktualisiert werden. Insbesondere für etwas ältere Geräte verzichten viele Hersteller aber darauf, regelmäßig erneuerte Firmware zu programmieren. Deshalb sollten Sie schon beim Routerkauf überprüfen, wie zuverlässig der Firmwarenachschub bei einem bestimmten Hersteller funktioniert.

Inzwischen bieten die meisten Router eine automatische Update-Funktion an: Diese installiert eine neue Firmware auf Wunsch sofort oder weist Sie auf eine neue Version hin, sofern Sie regelmäßig einen Blick ins Routermenü werfen. Die beliebten Fritzbox-Routermodelle sind bereits seit vielen Jahren ab Werk so eingestellt, dass neu verfügbare Firmware-Updates vom Router eigenständig installiert werden. 

Die passende Einstellung finden Sie im Menü einer aktuellen Fritzbox ab Fritz-OS-Version 7 unter „System –› Update –› Auto- Update“. Bei Bedarf können Sie diese an eine der drei vorgegebenen Update-„Stufen“ anpassen. Wer bei nicht sicherheitsrelevanten Updates selbst entscheiden möchte, wann diese installiert werden sollen, kann hier von der voreingestellten und von AVM empfohlenen Stufe 3 (III) auf die Stufe 2 (II) wechseln. Lassen Sie aber das Häkchen vor der Option „Updates auf neue FritzOS-Versionen dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden“ unbedingt aktiviert. So können Sie ein verfügbares Firmware-Update auch direkt von einem mit dem AVM-Router verbundenen Fritzfon starten, ohne sich hierfür im Webmenü des Routers anmelden zu müssen. Praktisch: Ein Blinksignal am DECT-Telefon weist Sie auf das neu verfügbare Firmware-Update hin. Alternativ können Sie sich ebenfalls per Mail über neue Firmware-Updates informieren lassen.

Wi-Fi 6: Die besten Router, Mesh-Systeme & Repeater für das Turbo-WLAN 802.11ax

2. Sichern Sie den Zugang zum Routermenü ab

Die Update-„Stufe II“ in der Fritzbox sorgt dafür, dass alle sicherheitsrelevanten Firmware-Updates automatisch installiert werden. Bei anderen Updates können Sie selbst entscheiden, ob Sie sie einspielen wollen.
Vergrößern Die Update-„Stufe II“ in der Fritzbox sorgt dafür, dass alle sicherheitsrelevanten Firmware-Updates automatisch installiert werden. Bei anderen Updates können Sie selbst entscheiden, ob Sie sie einspielen wollen.

Überraschend häufig bietet das Menü des Routers eine große Angriffsfläche für Hacker: Denn viele Nutzer verzichten darauf, es mit einem individuellen Passwort zu sichern, sondern belassen es einfach bei der Werkseinstellung, die oftmals „Password“ lautet oder sich im Internet schnell herausfinden lässt. Besser machen es Hersteller, die ab Werk ein spezielles Passwort vergeben und es auf der Gehäuseunterseite des Routers oder auf einer beigelegten Karte vermerken. Auch dieses Passwort sollten Sie allerdings unbedingt ändern. Besitzer einer Fritzbox sollten darüber hinaus den Zugang zum Routermenü nicht nur über ein einfaches Kennwort, sondern über ei-ne Benutzername-Kennwort-Kombination schützen. Die entsprechende Einstellung nehmen Sie bitte im Menü unter „System –› Fritzbox-Benutzer –› Anmeldung im Heimnetz“ vor. Setzen Sie die Auswahl auf „Anmeldung mit Fritzbox-Benutzernamen und Kennwort“. Achten Sie zudem darauf, dass direkt darunter bei „Bestätigen“ ein Haken vor „Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen“ aktiviert ist. Mit dieser weiteren Sicherheitsvorkehrung verhindern Sie, dass Ihre Fritzbox aus der Ferne manipuliert wird: Denn hier müssen Sie vor Ort sein, nachdem Sie eine wichtige Fritzbox-Einstellung geändert haben, weil Sie dies per angeschlossenem Telefon oder Druck auf eine Gehäusetaste bestätigen müssen.

Neben der „Anmeldung mit Fritzbox-Benutzernamen und Kennwort“ sollten Sie auch die „Ausführung bestimmter Einstellungen und Funktionen (immer) zusätzlich bestätigen“ eingeschaltet lassen.
Vergrößern Neben der „Anmeldung mit Fritzbox-Benutzernamen und Kennwort“ sollten Sie auch die „Ausführung bestimmter Einstellungen und Funktionen (immer) zusätzlich bestätigen“ eingeschaltet lassen.

3. Benutzerrechte für den Fernzugriff anpassen

Für den Zugriff auf das Fritzbox-Menü aus dem lokalen Netzwerk sollten Sie einen neuen Benutzer anlegen. Diesem Benutzerkonto erteilen Sie alle Berechtigungen außer dem Fernzugriff. Sobald Sie sich zum ersten Mal als dieser neue Benutzer an der Fritzbox angemeldet haben, sollten Sie den Benutzer „admin“ in den Kontoeinstellungen deaktivieren. Das erhöht die Sicherheit, weil Angriffe sehr häufig auf Admin-Benutzerkonten abzielen.

Wollen Sie außerdem über das Internet ins Fritzbox-Menü gelangen, richten Sie dafür ein eigenes Benutzerkonto mit einem besonders starken Kennwort ein. Daraufhin aktivieren Sie die Option „Zugang aus dem Internet“ nur für dieses Benutzerkonto und aktivieren außerdem die „Bestätigung über die Google Authenticator App“.

4. WLAN und Gastzugang mit Passwort versehen

Die Fritzbox 7590 ist einer der wenigen WiFi-5-Router, die bereits die moderne WPA3-Verschlüsselung unterstützen: Am besten stellen Sie den sogenannten Transition Mode ein, den auch WPA2-Geräte verstehen.
Vergrößern Die Fritzbox 7590 ist einer der wenigen WiFi-5-Router, die bereits die moderne WPA3-Verschlüsselung unterstützen: Am besten stellen Sie den sogenannten Transition Mode ein, den auch WPA2-Geräte verstehen.

Obwohl das WLAN vieler Heimnetzrouter bereits ab Werk individuell verschlüsselt ist, sollten Sie trotzdem das vorgegebene WLAN-Passwort ändern. Das neue Passwort sollte mindestens 20-stellig sein und sich nicht nur aus Zahlen, sondern auch aus Groß- und Kleinbuchstaben zusammensetzen. Wählen Sie als Verschlüsselungsverfahren unbedingt WPA2(-PSK), keine Mischform, die auch WPA-TKIP umfasst, da dies nicht mehr als sicher gilt. Haben Sie einen aktuellen Wi-Fi-6-Router oder ein älteres Modell mit frischer Firmware, bieten diese eventuell bereits das neuere Verfahren WPA3.

WLAN-Clients lassen sich sehr bequem mit der WPS-Funktion mit einem Knopfdruck in das Funknetz bringen. Sie sollten dieses Verfahren allerdings nur einschalten, wenn Sie es gerade brauchen und ansonsten deaktiviert lassen, weil es Sicherheitslücken hat. In der Fritzbox können Sie WPS unter „WLAN –› Sicherheit –› WPS-Schnellverbindung“ an- und ausschalten.

Besucher sollten Sie grundsätzlich lediglich über den WLAN-Gastzugang online gehen lassen. Denn damit kommen diese zwar ins Internet, können aber nicht auf Geräte im Heimnetz zugreifen. In der Fritzbox erledigen Sie das mithilfe des Menüs „WLAN –› Gastzugang“. Setzen Sie auch für das Gast-WLAN mindestens eine WPA2-Verschlüsselung ein. Sie können Ihre Gäste über das Fritzbox- Menü recht komfortabel per WPS mit dem Gastnetz verbinden. Oder Sie drucken sich den QR-Code für den Gastzugang aus, den Besucher per Smartphone scannen können und so das Handy ins WLAN bringen. iPhone-Benutzer lesen die im QR-Code gespeicherten Zugangsdaten direkt über die iPhone-Kamera aus und stellen so die Verbindung in das Gäste-WLAN her.

Profi-Tipps: Mehr Power für Ihr WLAN

5. Verschlüsselten Zugang zum Routermenü nutzen

Das Zertifikat „Let’s encrypt“ ist eine gute Möglichkeit, um den Warnhinweis im Browser beim https-Zugriff auf die Fritzbox verschwinden zu lassen.
Vergrößern Das Zertifikat „Let’s encrypt“ ist eine gute Möglichkeit, um den Warnhinweis im Browser beim https-Zugriff auf die Fritzbox verschwinden zu lassen.

Auch wenn Sie von einem Client im sicheren Heimnetz auf Ihren Router zugreifen, sollten Sie anstelle des unverschlüsselten http- Protokolls besser die verschlüsselte https-Verbindung wählen. Rufen Sie das Fritzbox-Menü also nicht mittels http://fritz.box auf, sondern über https://fritzbox . Ihr Browser erkennt darin zwar ein mögliches Sicherheitsrisiko, weil das SSL-Zertifikat dieser Website vom Aussteller – nämlich der Fritzbox – erzeugt und signiert wurde. Aus diesem Grund stuft Ihr Browser Ihren Router als einen „nicht vertrauenswürdigen Webseitenanbieter“ ein, was in diesem speziellen Fall natürlich nicht zutrifft. Bei einer entsprechenden Meldung gehen Sie in Firefox auf „Erweitert“ und im nachfolgenden Schritt auf „Risiko akzeptieren und fortfahren“. Alternativ dazu können Sie das Zertifikat der Fritzbox auch in den Zertifikatsspeicher Ihres PCs oder Browsers importieren.

Die https-Verbindung zu Ihrem Router sorgt dafür, dass Ihre Zugangsdaten bei der Anmeldung am Menü verschlüsselt übertragen werden und von keinem anderen Teilnehmer in Ihrem Heimnetz unbefugt mitgelesen werden können.

Wenn Sie in der Fritzbox unter „Internet –› MyFritz-Konto“ einen Myfritz-Fernzugang eingerichtet haben und die Option „Zertifikat von letsencrypt.org verwenden“ aktivieren, bekommen Sie ein vertrauenswürdiges SSL-Zertifikat. Ihr Browser beschwert sich dann nicht mehr, wenn Sie aus der Ferne auf Ihre Fritzbox zugreifen.

Die Fritzbox erlaubt gerätebezogene Portfreigaben: Das ist viel sicherer als die UPnP-Freigabe für alle Geräte, die in den meisten Routern ab Werk eingestellt ist.
Vergrößern Die Fritzbox erlaubt gerätebezogene Portfreigaben: Das ist viel sicherer als die UPnP-Freigabe für alle Geräte, die in den meisten Routern ab Werk eingestellt ist.

6. Aktivieren Sie wichtige Push-Benachrichtigungen

Mit den Push-Services verfügt eine Fritzbox über eine hervorragende Hinweis- und Warnfunktion, die Sie auf sicherheitsrelevante Ereignisse aufmerksam macht. Die Fritzbox teilt Ihnen dadurch mit, wenn sich ein unbekanntes Gerät im Heimnetz oder Gastnetz anmeldet, wenn ein Fernzugriff auf die Fritzbox erfolgt, die Telefonverbindung unterbrochen ist oder der Router neu gestartet wird. Auch auf eine neue Fritz-OS-Version weist Sie der Router hin. Um diese Funktion zu aktivieren, gehen Sie im Fritzbox-Menü zu „System –› Push-Service –› Absender“. Dort tragen Sie die Zugangsdaten eines gültigen E-Mail-Kontos ein, sodass die Fritzbox über den SMTP- Server dieses Kontos Mails versenden kann. Anschließend wechseln Sie in das Register „Push Services“ und wählen aus, über welche Ereignisse Sie die Fritzbox informieren soll. Für Informationen zu neuen (WLAN-) Clients im Heimnetz aktivieren Sie etwa die Optionen „WLAN-Gastzugang“ und „Änderungsnotiz“. Dadurch teilt Ihnen die Fritzbox zudem alle sicherheitsrelevanten Änderungen in Ihrem Menü mit. Die Hinweismails erhalten Sie auch dann, wenn Sie selbst eine Einstellung ändern.

Wer nach größtmöglicher Sicherheit strebt, sollte am besten alle globalen Filtereinstellungen in der Fritzbox aktiviert lassen.
Vergrößern Wer nach größtmöglicher Sicherheit strebt, sollte am besten alle globalen Filtereinstellungen in der Fritzbox aktiviert lassen.

Die Themen in Tech-up Weekly #210:

► Intels Flaggschiff der Rocket-Lake-S-Serie im Benchmark gesichtet (0:39):
www.pcwelt.de/2554588

► Weiter schlechte Verfügbarkeit von Grafikkarten - wegen GDDR6 (1:53):
www.pcwelt.de/2554590

► Geforce RTX 3080 Ti, 3070 Ti, 3060 und 3050 in EEC-Datenbank aufgetaucht (3:30):
www.pcwelt.de/2554530

► Fortnite: 8-Jähriger unterzeichnet Profi-Vertrag (5:20):
www.pcwelt.de/2553938

PC-WELT Marktplatz

1960661